Nat server技術原理和配置過程
來源:公眾號【網絡技術干貨圈】
作者:圈圈
ID:wljsghq
Nat server技術原理
Nat server:指定公有地址:端口和私有地址:端口形成一對一映射關系——映射表。這也是Nat server與其他nat的區別之一,Nat server可以指定端口進行映射。
網絡topo如下:
配置過程:
FW:
首先對FW進行配置,給接口配置IP、掩碼。
順便把接口服務打開,為了方便直接開啟所有服務。(生產中建議按需開啟)
創建域,并將接口加入。
創建策略。
##配置IP [USG6000V1]intg1/0/0 [USG6000V1-GigabitEthernet1/0/0]ipadd192.168.1.25424 [USG6000V1-GigabitEthernet1/0/0]service-manageallp [USG6000V1-GigabitEthernet1/0/0]intg1/0/1 [USG6000V1-GigabitEthernet1/0/1]ipadd200.1.1.124 [USG6000V1-GigabitEthernet1/0/1]service-manageallpermit [USG6000V1-GigabitEthernet1/0/1]q ##端口加入域 [USG6000V1]firewallzonedmz [USG6000V1-zone-dmz]addintg1/0/0 [USG6000V1-zone-dmz]q [USG6000V1]firewallzoneuntrust [USG6000V1-zone-untrust]addintg1/0/1 [USG6000V1-zone-untrust]q ##放行策略 [USG6000V1]security-policy [USG6000V1-policy-security]rulename1 [USG6000V1-policy-security-rule-1]source-zonedmz [USG6000V1-policy-security-rule-1]destination-zoneuntrust [USG6000V1-policy-security-rule-1]source-address192.168.1.024 [USG6000V1-policy-security-rule-1]actionpermit [USG6000V1]security-policy [USG6000V1-policy-security]rulename2 [USG6000V1-policy-security-rule-2]source-zoneuntrust [USG6000V1-policy-security-rule-2]destination-zonedmz [USG6000V1-policy-security-rule-2]destination-address192.168.1.024 [USG6000V1-policy-security-rule-2]actionpermit ##配置默認路由 [USG6000V1]iproute-static0.0.0.00.0.0.0200.1.1.2 ##基于端口映射 [USG6000V1]natserverprotocoltcpglobal200.1.1.18888inside192.168.1.180
R2:
配置接口IP即可。
[Huawei]intg0/0/0 [Huawei-GigabitEthernet0/0/0]ipadd200.1.1.224 [Huawei-GigabitEthernet0/0/0]intg0/0/1 [Huawei-GigabitEthernet0/0/1]ipadd172.16.1.25424
驗證:
給server和client配置IP。
?
?
如下所示:Client可以成功訪問內網內網服務器。
也可以查看會話表信息
[USG6000V1]disfirewallsessiontableverbose
會話表不存在的原因,可能是:
訪問報文沒有到達防火墻。
訪問報文被防火墻安全策略丟包。
防火墻沒有到內網服務器的路由。
防火墻防攻擊導致丟包,例如IP spoofing。
如果會話表項存在,但是服務器響應報文數量為0,可能的原因:服務器服務未開啟,中間設備沒有到虛擬IP地址段的路由:
displayfirewallsessiontableverbosesourceglobal10.100.10.100destinationglobal192.168.10.100 httpVPN:public-->publicID:a48f3fdcb655030b65720d507 Zone:untrust-->trustTTL:2400Left:2359 RecvInterface:GigabitEthernet1/0/7 Interface:GigabitEthernet1/0/0NextHop:192.168.10.1MAC:00-03-fa-56-c2-4c <--packets:9?bytes:8772?-->packets:8bytes:728//8表示發送給服務器報文的數量,9表示服務器響應報文數量 10.100.10.100:63334-->192.168.10.100:80PolicyName:SSLVPN
以上就是Nat Server配置過程及驗證,如果問題望指出,希望可以一起進步,加油~
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
服務器
+關注
關注
12文章
9552瀏覽量
86838 -
防火墻
+關注
關注
0文章
424瀏覽量
35976 -
Server
+關注
關注
0文章
94瀏覽量
24389
原文標題:華為防火墻技術之NAT Server
文章出處:【微信號:網絡技術干貨圈,微信公眾號:網絡技術干貨圈】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
一步步教你在局域網內玩轉NAT命令
過程: 公司希望在路由器上配置NAT功能,讓內網中的用戶使用NAT訪問外網。2600系列路由器上已經配置了外網接口IP為61.51.3.1
發表于 02-24 18:01
NAT網絡穿越技術的研究
本文簡要介紹了NAT 技術的原理及應用,說明由于NAT 的特性造成主機無法主動與處于NAT 后方的主機通訊的問題,并就這個問題探討主機穿越NAT
發表于 06-29 08:18
?21次下載
基于Netfilter的NAT技術及其應用
NAT技術是為了解決IPv4網絡地址空間的不夠而提出的一種過渡技術,并由于其簡單、高效的特性而得到了廣泛的應用。該文介紹了NAT技術及在Li
發表于 12-29 23:53
?20次下載
Windows2003 中怎樣配置NAT服務器?
Windows2003 中怎樣配置NAT服務器?
概要:本文介紹了如何通過使用Windows Server 2003來配置網絡地址轉換(NAT
發表于 01-27 11:36
?1054次閱讀
路由器NAT功能配置知識
路由器NAT功能配置知識
隨著internet的網絡迅速發展,IP地址短缺已成為一個十分突出的問題。為了解決這個問題,出現了多種解決方案
發表于 04-01 11:26
?810次閱讀
Ubuntu Server菜鳥配置手冊
Ubuntu Server菜鳥配置手冊──目錄 1 安裝Ubuntu Server 4 2 簡單的配置好服務器網絡和SSH 12 3 搭建一個基于 Apache2、PHP 和 Mysq
發表于 05-22 00:54
?54次下載
用實例講解靜態NAT配置過程
NAT(網絡地址轉換)屬接入廣域網(WAN)技術,是一種將私有(保留)地址轉化為合法IP地址的轉換技術,它被廣泛應用于各種類型Internet接入方式和各種類型的網絡中。
發表于 10-13 17:31
?4653次閱讀
穿越NAT的SDWAN技術實現(上)
地址會發生變化。如果無法獲取NAT轉換后的IP地址,則CPE與CPE/RR之間無法建立SDWAN通道。為了解決此問題,需要使用靜態NAT或STUN(Session Traversal Utilities for NAT,
穿越NAT的SDWAN技術實現(中)
地址會發生變化。如果無法獲取NAT轉換后的IP地址,則CPE與CPE/RR之間無法建立SDWAN通道。為了解決此問題,需要使用靜態NAT或STUN(Session Traversal Utilities for NAT,
DHCP和NAT組網配置全過程
說明:NAT的實現方式中Easy IP和地址池NAT類似,配置參考其中一個即可!其中,地址池NAT中有以下兩種選擇方式
發表于 05-19 14:10
?1544次閱讀
什么是NAT?NAT類型有哪些?NAT是如何工作的?NAT解決了什么問題?
什么是NAT?NAT類型有哪些?NAT是如何工作的?NAT解決了什么問題?如何使用NAT? NAT
NAT技術及其應用
網絡地址轉換(NAT,Network Address Translation)是一種廣泛應用于現代網絡中的技術,旨在解決IP地址短缺問題,同時增強網絡的安全性和靈活性。本文將詳細解釋NAT技術
Juniper防火墻配置NAT映射的問題分析
記錄一下Juniper SSG或者ISG 系列防火墻上配置一對多NAT映射 VIP(Viritual Internet Protocol)時碰到的一個特殊的問題, 就是在內部服務器ICMP報文被阻斷
工商網監
評論