网络运维|防火墙NAT应用经典方案
2020-06-02 21:06 作者:admin 浏览量:
大家好,我是一枚从事
IT外包的
网络安全运维工程师,今天和大家分享的是
网络安全设备维护相关的内容,今天就和大家聊一聊
防火墙的NAT的应用场景。简单
网络安全运维,从防火墙学起,一步一步学成
网络安全运维大神。
网络维护是一种
日常维护,包括
网络设备管理(如计算机,服务器)、操作
系统维护(系统打补丁,系统升级)、
网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京
网络维护服务,北京
网络维修信息查询,同时您可以免费资讯北京
网络维护,北京
网络维护服务,北京
网络维修信息。专业的北京
网络维护信息就在
北京艾锑无限+
+
北京
网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京
网络维护信息
目的NAT
在本例中,USG部署在无线用户的移动终端(如手机)和WAP网关之间,为一些缺省WAP网关不正确的移动终端进行NAT转换,使他们的报文能够被转发给正确的WAP网关。
组网需求
手机用户需要通过登录WAP(Wireless Application Protocol)网关来实现上网的功能。目前,大量用户使用直接从国外购买手机,这些手机出厂时,缺省设置的WAP网关地址与本国WAP网关地址不符,且无法自行修改,从而导致用户不能移动上网。
为解决这一问题,无线网络中,可以在WAP网关与用户之间部署USG,如图7-92所示。通过在USG上配置目的NAT功能,使这部分手机用户能够正常获取网络资源。
图 手机用户上网目的地址转换典型组网图
项目 |
数据 |
(1) |
接口号:GigabitEthernet 0/0/3
IP地址:10.1.1.1/24
安全区域:Trust |
(2) |
接口号:GigabitEthernet 0/0/4
IP地址:200.10.10.1/24
安全区域:Untrust |
手机出厂默认网关地址 |
202.10.10.2 |
当地运营商网关地址 |
200.10.10.2 |
配置思路
目的NAT是一种转换报文目的IP地址的方式,目的NAT在安全区域内起作用,将来自该安全区域的符合特定条件的报文的目的地址以及目的端口转换为指定的地址及端口。
在本举例中,USG需要将收到的手机报文的网关地址修改为运营商的网关地址。
配置目的NAT时只需指定源安全区域,无需指定目的安全区域。源安全区域通常为用户所属的安全区域,本举例中为Trust。
目的NAT配置的菜单路径为:“防火墙 > NAT > 目的NAT > 高级目的NAT”。
操作步骤
1. 配置接口基本参数。
a. 选择“网络 > 接口 > 接口”。
b. 在“接口列表”中单击GE0/0/3对应的
。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相关参数如下,其他参数使用默认值:
· 安全区域:trust
· 模式:路由
· 连接类型:静态IP
· IP地址:10.1.1.1
· 子网掩码:255.255.255.0
d. 单击“应用”。
e. 重复上述步骤配置接口GigabitEthernet 0/0/4。
GigabitEthernet 0/0/4的相关参数如下,其他参数使用默认值:
· 安全区域:untrust
· 模式:路由
· 连接类型:静态IP
· IP地址:200.10.10.1
· 子网掩码:255.255.255.0
2. 配置域间安全策略,以保证网络基本通信正常。具体步骤略。
3. 配置目的NAT。
a. 选择“防火墙 > NAT > 目的NAT”,单击“高级目的NAT”页签。
b. 在“目的NAT策略列表”中单击
。参数配置如图7-93所示。
图7-93 配置目的NAT
c. 单击“应用”。
结果验证
配置完成后,手机可以正常上网。
如果发现手机还是无法正常上网,请依次检查以下配置项:
1. 使用一台默认WAP网关与本地运营商的WAP网关一致的手机,看是否可以正常上网。
· 如果可以,说明USG的基本配置没有问题,需要继续向下检查。
· 如果不可以,说明还没有实现基本的通信功能,需要检查USG的基本配置。
2. 检查无法上网手机的默认WAP网关地址是否和目的NAT中配置的“目的地址”一致。
· 如果一致,说明“目的地址”配置没有问题,需要继续向下检查。
· 如果不一致,说明“目的地址”没有和手机匹配,需要重新配置正确的“目的地址”。
3. 检查目的NAT配置的其他限制条件是否对无法上网的手机有所限制,例如“源地址”不包括该手机的IP、所配置的“服务”与手机所需服务不符,“时间段”不包括使用该手机的时间等。
· 如果经检查,目的NAT的配置对无法上网的手机没有任何限制,需要继续向下检查。
· 如果检查发现目的NAT配置有误,需要重新配置目的NAT,修改为正确的参数。
4. 检查“转换后的IP地址”是否与本地运营商的WAP网关地址相同。
· 如果相同,说明网关地址配置没有问题。需要寻求技术支持。
· 如果不同,需要重新配置目的NAT,将“转换后的IP地址”修改为运营商的WAP网关
以上文章由北京艾锑无限科技发展有限公司整理