NAT多实例的配置案例.docx

1、NAT多实例的配置案例1 简介本文档介绍使用NAT多实例的配置案例。2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解NAT多实例的特性。3 配置举例3.1 组网需求如图1所示，一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网络使用的网段地址网址为10.110.0.0/16。10.11

2、0.10.0/24网段的用户属于私网VPN1，加入安全域Trust1；10.110.11.0/24网段的用户属于私网VPN2，加入安全域Trust2；公网的用户属于VPN3，加入安全域Untrust。需要实现如下功能： 内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。 内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。 公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP服务。图1 跨VPN转发典型配置组网图3.2 配置思路为了使内网主机能够访问公网，需要在出接口上配置NAT转换，并使对应的地址池和公网VP

3、N实例相关联。3.3 使用版本本文档基于U200-S R5135版本进行配置和验证。3.4 配置步骤3.4.1 通过Web方式配置(1) 创建VPN实例目前设备仅支持通过命令行方式创建VPN实例，配置方法请参见“3.4.2 (1)创建VPN实例”。(2) 接口绑定VPN实例并加入安全域# 接口绑定VPN实例。目前设备仅支持通过命令行方式配置接口绑定VPN实例，配置方法请参见“3.4.2 (2)接口绑定VPN实例”。# 新建安全域Trust1。在左侧导航栏中选择 “设备管理 安全域”，进入下图2所示的安全域显示页面。图2 安全域显示页面# 单击按钮，新建一个安全域。图3 安全域新建页面# 点击按

4、钮完成操作。# 同理新建安全域Trust2，完成配置后安全域页面显示如图4所示。图4 安全域新建后的显示页面# 将接口加入安全域Trust1。点击Trust1对应的编辑按钮，进入如图5所示的安全域编辑页面。图5 安全域编辑页面# 勾选GigabitEthernet0/1前面的复选框，点击按钮完成操作。# 同理配置将接口GigabitEthernet0/3加入安全域Trust2，接口GigabitEthernet0/2加入安全域Untrust。# 完成配置后，在左侧导航栏中选择 “设备管理 接口管理”，进入接口列表显示页面，配置结果如图6所示：图6 接口列表显示页面(3) 配置绑定VPN实例的N

5、AT Outbound# 在左侧导航栏中选择 “防火墙 ACL”，进入如图7所示的ACL列表页面。配置访问控制列表2001，允许私网VPN1和私网VPN2的用户访问公网。图7 ACL列表页面# 单击按钮，新建ACL。图8 ACL新建页面# 点击按钮页面自动切换到ACL列表显示页面。图9 ACL列表页面# 点击ACL 2001对应的 按钮，添加规则。图10 Basic ACL 2001页面# 点击按钮，进入新建ACL规则页面。图11 新建ACL规则页面# 勾选源IP地址前的复选框，输入10.110.10.0，源地址通符为0.0.0.255，选择VPN实例为VPN1，点击按钮，页面自动切换到基本

6、ACL 2001页面。图12 Basic ACL 2001页面# 点击按钮。图13 新建ACL规则页面# 勾选源IP地址前的复选框，输入10.110.11.0，源地址通符为0.0.0.255，选择VPN实例为VPN2，点击按钮，页面切换到基本ACL 2001页面。图14 Basic ACL 2001页面# 在左侧导航栏中选择 “防火墙 NAT 动态地址转换”，进入如图15所示的动态地址转换页面；配置IP地址池1，包括两个公网地址202.38.1.2和202.38.1.3。图15 动态地址转换页面# 单击地址池页签里的按钮，进入新建地址池页面。图16 新建地址池页面# 点击按钮完成地址池配置，页

7、面自动切换到如图17所示的地址池显示页面。图17 地址池显示页面# 点击图17中地址转换关联页签对应的按钮，进入新建动态NAT页面。在出接口GigabitEthernet0/2上配置nat outbound并与公网的VPN实例相关联。图18 新建动态地址转换策略页面# 点击按钮完成操作。(4) 配置绑定VPN实例的NAT Server# 在左侧导航栏中选择 “防火墙 NAT 内部服务器”，进入如图19所示的内部服务器转换页面。设置内部FTP服务器并与公网的VPN实例相关联。图19 内部服务器页面# 单击内部服务器转换页签对应的按钮。图20 新建内部服务器页面# 单击按钮完成操作，页面自动切换到

8、内部服务器转换页面。图21 内部服务器页面# 点击图21中的按钮，进入新建内部服务器页面。设置内部Web服务器并与公网的VPN实例相关联。图22 新建内部服务器页面# 单击按钮完成操作，页面自动切换到内部服务器转换页面，配置结果如图23所示。图23 内部服务器转换页面(5) 配置域间策略# 在左侧导航栏中选择 “资源管理 时间段”，进入如图24所示的时间段页面。配置时间范围周末时间段。图24 时间段页面# 单击按钮；图25 新建时间段页面# 单击按钮完成操作。# 在左侧导航栏中选择 “防火墙 安全策略 域间策略”，进入如图26所示的域间策略页面。配置域间策略，允许私网VPN2中的安全域Trus

9、t2的用户在周末时间访问公网。图26 域间策略页面# 单击按钮，进入新建域间策略页面；图27 新建域间策略页面# 选择源域为Trust2，目的域为Untrust；# 选择源IP地址为any_address，目的IP地址为any_address，名称为any_service； # 选择过滤动作为Permit；# 选择时间段为weekend；# 选中开启Syslog日志功能后面的复选框；# 单击按钮，完成一条域间策略配置。# 选择名称为any_service，选择过滤动作为deny，选中开启Syslog日志功能后面的复选框。图28 新建域间策略页面# 点击按钮，完成另一条域间策略配置。# 同理配置

10、域间策略，允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务，允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务，完成所有域间策略配置后，域间策略列表显示如图29所示：图29 域间策略显示页面(6) 配置跨VPN实例的静态路由目前设备仅支持通过命令行方式配置跨VPN实例的静态路由，配置方法请参见“3.4.2 (7)配置跨VPN实例的静态路由”。3.4.2 通过命令行方式配置(1) 创建VPN实例# 创建VPN实例VPN1，并配置RD和VPN Target属性。 system-viewFirewall i

11、p vpn-instance VPN1Firewall-vpn-instance-VPN1 route-distinguisher 100:1Firewall-vpn-instance-VPN1 vpn-target 100:1Firewall-vpn-instance-VPN1 quit# 创建VPN实例VPN2，并配置RD和VPN Target属性。Firewall ip vpn-instance VPN2Firewall-vpn-instance-VPN2 route-distinguisher 200:1Firewall-vpn-instance-VPN2 vpn-target 200

12、:1Firewall-vpn-instance-VPN2 quit# 创建VPN实例VPN3，并配置RD和VPN Target属性。Firewall ip vpn-instance VPN3Firewall-vpn-instance-VPN3 route-distinguisher 300:1Firewall-vpn-instance-VPN3 vpn-target 300:1Firewall-vpn-instance-VPN3 quit(2) 接口绑定VPN实例# 接口GigabitEthernet0/1绑定VPN实例VPN1，接口GigabitEthernet0/3绑定VPN实例VPN2，

13、接口GigabitEthernet0/2绑定VPN实例VPN3，并配置各接口的IP地址。Firewall interface GigabitEthernet 0/1Firewall-GigabitEthernet0/1 ip binding vpn-instance VPN1Firewall-GigabitEthernet0/1 ip address 10.110.10.1 24Firewall-GigabitEthernet0/1 quitFirewall interface GigabitEthernet 0/3Firewall-GigabitEthernet0/3 ip binding

14、vpn-instance VPN2Firewall-GigabitEthernet0/3 ip address 10.110.11.1 24Firewall-GigabitEthernet0/3 quitFirewall interface gigabitethernet 0/2Firewall-GigabitEthernet0/2 ip binding vpn-instance VPN3Firewall-GigabitEthernet0/2 ip address 202.38.1.1 24Firewall-GigabitEthernet0/2 quit(3) 创建安全域，并将接口加入安全域#

15、 创建安全域Trust1，将接口GigabitEthernet0/1加入安全域Trust1。Firewall zone name Trust1 id 6Firewall-zone-Trust1 priority 80Firewall-zone-Trust1 import interface GigabitEthernet 0/1Firewall-zone-Trust1 quit# 创建安全域Trust2，将接口GigabitEthernet 0/3加入安全域Trust2。Firewall zone name Trust2 id 7Firewall-zone-Trust2 priority 80

16、Firewall-zone-Trust2 import interface GigabitEthernet 0/3Firewall-zone-Trust2 quit# 配置安全域Untrust，将接口GigabitEthernet 0/2加入安全域Untrust。Firewall zone name UntrustFirewall-zone-Untrust import interface GigabitEthernet 0/2Firewall-zone-Untrust quit(4) 配置绑定VPN实例的NAT Outbound# 配置IP地址池1，包括两个公网地址202.38.1.2和20

17、2.38.1.3。Firewall nat address-group 1 202.38.1.2 202.38.1.3# 配置访问控制列表2001，允许私网VPN1和私网VPN2的用户访问公网。Firewall acl number 2001Firewall-acl-basic-2001 rule 0 permit vpn-instance VPN1 source 10.110.10.0 0.0.0.255Firewall-acl-basic-2001 rule 5 permit vpn-instance VPN2 source 10.110.11.0 0.0.0.255Firewall-ac

18、l-basic-2001 rule denyFirewall-acl-basic-2001 quit# 在出接口GigabitEthernet0/2上配置nat outbound并与公网的VPN实例相关联。Firewall interface gigabitethernet 0/2Firewall-GigabitEthernet0/2 nat outbound 2001 address-group 1 vpn-instance VPN3Firewall-GigabitEthernet0/2 quit(5) 配置绑定VPN实例的NAT Server# 进入接口GigabitEthernet0/2

19、。Firewall interface gigabitethernet 0/2 # 设置内部FTP服务器并与公网的VPN实例相关联。Firewall-GigabitEthernet0/2 nat server protocol tcp global 202.38.1.1 ftp vpn-instance VPN3 inside 10.110.10.2 ftp# 设置内部Web服务器并与公网的VPN实例相关联。Firewall-GigabitEthernet0/2 nat server protocol tcp global 202.38.1.1 www vpn-instance VPN3 in

20、side 10.110.11.2 www Firewall-GigabitEthernet0/2 quit(6) 配置域间策略# 配置时间范围周末时间段。Firewall time-range weekend 00:00 to 24:00 off-day# 在源安全域Trust2到目的安全域Untrust的域间实例上，允许私网VPN2中的安全域Trust2的用户只能在周末时间访问公网，其他时间访问公网被拒绝，并记录域间策略日志。Firewall interzone source Trust2 destination UntrustFirewall-interzone-Trust2-Untrus

21、t rule 0 permit logging time-range weekendFirewall-interzone-Trust2-Untrust-rule-0 source-ip any_addressFirewall-interzone-Trust2-Untrust-rule-0 destination-ip any_addressFirewall-interzone-Trust2-Untrust-rule-0 service any_serviceFirewall-interzone-Trust2-Untrust-rule-0 rule enableFirewall-interzon

22、e-Trust2-Untrust-rule-0 quitFirewall-interzone-Trust2-Untrust rule 1 deny loggingFirewall-interzone-Trust2-Untrust-rule-1 source-ip any_addressFirewall-interzone-Trust2-Untrust-rule-1 destination-ip any_addressFirewall-interzone-Trust2-Untrust-rule-1 service any_serviceFirewall-interzone-Trust2-Untr

23、ust-rule-1 rule enable Firewall-interzone-Trust2-Untrust-rule-1 quitFirewall-interzone-Trust2-Untrust quit# 配置域间策略，允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务，并记录域间策略日志。Firewall interzone source Untrust destination Trust1Firewall-interzone-Untrust-Trust1 rule 0 permit loggingFirewall-interzone-

24、Untrust-Trust1-rule-0 source-ip any_addressFirewall-interzone-Untrust-Trust1-rule-0 destination-ip any_addressFirewall-interzone-Untrust-Trust1-rule-0 service ftpFirewall-interzone-Untrust-Trust1-rule-0 rule enableFirewall-interzone-Untrust-Trust1-rule-0 quitFirewall-interzone-Untrust-Trust1 quit# 配

25、置域间策略，允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务，并记录域间策略日志。Firewall interzone source Untrust destination Trust2Firewall-interzone-Untrust-Trust2 rule 0 permit loggingFirewall-interzone-Untrust-Trust2-rule-0 source-ip any_addressFirewall-interzone-Untrust-Trust2-rule-0 destination-ip any_addres

26、sFirewall-interzone-Untrust-Trust2-rule-0 service httpFirewall-interzone-Untrust-Trust2-rule-0 rule enable Firewall-interzone-Untrust-Trust2-rule-0 quitFirewall-interzone-Untrust-Trust2 quit(7) 配置跨VPN实例的静态路由# 配置私网VPN1到公网VPN3的静态路由。Firewall ip route-static vpn-instance VPN1 0.0.0.0 0.0.0.0 GigabitEthe

27、rnet0/2 202.38.1.11# 配置私网VPN2到公网VPN3的静态路由。Firewall ip route-static vpn-instance VPN2 0.0.0.0 0.0.0.0 GigabitEthernet0/2 202.38.1.113.5 验证配置(1) Host A在上班时间访问Host C，访问成功。# 会话信息显示如下：Initiator: Source IP/Port : 10.110.10.2/2048 Dest IP/Port : 202.38.1.11/1280 VPN-Instance/VLAN ID/VLL ID: VPN1Responder:

28、Source IP/Port : 202.38.1.11/0 Dest IP/Port : 202.38.1.3/1026 VPN-Instance/VLAN ID/VLL ID: VPN3Pro: ICMP(1) App: unknown State: ICMP-CLOSEDStart time: 2012-03-07 17:42:41 TTL: 24sRoot Zone(in): trust1 Zone(out): UntrustReceived packet(s)(Init): 1 packet(s) 60 byte(s)Received packet(s)(Reply): 1 pack

29、et(s) 60 byte(s) (2) Host B在上班时间访问Host C，访问失败。# 域间策略日志显示如下：%Mar 8 08:46:23:116 2012 H3C FILTER/6/ZONE_DP_FLT_EXECUTION_ICMP_LOG: srcZoneName(1034)=Trust2;destZoneName(1035)=Untrust;rule_ID(1070)=1;policyActType(1071)=denied;protType(1001)=ICMP(1);srcIPAddr(1017)=10.110.11.2;destIPAddr(1019)=202.38.1.11;icmpType(1072)=(114)echo(8);icmpCode(1073)=(142)unrecognized code(0);beginTime_e(1013)=03082012084612;endTime_e(1014)=03082012084612; (3) Host B在周末时间访问Host C，访问成功。# 域间策略日志显示如下：%Mar 10 08: