亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何實現防火墻NAT控制分析

發布時間:2022-01-10 18:12:53 來源:億速云 閱讀:201 作者:柒染 欄目:網絡管理

如何實現防火墻NAT控制分析,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

一。NAT分類
NAT No-pat:類似于Cisco的動態轉換,只轉化源IP地址,網絡地址,不轉化端口,屬于多對多轉換,不能節約公網IP地址,使用較少
NAPT:(網絡地址和端口轉換)類似與Cisco的PAT轉換,NAPT即轉換報文的源地址,又轉換源端口,
出接口地址:(Easy-IP)轉換方式簡單,和NAPT一樣,即轉換源地址又轉換源端口,屬于多對一轉換
Smart NAT(智能轉換):通過預留一個公網地址進行NAPT轉換
三元組NAT:與源IP地址,源du端口和協議類型有關的一種轉換
二,黑洞路由
源地址轉換場景下的環路和無效ARP問題
如何實現防火墻NAT控制分析
如何實現防火墻NAT控制分析
三,Server-map表
通過Server-map表解決FTP數據傳輸問題
如何實現防火墻NAT控制分析
會話表記錄的是連接信息,包括連接狀態
如何實現防火墻NAT控制分析
Server-map在NAT中的應用
如何實現防火墻NAT控制分析
如何實現防火墻NAT控制分析
正向條目攜帶端口信息,用來使外部用戶訪問202.96.1.10時直接通過Server-map表進行目標地址轉換
反向條目不攜帶端口信息,且目標地址時任意的,用來使服務器可以訪問互聯網前提是必須是TCP協議,
四,NAT對報文的處理流程
如何實現防火墻NAT控制分析
NAT配置(三種方法)
如何實現防火墻NAT控制分析
(1)NAT No-pat
如何實現防火墻NAT控制分析
走一條默認路由
配置安全策略
如何實現防火墻NAT控制分析
配置NAT地址組,地址組中,地址對應的是公網IP
如何實現防火墻NAT控制分析
配置NAT策略
如何實現防火墻NAT控制分析
針對轉換后的全局地址(NAT地址組中的地址)配置黑洞路由
如何實現防火墻NAT控制分析
驗證NAT配置,用PC1可以ping外網的PC2,可以查看會話表![]如何實現防火墻NAT控制分析
三個紅框表示為源地址,轉化的地址,訪問的地址
也可以查看Server-map表
如何實現防火墻NAT控制分析
如何實現防火墻NAT控制分析

(2)NAPT的配置
還是上面的圖,重做NAPT
配置IP
如何實現防火墻NAT控制分析
如何實現防火墻NAT控制分析
配置安全策略
如何實現防火墻NAT控制分析
配置NAT地址組,地址組中對應的是公網IP
如何實現防火墻NAT控制分析
配置NAT策略
如何實現防火墻NAT控制分析
配置路由黑洞
如何實現防火墻NAT控制分析
驗證結果用PC1ping外網PC2
如何實現防火墻NAT控制分析
如何實現防火墻NAT控制分析
(3)出接口地址(Easy-IP)就是用R1路由器的g0/0/1的接口去訪問PC2(重新配置)
配置IP
如何實現防火墻NAT控制分析
如何實現防火墻NAT控制分析
配置安全策略
如何實現防火墻NAT控制分析
配置NAT策略
如何實現防火墻NAT控制分析
驗證可以發現,都是轉換的R1路由器g0/0/1接口IP去訪問的
如何實現防火墻NAT控制分析
五,綜合案例
要求:

  1. 財務主機通過no-pat訪問internet(使用100.2.2.10-11)

  2. 學術部主機通過napt訪問internet(使用100.2.2.12)

  3. 公司其它部門通過g1/0/0訪問internet

  4. 配置natserver發布dmz中的服務器(使用100.2.2.9)
    如何實現防火墻NAT控制分析
    一、財務主機通過no-pat訪問internet
    1.配置網絡參數及路由
    [USG6000V1]  int g1/0/2
    [USG6000V1-GigabitEthernet1/0/2] ip add 192.168.1.1 24
    [USG6000V1-GigabitEthernet1/0/2] undo sh
    Info: Interface GigabitEthernet1/0/2 is not shutdown.
    [USG6000V1-GigabitEthernet1/0/2] quit
    [USG6000V1] int g1/0/0
    [USG6000V1-GigabitEthernet1/0/0] ip add 100.1.1.2 30
    [USG6000V1-GigabitEthernet1/0/0] undo sh
    [USG6000V1-GigabitEthernet1/0/0] quit
    [USG6000V1] i proute-static  0.0.0.0 0.0.0.0 100.1.1.1
    2.配置安全策略
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int  g1/0/2
    [USG6000V1-zone-trust] quit
    [USG6000V1] firewall zone untrust
    [USG6000V1-zone-untrust] add int g1/0/0
    [USG6000V1-zone-untrust] quit
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_1
    [USG6000V1-policy-security-rule-sec_1] source-address 192.168.1.0 24
    [USG6000V1-policy-security-rule-sec_1] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_1] action permit
    3.配置nat地址組,地址池中的地址對應的是公網地址
    [USG6000V1-policy-security] quit
    [USG6000V1] nat address-group  natgroup
    [USG6000V1-address-group-natgroup] section 0 100.2.2.10 100.2.2.11
    [USG6000V1-address-group-natgroup] mode no-pat local
    [USG6000V1-address-group-natgroup]
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy
    [USG6000V1-policy-nat-rule-natpolicy] source-address 192.168.1.0 24
    [USG6000V1-policy-nat-rule-natpolicy] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy] action nat address-group natgroup                                    
    [USG6000V1-policy-nat-rule-natpolicy] quit
    [USG6000V1-policy-nat] quit
    5.針對轉換后的全局地址配置黑洞路由
    [USG6000V1] ip route-static 100.2.2.10 32 null 0
    [USG6000V1] ip route-static 100.2.2.11 32 null 0
    6.配置r1(isp)
    <Huawei>sys
    Enter system view, return user view with Ctrl+Z.
    [Huawei] sysname r1
    [r1] undo info ena
    [r1] int g0/0/0
    [r1-GigabitEthernet0/0/0] ip add 100.1.1.1 30
    [r1-GigabitEthernet0/0/0] int g0/0/1
    [r1-GigabitEthernet0/0/1] ip add 200.1.1.1 24
    [r1-GigabitEthernet0/0/1] undo sh
    [r1-GigabitEthernet0/0/1] quit
    [r1]  ip route-static 100.2.2.8 29 100.1.1.2
    7.測試:從財務客戶機上訪問internet服務器
    如何實現防火墻NAT控制分析
    二、學術部主機通過napt訪問internet(使用100.2.2.12)
    1.配置網絡參數
    [USG6000V1] int g1/0/3
    [USG6000V1-GigabitEthernet1/0/3] ip add 192.168.2.1 24
    [USG6000V1-GigabitEthernet1/0/3] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/3
    [USG6000V1-zone-trust]q uit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security-rule-sec_2] source-address 192.168.2.0 24
    [USG6000V1-policy-security-rule-sec_2] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_2] action permit
    [USG6000V1-policy-security-rule-sec_2] quit
    3.配置nat地址組
    [USG6000V1] nat address-group natgroup_2.0
    [USG6000V1-address-group-natgroup_2.0] section 0 100.2.2.12 100.2.2.12
    [USG6000V1-address-group-natgroup_2.0] mode pat
    [USG6000V1-address-group-natgroup_2.0] quit
    4.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] source-address 192.168.2.0 24
    [USG6000V1-policy-nat-rule-natpolicy_2.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_2.0] action nat address-group natgroup_2.0
    [USG6000V1-policy-nat-rule-natpolicy_2.0] quit
    [USG6000V1-policy-nat] quit
    5.針對轉換后的全局地址,配置黑洞路由
    [USG6000V1] ip route-static  100.2.2.12 32 null 0
    6.驗證nat配置
    .如何實現防火墻NAT控制分析
    三、出接口地址(easy-ip)使公司其它部門通過g1/0/0訪問internet

    1.配置網絡參數
    [USG6000V1] int g1/0/4
    [USG6000V1-GigabitEthernet1/0/4] ip add 192.168.3.1 24
    [USG6000V1-GigabitEthernet1/0/4] quit
    [USG6000V1] firewall zone trust
    [USG6000V1-zone-trust] add int g1/0/4
    [USG6000V1-zone-trust]
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_3
    [USG6000V1-policy-security-rule-sec_3] source-address 192.168.3.0 24
    [USG6000V1-policy-security-rule-sec_3] destination-zone untrust
    [USG6000V1-policy-security-rule-sec_3] action permit
    [USG6000V1-policy-security-rule-sec_3] quit
    [USG6000V1-policy-security] quit
    3.配置nat策略
    [USG6000V1] nat-policy
    [USG6000V1-policy-nat] rule name natpolicy_3.0
    [USG6000V1-policy-nat-rule-natpolicy_3.0] source-address 192.168.3.0 24
    [USG6000V1-policy-nat-rule-natpolicy_3.0] destination-zone untrust
    [USG6000V1-policy-nat-rule-natpolicy_3.0] action nat easy-ip
    [USG6000V1-policy-nat-rule-natpolicy_3.0] quit
    [USG6000V1-policy-nat] quit
    4.驗證easy-ip
    1)ping測試
    如何實現防火墻NAT控制分析
    四、配置natserver發布dmz中的服務器(使用100.2.2.9)
    1.配置網絡參數
    [USG6000V1-GigabitEthernet1/0/0] int g1/0/1
    [USG6000V1-GigabitEthernet1/0/1] ip add 192.168.0.1 24
    [USG6000V1-GigabitEthernet1/0/1] quit
    [USG6000V1] firewall zone dmz
    [USG6000V1-zone-dmz] add int g1/0/1
    [USG6000V1-zone-dmz] quit
    2.配置安全策略
    [USG6000V1] security-policy
    [USG6000V1-policy-security] rule name sec_4
    [USG6000V1-policy-security-rule-sec_4] source-zone  untrust
    [USG6000V1-policy-security-rule-sec_4] destination-address 192.168.0.0 24
    [USG6000V1-policy-security-rule-sec_4] action  permit
    [USG6000V1-policy-security] quit
    3.配置ftp應用層檢測(此步驟可以省略,默認已經開啟)
    [USG6000V1] firewall inter trust untrust
    [USG6000V1-interzone-trust-untrust] detect ftp
    [USG6000V1-interzone-trust-untrust] quit
    4.配置nat server
    [USG6000V1] nat server natserver global 100.2.2.9 inside 192.168.0.2
    5.配置黑洞路由
    [USG6000V1] ip route-static  100.2.2.9 32 null 0
    6.驗證
    1)在互聯網主機上訪問dmz中的服務器
    如何實現防火墻NAT控制分析

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

万源市| 怀宁县| 惠东县| 沙洋县| 荆门市| 酒泉市| 长岛县| 芦溪县| 桐庐县| 乌鲁木齐县| 元朗区| 平南县| 通河县| 富锦市| 南召县| 偏关县| 紫金县| 日喀则市| 旺苍县| 女性| 湖州市| 东乡县| 紫金县| 南昌市| 八宿县| 茂名市| 炎陵县| 嘉善县| 吕梁市| 满城县| 黔东| 任丘市| 牡丹江市| 河津市| 周口市| 沾益县| 南丰县| 车致| 通榆县| 巢湖市| 永平县|