企业为什么要做手机网站,吴江建设局网站打不开,电商网站开发价格,做网站费学习防火墙之前#xff0c;对路由交换应要有一定的认识 源NAT1.私网用户通过NAT No-PAT访问Internet2.私网用户通过NATP访问Internet3.私网用户通过Easy-IP访问Internet4.私网用户通过三元组NAT访问Internet5.双出口环境下私网用户通过NAPT访问Internet 源NAT
———————… 学习防火墙之前对路由交换应要有一定的认识 源NAT1.私网用户通过NAT No-PAT访问Internet2.私网用户通过NATP访问Internet3.私网用户通过Easy-IP访问Internet4.私网用户通过三元组NAT访问Internet5.双出口环境下私网用户通过NAPT访问Internet 源NAT
——————————————————————————————————————————————————
1.私网用户通过NAT No-PAT访问Internet
FW作为安全网关使私网中192.168.1.0/24网段的用户可以正常访问Internet需要在FW上配置源NAT策略。由于需要上网的用户少采用NAT No-PAT的地址转换方式将私网地址与公网地址一对一转换向ISP申请了6个公网IP210.1.1.10-15。
No-PAT也叫basic NAT一对一地址转换这种方式只转换IP不转换端口而且并没有节约公网IP所以实际中基本不常用。公网IP要大于私网用户要不然等待公网地址释放后其他用户才可以访问。
1、配置接口IP和安全区域完成基本参数。二层接口
FW
vlan 1000
interface Vlanif1000ip address 192.168.1.254 255.255.255.0service-manage ping permitinterface GigabitEthernet1/0/1undo shutdownip address 210.1.1.1 255.255.255.0service-manage ping permitinterface GigabitEthernet1/0/2 portswitchundo shutdownport link-type accessport default vlan 1000
#
interface GigabitEthernet1/0/3portswitchundo shutdownport link-type accessport default vlan 1000firewall zone trustadd interface Vlanif1000
firewall zone untrustadd interface GigabitEthernet1/0/12、配置安全策略允许指定网段与Internet进行报文交互 rule name User_to_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 24action permit3、配置NAT地址池不做端口转换
nat address-group internet 0mode no-pat globalroute enablesection 0 210.1.1.10 210.1.1.154、配置NAT策略实现指定网段访问互联网
nat-policyrule name nat_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 mask 255.255.255.0action source-nat address-group internet5、配置缺省路由私网流量可以正常转发ISP路由器
ip route-static 0.0.0.0 0.0.0.0 210.1.1.26、PC配置IP和网关。略
7、在互联网方向配置到NAT地址池210.1.1.10-15的静态路由从Internet方向返回的流量可以正常被FW转发通常要联系ISP网络管理员来配置此静态路由。此实验Internet直连FW配置网关即可。
可以Ping通Internet服务器 配置完地址池会生成静态的server-map表项正向和反向。 防火墙的会话表地址被转换成功。 补充
mode no-pat globalglobal参数表示生成的server-map表项不包含安全区域参数不受域间关系的限制。配置local参数表示生成的server-map表项包含安全区域参数受域间限制。 route enable开启地址池的UNR路由同黑洞路由作用相同。
如果需要访问明确的目的internet Server服务器NAT策略的配置
nat-policyrule name nat_internet_Sersource-zone trustdestination-zone untrustsource-address 192.168.1.0 24destination-address 210.1.1.2 24action source-nat address-group internetrule name nonat_internetsource-zone trustdestination-zone untrustsource-address 192.168.1.0 24destination-address anyaction no-nat ——————————————————————————————————————————————————
Web
只列出重要步骤
1、配置安全策略 2、配置NAT地址池 3、配置NAT策略 ——————————————————————————————————————————————————
2.私网用户通过NATP访问Internet
FW作为安全网关为了使内部网段用户可以正常访问Internet需要在FW上配置NAT策略公司向ISP申请了210.1.1.5-210.1.1.10地址作为私网转换公网后的地址。 NATP属于多对一多对多转换。转换方式IP端口。现实中和Easy-IP一样都应用非常广泛。
1、配置接口IP地址和安全区域
FW
interface GigabitEthernet1/0/0ip address 192.168.254.1 255.255.255.30service-manage ping permit
#
interface GigabitEthernet1/0/1ip address 210.1.1.1 255.255.255.0service-manage ping permit
#
firewall zone trustadd interface GigabitEthernet1/0/0
firewall zone untrustadd interface GigabitEthernet1/0/1
#
ip route-static 192.168.0.0 16 192.168.254.2
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2R1
interface GigabitEthernet0/0/0ip address 210.1.1.2 255.255.255.0SW
vlan rang 10,20,1000
!
interface vlan 1000ip add 192.168.254.2 30
interface VLAN 10ip address 192.168.10.254 255.255.255.0
interface VLAN 20ip address 192.168.20.254 255.255.255.0
!
interface GigabitEthernet 0/0switchport access vlan 1000
interface GigabitEthernet 0/1switchport access vlan 10
interface GigabitEthernet 0/2switchport access vlan 20
!
ip route 0.0.0.0 0.0.0.0 192.168.254.12、配置安全策略允许指定网段与Internet进行报文交互
security-policyrule name NATP_INTERNETsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action permit3、配置NAT地址池开启允许端口地址转换实现公网地址复用。
nat address-group GW mode patroute enablesection 210.1.1.5 210.1.1.104、配置NAT策略实现源地址转换 rule name napt_internetsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat address-group GWNATP源地址转换后不生成Server-map表。根据session表来识别NATP也称为端口复用NAT如果192.168.10.1和20.1共同使用210.1.1.9公网转换的话以携带的端口号来区分。
如果需要限制私网转公网公网每个IP的转换比例如下
nat address-group GW mode patroute enablesection 210.1.1.5 210.1.1.10srcip-car-num 256srcip-car-num命令用来配置单个公网地址对应的私网地址最大数。
—————————————————————————————————————————————————— Web
1、配置NAT地址池 2、配置安全策略 3、配置NAT策略 ——————————————————————————————————————————————————
3.私网用户通过Easy-IP访问Internet
公司向ISP申请了一个公网IP地址用户和ISP互联为了让私网用户正常访问互联网配置出接口地址方式的源NAT策略。私网用户直接借用FW公网接口IP来访问internet。
Easy-IP以出接口IP来转换多对一应用非常广泛。节约IP。不生成server-map表Easy-IP方式不需要配置路由黑洞。
1、配置接口IP地址和安全区域等同上例略
2、配置安全策略允许指定网段与Internet进行报文交互等同上例略
3、配置NAT策略 rule name easy_natsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat easy-ip以出接口的公网地址端口来区分。
—————————————————————————————————————————————————— Web
其余都一样就NAT策略不同 ——————————————————————————————————————————————————
4.私网用户通过三元组NAT访问Internet
公司向ISP申请了6个地址210.1.1.5-210.1.1.10通过源NAT策略访问Internet要求私网用户与Internet上主机之间能进行P2P业务交流如文件共享、语音视频等Intetnet上主机也能主动访问私网用户。 回顾下三元组NAT同时转换IP和端口多对一多对多能和P2P、语音视频等多通道协议能很好的互存。
当PC访问互联网时如果采用五元组方式进行地址转换外部设备无法通过转换后的地址和端口主动访问内部PC。 三元组的特点1、端口不能复用保证内部PC对外呈现的一致性端口不会动态变化。2、支持外部设备通过转换后的地址和端口主动访问内部PC防火墙没配置相关策略也允许报文通过。
产生的server-map表 正向保证内部PC转换后的地址和端口不变。 反向允许外部设备主动访问内部PC。
1、配置接口IP地址和安全区域等同上例略
2、配置安全策略允许指定网段与Internet进行报文交互等同上例略
3、配置NAT地址池开启允许端口地址转换实现公网地址复用。
nat address-group GW 0mode full-cone globalroute enablesection 0 210.1.1.5 210.1.1.104、配置NAT策略。
nat-policyrule name policy_natsource-zone trustdestination-zone trustsource-address 192.168.10.0 mask 255.255.255.0source-address 192.168.20.0 mask 255.255.255.0action source-nat address-group GW配置完成后生成了2对Server-map表内网主机进行NAT地址转换生成MAP表IP和端口在老化时间内保持不变。 我们在地址池配置了full-cone global参数Full Cone也叫全圆锥内网主机进行NAT转换后的地址和端口在一段时间内保持不变不会因为目的地址不同而不同。global参数在域间不受安全策略控制。
三组元NAT的两个特点通过在NAT地址池配置full-cone global参数实现满足第一条。
第二点是关于外部到内部安全策略检查默认情况下防火墙开启端点无关过滤功能。
firewall endpoint-independent filter enableendpoint-independent filter enable开启后报文只要命中Server-map就可以通过防火墙不受安全策略控制。
还有防火墙对多通道协议的支持通过ASPF保证系统对多通道协议中临时协商的端口正常进行报文过滤和NAT。
—————————————————————————————————————————————————— Web
安全策略、NAT策略和上面都一致。
——————————————————————————————————————————————————
5.双出口环境下私网用户通过NAPT访问Internet
某企业在网络边界处部署了FW作为安全网关并分别从运营商ISP1和ISP2处购买了宽带上网服务实现内部网络接入Internet的需求。研发部门和市场部门中的PC可以通过运营商ISP1和ISP2访问Internet要求去往特定目的地址的流量必须经由相应的运营商来转发。当一条链路出现故障时流量可以被及时切换到另一条链路上避免业务中断。 1、配置接口IP地址和安全区域
#
interface GigabitEthernet1/0/0ip address 210.1.1.1 255.255.255.0
interface GigabitEthernet1/0/1ip address 110.1.1.1 255.255.255.0
interface GigabitEthernet1/0/2ip address 192.168.10.254 255.255.255.0
interface GigabitEthernet1/0/3ip address 192.168.20.254 255.255.255.0
#
firewall zone trustadd interface GigabitEthernet1/0/2add interface GigabitEthernet1/0/3
#
firewall zone name IPS1set priority 10add interface GigabitEthernet1/0/1
firewall zone name IPS2set priority 20add interface GigabitEthernet1/0/0
#
ip route-static 0.0.0.0 0.0.0.0 110.1.1.2
ip route-static 0.0.0.0 0.0.0.0 210.1.1.2ISP1-AR
interface GigabitEthernet0/0/0ip address 110.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1ip address 61.134.1.1 255.255.255.0ISP2-AR
interface GigabitEthernet0/0/0ip address 210.1.1.2 255.255.255.0
interface GigabitEthernet0/0/1ip address 61.134.1.2 255.255.255.0USER
C:\Users\userroute ADD 0.0.0.0 MASK 255.255.255.0 61.134.1.1
C:\Users\userroute ADD 0.0.0.0 MASK 255.255.255.0 61.134.1.22、配置NAT地址池
ip address-set shengchan type object address 0 192.168.10.0 mask 24
ip address-set shichang type objectaddress 0 192.168.20.0 mask 24
#
nat address-group ISP1_POOLmode patroute enablesection 0 110.1.1.5 110.1.1.10
nat address-group ISP2_POOLmode patroute enablesection 0 210.1.1.5 210.1.1.103、配置安全策略
security-policyrule name ISP1_INTERsource-zone trustdestination-zone IPS1source-address address-set shengchanaction permitrule name ISP2_INTERsource-zone trustdestination-zone IPS2source-address address-set shichangaction permit4、配置NAT策略
nat-policyrule name ISP1_NETsource-zone trustdestination-zone IPS1source-address address-set shengchanaction source-nat address-group ISP1_POOLrule name ISP2_NETsource-zone trustdestination-zone IPS2source-address address-set shichangaction source-nat address-group ISP2_POOL5、去往目的地的明细路由还需要运营商获取ISP所属网段信息。此外还可以使用ISP选路快速导入ISP路由提高配置效率。ISP路由在后续ISP选路中会详细介绍。
