NAT多实例的配置案例.docx

资源描述

NAT多实例的配置案例.docx

《NAT多实例的配置案例.docx》由会员分享，可在线阅读，更多相关《NAT多实例的配置案例.docx（24页珍藏版）》请在冰豆网上搜索。

NAT多实例的配置案例.docx

NAT多实例的配置案例

1 简介

本文档介绍使用NAT多实例的配置案例。

2 配置前提

本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT多实例的特性。

3 配置举例

3.1 组网需求

如图1所示，一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网络使用的网段地址网址为10.110.0.0/16。

10.110.10.0/24网段的用户属于私网VPN1，加入安全域Trust1；10.110.11.0/24网段的用户属于私网VPN2，加入安全域Trust2；公网的用户属于VPN3，加入安全域Untrust。

需要实现如下功能：

∙ 内部网络中10.110.10.0/24网段的LAN1用户允许任意时间访问公网。

∙ 内部网络中10.110.11.0/24网段的LAN2用户只允许周末时间访问公网。

∙ 公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP服务。

图1跨VPN转发典型配置组网图

3.2 配置思路

为了使内网主机能够访问公网，需要在出接口上配置NAT转换，并使对应的地址池和公网VPN实例相关联。

3.3 使用版本

本文档基于U200-SR5135版本进行配置和验证。

3.4 配置步骤

3.4.1 通过Web方式配置

（1）创建VPN实例

目前设备仅支持通过命令行方式创建VPN实例，配置方法请参见“3.4.2

（1）创建VPN实例”。

（2）接口绑定VPN实例并加入安全域

#接口绑定VPN实例。

目前设备仅支持通过命令行方式配置接口绑定VPN实例，配置方法请参见“3.4.2

（2）接口绑定VPN实例”。

#新建安全域Trust1。

在左侧导航栏中选择“设备管理>安全域”，进入下图2所示的安全域显示页面。

图2安全域显示页面

#单击<新建>按钮，新建一个安全域。

图3安全域新建页面

#点击<确定>按钮完成操作。

#同理新建安全域Trust2，完成配置后安全域页面显示如图4所示。

图4安全域新建后的显示页面

#将接口加入安全域Trust1。

点击Trust1对应的编辑按钮

，进入如图5所示的安全域编辑页面。

图5安全域编辑页面

#勾选GigabitEthernet0/1前面的复选框，点击<确定>按钮完成操作。

#同理配置将接口GigabitEthernet0/3加入安全域Trust2，接口GigabitEthernet0/2加入安全域Untrust。

#完成配置后，在左侧导航栏中选择“设备管理>接口管理”，进入接口列表显示页面，配置结果如图6所示：

图6接口列表显示页面

（3）配置绑定VPN实例的NATOutbound

#在左侧导航栏中选择“防火墙>ACL”，进入如图7所示的ACL列表页面。

配置访问控制列表2001，允许私网VPN1和私网VPN2的用户访问公网。

图7ACL列表页面

#单击<新建>按钮，新建ACL。

图8ACL新建页面

#点击<确定>按钮页面自动切换到ACL列表显示页面。

图9ACL列表页面

#点击ACL2001对应的

按钮，添加规则。

图10BasicACL2001页面

#点击<新建>按钮，进入新建ACL规则页面。

图11新建ACL规则页面

#勾选源IP地址前的复选框，输入10.110.10.0，源地址通符为0.0.0.255，选择VPN实例为VPN1，点击<确定>按钮，页面自动切换到基本ACL2001页面。

图12BasicACL2001页面

#点击<新建>按钮。

图13新建ACL规则页面

#勾选源IP地址前的复选框，输入10.110.11.0，源地址通符为0.0.0.255，选择VPN实例为VPN2，点击<确定>按钮，页面切换到基本ACL2001页面。

图14BasicACL2001页面

#在左侧导航栏中选择“防火墙>NAT>动态地址转换”，进入如图15所示的动态地址转换页面；配置IP地址池1，包括两个公网地址202.38.1.2和202.38.1.3。

图15动态地址转换页面

#单击地址池页签里的<新建>按钮，进入新建地址池页面。

图16新建地址池页面

#点击<确定>按钮完成地址池配置，页面自动切换到如图17所示的地址池显示页面。

图17地址池显示页面

#点击图17中地址转换关联页签对应的<新建>按钮，进入新建动态NAT页面。

在出接口GigabitEthernet0/2上配置natoutbound并与公网的VPN实例相关联。

图18新建动态地址转换策略页面

#点击<确定>按钮完成操作。

（4）配置绑定VPN实例的NATServer

#在左侧导航栏中选择“防火墙>NAT>内部服务器”，进入如图19所示的内部服务器转换页面。

设置内部FTP服务器并与公网的VPN实例相关联。

图19内部服务器页面

#单击内部服务器转换页签对应的<新建>按钮。

图20新建内部服务器页面

#单击<确定>按钮完成操作，页面自动切换到内部服务器转换页面。

图21内部服务器页面

#点击图21中的<新建>按钮，进入新建内部服务器页面。

设置内部Web服务器并与公网的VPN实例相关联。

图22新建内部服务器页面

#单击<确定>按钮完成操作，页面自动切换到内部服务器转换页面，配置结果如图23所示。

图23内部服务器转换页面

（5）配置域间策略

#在左侧导航栏中选择“资源管理>时间段”，进入如图24所示的时间段页面。

配置时间范围周末时间段。

图24时间段页面

#单击<新建>按钮；

图25新建时间段页面

#单击<确定>按钮完成操作。

#在左侧导航栏中选择“防火墙>安全策略>域间策略”，进入如图26所示的域间策略页面。

配置域间策略，允许私网VPN2中的安全域Trust2的用户在周末时间访问公网。

图26域间策略页面

#单击<新建>按钮，进入新建域间策略页面；

图27新建域间策略页面

#选择源域为Trust2，目的域为Untrust；

#选择源IP地址为any_address，目的IP地址为any_address，名称为any_service；

#选择过滤动作为Permit；

#选择时间段为weekend；

#选中开启Syslog日志功能后面的复选框；

#单击<确定>按钮，完成一条域间策略配置。

#选择名称为any_service，选择过滤动作为deny，选中开启Syslog日志功能后面的复选框。

图28新建域间策略页面

#点击<确定>按钮，完成另一条域间策略配置。

#同理配置域间策略，允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务，允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务，完成所有域间策略配置后，域间策略列表显示如图29所示：

图29域间策略显示页面

（6）配置跨VPN实例的静态路由

目前设备仅支持通过命令行方式配置跨VPN实例的静态路由，配置方法请参见“3.4.2（7）配置跨VPN实例的静态路由”。

3.4.2 通过命令行方式配置

（1）创建VPN实例

#创建VPN实例VPN1，并配置RD和VPNTarget属性。

system-view

[Firewall]ipvpn-instanceVPN1

[Firewall-vpn-instance-VPN1]route-distinguisher100:

[Firewall-vpn-instance-VPN1]vpn-target100:

[Firewall-vpn-instance-VPN1]quit

#创建VPN实例VPN2，并配置RD和VPNTarget属性。

[Firewall]ipvpn-instanceVPN2

[Firewall-vpn-instance-VPN2]route-distinguisher200:

[Firewall-vpn-instance-VPN2]vpn-target200:

[Firewall-vpn-instance-VPN2]quit

#创建VPN实例VPN3，并配置RD和VPNTarget属性。

[Firewall]ipvpn-instanceVPN3

[Firewall-vpn-instance-VPN3]route-distinguisher300:

[Firewall-vpn-instance-VPN3]vpn-target300:

[Firewall-vpn-instance-VPN3]quit

（2）接口绑定VPN实例

#接口GigabitEthernet0/1绑定VPN实例VPN1，接口GigabitEthernet0/3绑定VPN实例VPN2，接口GigabitEthernet0/2绑定VPN实例VPN3，并配置各接口的IP地址。

[Firewall]interfaceGigabitEthernet0/1

[Firewall-GigabitEthernet0/1]ipbindingvpn-instanceVPN1

[Firewall-GigabitEthernet0/1]ipaddress10.110.10.124

[Firewall-GigabitEthernet0/1]quit

[Firewall]interfaceGigabitEthernet0/3

[Firewall-GigabitEthernet0/3]ipbindingvpn-instanceVPN2

[Firewall-GigabitEthernet0/3]ipaddress10.110.11.124

[Firewall-GigabitEthernet0/3]quit

[Firewall]interfacegigabitethernet0/2

[Firewall-GigabitEthernet0/2]ipbindingvpn-instanceVPN3

[Firewall-GigabitEthernet0/2]ipaddress202.38.1.124

[Firewall-GigabitEthernet0/2]quit

（3）创建安全域，并将接口加入安全域

#创建安全域Trust1，将接口GigabitEthernet0/1加入安全域Trust1。

[Firewall]zonenameTrust1id6

[Firewall-zone-Trust1]priority80

[Firewall-zone-Trust1]importinterfaceGigabitEthernet0/1

[Firewall-zone-Trust1]quit

#创建安全域Trust2，将接口GigabitEthernet0/3加入安全域Trust2。

[Firewall]zonenameTrust2id7

[Firewall-zone-Trust2]priority80

[Firewall-zone-Trust2]importinterfaceGigabitEthernet0/3

[Firewall-zone-Trust2]quit

#配置安全域Untrust，将接口GigabitEthernet0/2加入安全域Untrust。

[Firewall]zonenameUntrust

[Firewall-zone-Untrust]importinterfaceGigabitEthernet0/2

[Firewall-zone-Untrust]quit

（4）配置绑定VPN实例的NATOutbound

#配置IP地址池1，包括两个公网地址202.38.1.2和202.38.1.3。

[Firewall]nataddress-group1202.38.1.2202.38.1.3

#配置访问控制列表2001，允许私网VPN1和私网VPN2的用户访问公网。

[Firewall]aclnumber2001

[Firewall-acl-basic-2001]rule0permitvpn-instanceVPN1source10.110.10.00.0.0.255

[Firewall-acl-basic-2001]rule5permitvpn-instanceVPN2source10.110.11.00.0.0.255

[Firewall-acl-basic-2001]ruledeny

[Firewall-acl-basic-2001]quit

#在出接口GigabitEthernet0/2上配置natoutbound并与公网的VPN实例相关联。

[Firewall]interfacegigabitethernet0/2

[Firewall-GigabitEthernet0/2]natoutbound2001address-group1vpn-instanceVPN3

[Firewall-GigabitEthernet0/2]quit

（5）配置绑定VPN实例的NATServer

#进入接口GigabitEthernet0/2。

[Firewall]interfacegigabitethernet0/2

#设置内部FTP服务器并与公网的VPN实例相关联。

[Firewall-GigabitEthernet0/2]natserverprotocoltcpglobal202.38.1.1ftpvpn-instanceVPN3inside10.110.10.2ftp

#设置内部Web服务器并与公网的VPN实例相关联。

[Firewall-GigabitEthernet0/2]natserverprotocoltcpglobal202.38.1.1wwwvpn-instanceVPN3inside10.110.11.2www

[Firewall-GigabitEthernet0/2]quit

（6）配置域间策略

#配置时间范围周末时间段。

[Firewall]time-rangeweekend00:

00to24:

00off-day

#在源安全域Trust2到目的安全域Untrust的域间实例上，允许私网VPN2中的安全域Trust2的用户只能在周末时间访问公网，其他时间访问公网被拒绝，并记录域间策略日志。

[Firewall]interzonesourceTrust2destinationUntrust

[Firewall-interzone-Trust2-Untrust]rule0permitloggingtime-rangeweekend

[Firewall-interzone-Trust2-Untrust-rule-0]source-ipany_address

[Firewall-interzone-Trust2-Untrust-rule-0]destination-ipany_address

[Firewall-interzone-Trust2-Untrust-rule-0]serviceany_service

[Firewall-interzone-Trust2-Untrust-rule-0]ruleenable

[Firewall-interzone-Trust2-Untrust-rule-0]quit

[Firewall-interzone-Trust2-Untrust]rule1denylogging

[Firewall-interzone-Trust2-Untrust-rule-1]source-ipany_address

[Firewall-interzone-Trust2-Untrust-rule-1]destination-ipany_address

[Firewall-interzone-Trust2-Untrust-rule-1]serviceany_service

[Firewall-interzone-Trust2-Untrust-rule-1]ruleenable

[Firewall-interzone-Trust2-Untrust-rule-1]quit

[Firewall-interzone-Trust2-Untrust]quit

#配置域间策略，允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务，并记录域间策略日志。

[Firewall]interzonesourceUntrustdestinationTrust1

[Firewall-interzone-Untrust-Trust1]rule0permitlogging

[Firewall-interzone-Untrust-Trust1-rule-0]source-ipany_address

[Firewall-interzone-Untrust-Trust1-rule-0]destination-ipany_address

[Firewall-interzone-Untrust-Trust1-rule-0]serviceftp

[Firewall-interzone-Untrust-Trust1-rule-0]ruleenable

[Firewall-interzone-Untrust-Trust1-rule-0]quit

[Firewall-interzone-Untrust-Trust1]quit

#配置域间策略，允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务，并记录域间策略日志。

[Firewall]interzonesourceUntrustdestinationTrust2

[Firewall-interzone-Untrust-Trust2]rule0permitlogging

[Firewall-interzone-Untrust-Trust2-rule-0]source-ipany_address

[Firewall-interzone-Untrust-Trust2-rule-0]destination-ipany_address

[Firewall-interzone-Untrust-Trust2-rule-0]servicehttp

[Firewall-interzone-Untrust-Trust2-rule-0]ruleenable

[Firewall-interzone-Untrust-Trust2-rule-0]quit

[Firewall-interzone-Untrust-Trust2]quit

（7）配置跨VPN实例的静态路由

#配置私网VPN1到公网VPN3的静态路由。

[Firewall]iproute-staticvpn-instanceVPN10.0.0.00.0.0.0GigabitEthernet0/2202.38.1.11

#配置私网VPN2到公网VPN3的静态路由。

[Firewall]iproute-staticvpn-instanceVPN20.0.0.00.0.0.0GigabitEthernet0/2202.38.1.11

3.5 验证配置

（1） HostA在上班时间访问HostC，访问成功。

#会话信息显示如下：

Initiator:

SourceIP/Port:

10.110.10.2/2048

DestIP/Port :

202.38.1.11/1280

VPN-Instance/VLANID/VLLID:

VPN1

Responder:

SourceIP/Port:

202.38.1.11/0

DestIP/Port :

202.38.1.3/1026

VPN-Instance/VLANID/VLLID:

VPN3

Pro:

ICMP

（1） App:

unknown State:

ICMP-CLOSED

Starttime:

2012-03-0717:

42:

41 TTL:

24s

Root Zone（in）:

trust1

Zone（out）:

Untrust

Receivedpacket（s）（Init）:

1packet（s）60byte（s）

Receivedpacket（s）（Reply）:

1packet（s）60byte（s）

（2） HostB在上班时间访问HostC，访问失败。

#域间策略日志显示如下：

%Mar 808:

46:

23:

1162012H3CFILTER/6/ZONE_DP_FLT_EXECUTION_ICMP_LOG:

srcZoneNa

me（1034）=Trust2;destZoneName（1035）=Untrust;rule_ID（1070）=1;policyActType（1071）=d

enied;protType（1001）=ICMP

（1）;srcIPAddr（1017）=10.110.11.2;destIPAddr（1019）=202.38

.1.11;icmpType（1072）=（114）echo（8）;icmpCode（1073）=（142）unrecognizedcode（0）;begin

Time_e（1013）=03082012084612;endTime_e（1014）=03082012084612;

（3） HostB在周末时间访问HostC，访问成功。

#域间策略日志显示如下：

%Mar1008:

展开阅读全文