NAT多实例的配置案例.docx
《NAT多实例的配置案例.docx》由会员分享,可在线阅读,更多相关《NAT多实例的配置案例.docx(24页珍藏版)》请在冰豆网上搜索。
NAT多实例的配置案例
1 简介
本文档介绍使用NAT多实例的配置案例。
2 配置前提
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解NAT多实例的特性。
3 配置举例
3.1 组网需求
如图1所示,一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网络使用的网段地址网址为10.110.0.0/16。
10.110.10.0/24网段的用户属于私网VPN1,加入安全域Trust1;10.110.11.0/24网段的用户属于私网VPN2,加入安全域Trust2;公网的用户属于VPN3,加入安全域Untrust。
需要实现如下功能:
∙ 内部网络中10.110.10.0/24网段的LAN1用户允许任意时间访问公网。
∙ 内部网络中10.110.11.0/24网段的LAN2用户只允许周末时间访问公网。
∙ 公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP服务。
图1跨VPN转发典型配置组网图
3.2 配置思路
为了使内网主机能够访问公网,需要在出接口上配置NAT转换,并使对应的地址池和公网VPN实例相关联。
3.3 使用版本
本文档基于U200-SR5135版本进行配置和验证。
3.4 配置步骤
3.4.1 通过Web方式配置
(1) 创建VPN实例
目前设备仅支持通过命令行方式创建VPN实例,配置方法请参见“3.4.2
(1)创建VPN实例”。
(2) 接口绑定VPN实例并加入安全域
#接口绑定VPN实例。
目前设备仅支持通过命令行方式配置接口绑定VPN实例,配置方法请参见“3.4.2
(2)接口绑定VPN实例”。
#新建安全域Trust1。
在左侧导航栏中选择“设备管理>安全域”,进入下图2所示的安全域显示页面。
图2安全域显示页面
#单击<新建>按钮,新建一个安全域。
图3安全域新建页面
#点击<确定>按钮完成操作。
#同理新建安全域Trust2,完成配置后安全域页面显示如图4所示。
图4安全域新建后的显示页面
#将接口加入安全域Trust1。
点击Trust1对应的编辑按钮
,进入如图5所示的安全域编辑页面。
图5安全域编辑页面
#勾选GigabitEthernet0/1前面的复选框,点击<确定>按钮完成操作。
#同理配置将接口GigabitEthernet0/3加入安全域Trust2,接口GigabitEthernet0/2加入安全域Untrust。
#完成配置后,在左侧导航栏中选择“设备管理>接口管理”,进入接口列表显示页面,配置结果如图6所示:
图6接口列表显示页面
(3) 配置绑定VPN实例的NATOutbound
#在左侧导航栏中选择“防火墙>ACL”,进入如图7所示的ACL列表页面。
配置访问控制列表2001,允许私网VPN1和私网VPN2的用户访问公网。
图7ACL列表页面
#单击<新建>按钮,新建ACL。
图8ACL新建页面
#点击<确定>按钮页面自动切换到ACL列表显示页面。
图9ACL列表页面
#点击ACL2001对应的
按钮,添加规则。
图10BasicACL2001页面
#点击<新建>按钮,进入新建ACL规则页面。
图11新建ACL规则页面
#勾选源IP地址前的复选框,输入10.110.10.0,源地址通符为0.0.0.255,选择VPN实例为VPN1,点击<确定>按钮,页面自动切换到基本ACL2001页面。
图12BasicACL2001页面
#点击<新建>按钮。
图13新建ACL规则页面
#勾选源IP地址前的复选框,输入10.110.11.0,源地址通符为0.0.0.255,选择VPN实例为VPN2,点击<确定>按钮,页面切换到基本ACL2001页面。
图14BasicACL2001页面
#在左侧导航栏中选择“防火墙>NAT>动态地址转换”,进入如图15所示的动态地址转换页面;配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
图15动态地址转换页面
#单击地址池页签里的<新建>按钮,进入新建地址池页面。
图16新建地址池页面
#点击<确定>按钮完成地址池配置,页面自动切换到如图17所示的地址池显示页面。
图17地址池显示页面
#点击图17中地址转换关联页签对应的<新建>按钮,进入新建动态NAT页面。
在出接口GigabitEthernet0/2上配置natoutbound并与公网的VPN实例相关联。
图18新建动态地址转换策略页面
#点击<确定>按钮完成操作。
(4) 配置绑定VPN实例的NATServer
#在左侧导航栏中选择“防火墙>NAT>内部服务器”,进入如图19所示的内部服务器转换页面。
设置内部FTP服务器并与公网的VPN实例相关联。
图19内部服务器页面
#单击内部服务器转换页签对应的<新建>按钮。
图20新建内部服务器页面
#单击<确定>按钮完成操作,页面自动切换到内部服务器转换页面。
图21内部服务器页面
#点击图21中的<新建>按钮,进入新建内部服务器页面。
设置内部Web服务器并与公网的VPN实例相关联。
图22新建内部服务器页面
#单击<确定>按钮完成操作,页面自动切换到内部服务器转换页面,配置结果如图23所示。
图23内部服务器转换页面
(5) 配置域间策略
#在左侧导航栏中选择“资源管理>时间段”,进入如图24所示的时间段页面。
配置时间范围周末时间段。
图24时间段页面
#单击<新建>按钮;
图25新建时间段页面
#单击<确定>按钮完成操作。
#在左侧导航栏中选择“防火墙>安全策略>域间策略”,进入如图26所示的域间策略页面。
配置域间策略,允许私网VPN2中的安全域Trust2的用户在周末时间访问公网。
图26域间策略页面
#单击<新建>按钮,进入新建域间策略页面;
图27新建域间策略页面
#选择源域为Trust2,目的域为Untrust;
#选择源IP地址为any_address,目的IP地址为any_address,名称为any_service;
#选择过滤动作为Permit;
#选择时间段为weekend;
#选中开启Syslog日志功能后面的复选框;
#单击<确定>按钮,完成一条域间策略配置。
#选择名称为any_service,选择过滤动作为deny,选中开启Syslog日志功能后面的复选框。
图28新建域间策略页面
#点击<确定>按钮,完成另一条域间策略配置。
#同理配置域间策略,允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务,允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务,完成所有域间策略配置后,域间策略列表显示如图29所示:
图29域间策略显示页面
(6) 配置跨VPN实例的静态路由
目前设备仅支持通过命令行方式配置跨VPN实例的静态路由,配置方法请参见“3.4.2(7)配置跨VPN实例的静态路由”。
3.4.2 通过命令行方式配置
(1) 创建VPN实例
#创建VPN实例VPN1,并配置RD和VPNTarget属性。
system-view
[Firewall]ipvpn-instanceVPN1
[Firewall-vpn-instance-VPN1]route-distinguisher100:
1
[Firewall-vpn-instance-VPN1]vpn-target100:
1
[Firewall-vpn-instance-VPN1]quit
#创建VPN实例VPN2,并配置RD和VPNTarget属性。
[Firewall]ipvpn-instanceVPN2
[Firewall-vpn-instance-VPN2]route-distinguisher200:
1
[Firewall-vpn-instance-VPN2]vpn-target200:
1
[Firewall-vpn-instance-VPN2]quit
#创建VPN实例VPN3,并配置RD和VPNTarget属性。
[Firewall]ipvpn-instanceVPN3
[Firewall-vpn-instance-VPN3]route-distinguisher300:
1
[Firewall-vpn-instance-VPN3]vpn-target300:
1
[Firewall-vpn-instance-VPN3]quit
(2) 接口绑定VPN实例
#接口GigabitEthernet0/1绑定VPN实例VPN1,接口GigabitEthernet0/3绑定VPN实例VPN2,接口GigabitEthernet0/2绑定VPN实例VPN3,并配置各接口的IP地址。
[Firewall]interfaceGigabitEthernet0/1
[Firewall-GigabitEthernet0/1]ipbindingvpn-instanceVPN1
[Firewall-GigabitEthernet0/1]ipaddress10.110.10.124
[Firewall-GigabitEthernet0/1]quit
[Firewall]interfaceGigabitEthernet0/3
[Firewall-GigabitEthernet0/3]ipbindingvpn-instanceVPN2
[Firewall-GigabitEthernet0/3]ipaddress10.110.11.124
[Firewall-GigabitEthernet0/3]quit
[Firewall]interfacegigabitethernet0/2
[Firewall-GigabitEthernet0/2]ipbindingvpn-instanceVPN3
[Firewall-GigabitEthernet0/2]ipaddress202.38.1.124
[Firewall-GigabitEthernet0/2]quit
(3) 创建安全域,并将接口加入安全域
#创建安全域Trust1,将接口GigabitEthernet0/1加入安全域Trust1。
[Firewall]zonenameTrust1id6
[Firewall-zone-Trust1]priority80
[Firewall-zone-Trust1]importinterfaceGigabitEthernet0/1
[Firewall-zone-Trust1]quit
#创建安全域Trust2,将接口GigabitEthernet0/3加入安全域Trust2。
[Firewall]zonenameTrust2id7
[Firewall-zone-Trust2]priority80
[Firewall-zone-Trust2]importinterfaceGigabitEthernet0/3
[Firewall-zone-Trust2]quit
#配置安全域Untrust,将接口GigabitEthernet0/2加入安全域Untrust。
[Firewall]zonenameUntrust
[Firewall-zone-Untrust]importinterfaceGigabitEthernet0/2
[Firewall-zone-Untrust]quit
(4) 配置绑定VPN实例的NATOutbound
#配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
[Firewall]nataddress-group1202.38.1.2202.38.1.3
#配置访问控制列表2001,允许私网VPN1和私网VPN2的用户访问公网。
[Firewall]aclnumber2001
[Firewall-acl-basic-2001]rule0permitvpn-instanceVPN1source10.110.10.00.0.0.255
[Firewall-acl-basic-2001]rule5permitvpn-instanceVPN2source10.110.11.00.0.0.255
[Firewall-acl-basic-2001]ruledeny
[Firewall-acl-basic-2001]quit
#在出接口GigabitEthernet0/2上配置natoutbound并与公网的VPN实例相关联。
[Firewall]interfacegigabitethernet0/2
[Firewall-GigabitEthernet0/2]natoutbound2001address-group1vpn-instanceVPN3
[Firewall-GigabitEthernet0/2]quit
(5) 配置绑定VPN实例的NATServer
#进入接口GigabitEthernet0/2。
[Firewall]interfacegigabitethernet0/2
#设置内部FTP服务器并与公网的VPN实例相关联。
[Firewall-GigabitEthernet0/2]natserverprotocoltcpglobal202.38.1.1ftpvpn-instanceVPN3inside10.110.10.2ftp
#设置内部Web服务器并与公网的VPN实例相关联。
[Firewall-GigabitEthernet0/2]natserverprotocoltcpglobal202.38.1.1wwwvpn-instanceVPN3inside10.110.11.2www
[Firewall-GigabitEthernet0/2]quit
(6) 配置域间策略
#配置时间范围周末时间段。
[Firewall]time-rangeweekend00:
00to24:
00off-day
#在源安全域Trust2到目的安全域Untrust的域间实例上,允许私网VPN2中的安全域Trust2的用户只能在周末时间访问公网,其他时间访问公网被拒绝,并记录域间策略日志。
[Firewall]interzonesourceTrust2destinationUntrust
[Firewall-interzone-Trust2-Untrust]rule0permitloggingtime-rangeweekend
[Firewall-interzone-Trust2-Untrust-rule-0]source-ipany_address
[Firewall-interzone-Trust2-Untrust-rule-0]destination-ipany_address
[Firewall-interzone-Trust2-Untrust-rule-0]serviceany_service
[Firewall-interzone-Trust2-Untrust-rule-0]ruleenable
[Firewall-interzone-Trust2-Untrust-rule-0]quit
[Firewall-interzone-Trust2-Untrust]rule1denylogging
[Firewall-interzone-Trust2-Untrust-rule-1]source-ipany_address
[Firewall-interzone-Trust2-Untrust-rule-1]destination-ipany_address
[Firewall-interzone-Trust2-Untrust-rule-1]serviceany_service
[Firewall-interzone-Trust2-Untrust-rule-1]ruleenable
[Firewall-interzone-Trust2-Untrust-rule-1]quit
[Firewall-interzone-Trust2-Untrust]quit
#配置域间策略,允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务,并记录域间策略日志。
[Firewall]interzonesourceUntrustdestinationTrust1
[Firewall-interzone-Untrust-Trust1]rule0permitlogging
[Firewall-interzone-Untrust-Trust1-rule-0]source-ipany_address
[Firewall-interzone-Untrust-Trust1-rule-0]destination-ipany_address
[Firewall-interzone-Untrust-Trust1-rule-0]serviceftp
[Firewall-interzone-Untrust-Trust1-rule-0]ruleenable
[Firewall-interzone-Untrust-Trust1-rule-0]quit
[Firewall-interzone-Untrust-Trust1]quit
#配置域间策略,允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务,并记录域间策略日志。
[Firewall]interzonesourceUntrustdestinationTrust2
[Firewall-interzone-Untrust-Trust2]rule0permitlogging
[Firewall-interzone-Untrust-Trust2-rule-0]source-ipany_address
[Firewall-interzone-Untrust-Trust2-rule-0]destination-ipany_address
[Firewall-interzone-Untrust-Trust2-rule-0]servicehttp
[Firewall-interzone-Untrust-Trust2-rule-0]ruleenable
[Firewall-interzone-Untrust-Trust2-rule-0]quit
[Firewall-interzone-Untrust-Trust2]quit
(7) 配置跨VPN实例的静态路由
#配置私网VPN1到公网VPN3的静态路由。
[Firewall]iproute-staticvpn-instanceVPN10.0.0.00.0.0.0GigabitEthernet0/2202.38.1.11
#配置私网VPN2到公网VPN3的静态路由。
[Firewall]iproute-staticvpn-instanceVPN20.0.0.00.0.0.0GigabitEthernet0/2202.38.1.11
3.5 验证配置
(1) HostA在上班时间访问HostC,访问成功。
#会话信息显示如下:
Initiator:
SourceIP/Port:
10.110.10.2/2048
DestIP/Port :
202.38.1.11/1280
VPN-Instance/VLANID/VLLID:
VPN1
Responder:
SourceIP/Port:
202.38.1.11/0
DestIP/Port :
202.38.1.3/1026
VPN-Instance/VLANID/VLLID:
VPN3
Pro:
ICMP
(1) App:
unknown State:
ICMP-CLOSED
Starttime:
2012-03-0717:
42:
41 TTL:
24s
Root Zone(in):
trust1
Zone(out):
Untrust
Receivedpacket(s)(Init):
1packet(s)60byte(s)
Receivedpacket(s)(Reply):
1packet(s)60byte(s)
(2) HostB在上班时间访问HostC,访问失败。
#域间策略日志显示如下:
%Mar 808:
46:
23:
1162012H3CFILTER/6/ZONE_DP_FLT_EXECUTION_ICMP_LOG:
srcZoneNa
me(1034)=Trust2;destZoneName(1035)=Untrust;rule_ID(1070)=1;policyActType(1071)=d
enied;protType(1001)=ICMP
(1);srcIPAddr(1017)=10.110.11.2;destIPAddr(1019)=202.38
.1.11;icmpType(1072)=(114)echo(8);icmpCode(1073)=(142)unrecognizedcode(0);begin
Time_e(1013)=03082012084612;endTime_e(1014)=03082012084612;
(3) HostB在周末时间访问HostC,访问成功。
#域间策略日志显示如下:
%Mar1008: