目录
1、配置源NAT实验
2、nat server实验
3、域间双向NAT
4、域内双向nat
1、配置源NAT实验
(1)源NAT简介
源NAT是指对报文中的源地址进行转换,通过源NAT技术将私网IP地址转换成公网IP地址,使私网用户可以利用公网地址访问Internet。
当主机访问外网时,华为防火墙的处理过程如下:
- 当私网地址用户访问Internet的报文到达华为防火墙时,华为防火墙将报文的源IP地址由私网地址转换为公网地址
- 当回程报文返回至华为防火墙时,华为防火墙再将报文的目的地址由公网地址转换为私网地址
实验拓扑如下:
实验配置:
防火墙接口GE1/0/0--10.1.1.1/24
GE1/0/1--100.1.1.1/24
GE1/0/2--10.1.2.1/24
其余地址如图所示。
现在我们要实现的实验要求就是让trust区域的PC1能够访问到untrust区域的server1,即证明源nat实验成功。
(1)配置NAT策略
目的:做地址转换,私网地址变公网
(2)配置安全策略
目的:放过所有流量让其通行
(3)测试PC1访问server1
成功。
2、nat server实验
还是基于上面的这个拓扑我们来完成这个实验
实验目的:untrust区域的客户端能够访问dmz区域的server端进行上网。
(1)首先在server2上面开启httpserver服务
(2)首先我们需要配置服务器映射,达到地址转换的目的。
这里又出现了一个问题就是这里的公网地址不能写接口的地址,这样防火墙上是不支持的,所以我们需要修改。
这样就配置成功了,这里公网的地址是我随便写的一个公网网段里的。
(3)接下来就是需要做一条安全策略,放行转换后的地址。
在写这一条安全策略的时候也要注意一个问题,这里的目的地址大家一定要写私网的地址,如果写公网的地址,外网容易误以为这个公网地址是一个服务器地址然后进行了访问造成错误。写成了私网地址以后,转换后防火墙会生成一条server-map表会放行转换后的地址,下面我会操作给大家看。
(4)测试
成功了。
这就是防火墙上生成的那一条server-map表。
(5)上面是通过服务器映射实现目的,下面我也可以用nat策略来实现这个目的。
配置nat策略,同时咱们也要把之前做的那一条服务器映射给禁用了。
在这里就可以实现接口地址的转换访问。
(6)测试
成功。
3、域间双向NAT
适用场景:一般是解决内网服务器没有外网路由的问题 。
提示:此时的问题是untrust区域要访问dmz区域的服务器但是要求只能是内部服务器网段的ip访问且这里也没有untrust到dmz的路由,正因如此所以我们的源地址和目的地址都要进行转换。
(1)配置域内双向nat策略
说明:源转换地址池中我配置为10.1.2.10-10.1.2.100的范围。
目的地址转换为:10.1.2.2
(2)配置放行untrust到dmz区域的安全策略,刚才已经配置了这里就不再进行配置。
(3)测试
成功访问,但是单从这里看是看不出明显效果的,所以我们抓包来进行查看。
(4)抓包数据
明显看出都是内网地址在进行访问内网服务器但是,其实这些内网地址都是经过外网转换过来的。
4、域内双向nat
适用场景:想让内网用户通过外网地址访问DMZ区的服务器,且想经过出口墙检查来增加安全性。
实验拓扑如下:
提示:加了一个服务器在内网,其余不变。
实验目的:client1通过公网地址访问到server4。
(1)首先配置公网服务器映射
(2)将server4端的httpserver服务开起来
(2)在写一条公网访问server4端的安全策略
测试一下公网是否能访问:
可以成功访问。
(3)现在进行内网访问配置,我们在前面已经配置了一条trust到untrust的安全策略。
所以我们测试一下内网到10.1.1.200/24的访问:
可以看到一直闪烁明显不通因为此时内网的地址还没有做转换是通不了的。
(4)接下来我们进行域内双向nat
源转换地址:
目的转换地址:
(5)测试
client1通过公网访server4:
成功。