2. 程式人生 > >USG5500 配置地址池和easy-ip雙出口NAT

USG5500 配置地址池和easy-ip雙出口NAT

阿新 發佈:2018-12-27

一、組網需求:

1、某公司購買了兩個運營商的公網IP,使公司內部使用者能夠通過NAT訪問網際網路。但是向A運營商只購買一個公網IP,所以想配置為easy-ip的NAT模式。向B運營商購買了6公網IP(202.202.202.1-202.202.202.6),所有想配置為NAT地址池模式。

另外,同一個網段的內網,指定IP的機器不能訪問網際網路,其他IP可以訪問網際網路。

2、網路拓撲

3、資料規劃

VLAN:vlan172(172.16.1.1/24),vlan192(192.168.1.1/24),vlan100(100.100.100.1/24)

SW1:G0/0/1:(vlan100),G0/0/2:(vlan192),G0/0/3:(vlan172),G0/0/4:(vlan192)

FW1:G0/0/1(100.100.100.2),G0/0/2(201.201.201.1/24),G0/0/3(202.202.202.1/24)

ISP1:G0/0/2(201.201.201.2/24),G0/0/0(203.203.203.2/24)

ISP2:G0/0/2(202.202.202.6/24),G0/0/0(203.203.203.3/24)

4、配置思路

匯聚層劃分vlan,並配置IP,對應介面應用vlan

防火牆配置IP,域間安全策略,NAT

二、操作步驟

SW1交換機

1、配置vlan和介面

<Huawei>system-view 
[Huawei]sysname SW1
[SW1]vlan batch 172 192 100
[SW1]interface  Vlanif  172
[SW1-Vlanif172]ip address  172.16.1.1 24
[SW1-Vlanif172]q	
[SW1]interface  Vlanif  192
[SW1-Vlanif192]ip address  192.168.1.1 24
[SW1-Vlanif192]q
[SW1]interface  Vlanif  100
[SW1-Vlanif100]ip address  100.100.100.1 24
[SW1-Vlanif100]q
[SW1]interface  GigabitEthernet  0/0/2
[SW1-GigabitEthernet0/0/2]port link-type  access
[SW1-GigabitEthernet0/0/2]port default  vlan 192
[SW1-GigabitEthernet0/0/2]q
[SW1]interface  GigabitEthernet  0/0/4
[SW1-GigabitEthernet0/0/4]port link-type access
[SW1-GigabitEthernet0/0/4]port default  vlan 192
[SW1-GigabitEthernet0/0/4]q
[SW1]interface  GigabitEthernet  0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default  vlan  172
[SW1-GigabitEthernet0/0/3]q
[SW1]interface  GigabitEthernet  0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default  vlan  100
[SW1-GigabitEthernet0/0/1]q

2、新增路由

[SW1]ip route-static 0.0.0.0 0.0.0.0 100.100.100.2

FW1防火牆

1、配置介面IP地址

<SRG>system-view
[SRG]sysname FW1
[FW1]interface  GigabitEthernet  0/0/1
[FW1-GigabitEthernet0/0/1]ip address  100.100.100.2 24
[FW1-GigabitEthernet0/0/1]q
[FW1]interface  GigabitEthernet  0/0/2
[FW1-GigabitEthernet0/0/2]ip address  201.201.201.1 24
[FW1-GigabitEthernet0/0/2]q
[FW1]interface  GigabitEthernet  0/0/3
[FW1-GigabitEthernet0/0/3]ip address  202.202.202.1 24
[FW1-GigabitEthernet0/0/3]q

2、介面加入對應安全區域

[FW1]firewall zone trust
[FW1-zone-trust]add  interface  GigabitEthernet  0/0/1
[FW1-zone-trust]q
[FW1]firewall zone  untrust
[FW1-zone-untrust]add interface GigabitEthernet 0/0/2
[FW1-zone-untrust]add interface GigabitEthernet 0/0/3
[FW1-zone-untrust]q

3、配置域間安全策略,允許內網指定網點與公網進行報文互動,並拒絕指定內網IP不能與公網通訊

[FW1]policy interzone  trust untrust outbound 
[FW1-policy-interzone-trust-untrust-outbound]policy 1
[FW1-policy-interzone-trust-untrust-outbound-1]policy source 192.168.1.20 0
[FW1-policy-interzone-trust-untrust-outbound-1]action  deny
[FW1-policy-interzone-trust-untrust-outbound-1]q
[FW1-policy-interzone-trust-untrust-outbound]policy 2
[FW1-policy-interzone-trust-untrust-outbound-2]policy  source 192.168.0.0 mask 16
[FW1-policy-interzone-trust-untrust-outbound-2]action  permit
[FW1-policy-interzone-trust-untrust-outbound-2]q	
[FW1-policy-interzone-trust-untrust-outbound]policy 3
[FW1-policy-interzone-trust-untrust-outbound-3]policy source 172.16.0.0 mask 16
[FW1-policy-interzone-trust-untrust-outbound-3]action  permit
[FW1-policy-interzone-trust-untrust-outbound-3]q
[FW1-policy-interzone-trust-untrust-outbound]q

這裡需要注意的是策略的執行順序,預設是按照配置的先後順序,而不是policy數字的大小。所以如果拒絕動作是後來才配置的,需要移動策略的順序。(執行命令policy move policy-id1 { before | after } policy-id2,調整策略優先順序。

4、配置NAT地址池,並允許埠轉換,實現公網地址複用

[FW1]nat address-group 172 202.202.202.3 202.202.202.6

5、配置源NAT策略,實現內網指定網段訪問公網時自動進行源地址轉換

[FW1]nat-policy interzone trust untrust outbound
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 1
[FW1-nat-policy-interzone-trust-untrust-outbound-1]action  source-nat
[FW1-nat-policy-interzone-trust-untrust-outbound-1]policy source 192.168.0.0 mask 16
[FW1-nat-policy-interzone-trust-untrust-outbound-1]easy-ip GigabitEthernet 0/0/2
[FW1-nat-policy-interzone-trust-untrust-outbound-1]q
[FW1-nat-policy-interzone-trust-untrust-outbound]policy 2
[FW1-nat-policy-interzone-trust-untrust-outbound-2]action  source-nat
[FW1-nat-policy-interzone-trust-untrust-outbound-2]policy source 172.16.0.0 mask 16
[FW1-nat-policy-interzone-trust-untrust-outbound-2]address-group 172
[FW1-nat-policy-interzone-trust-untrust-outbound-2]q
[FW1-nat-policy-interzone-trust-untrust-outbound]q

6、在防火牆配置預設路由,使內網流量可以正常傳送至ISP路由器

[FW1]ip route-static 0.0.0.0 0.0.0.0 201.201.201.2
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.202.202.2
[FW1]ip route-static 192.168.0.0 16 100.100.100.1
[FW1]ip route-static 172.16.0.0 16 100.100.100.1

三、檢視防火牆驗證

1、防火牆NAT轉發記錄

[FW1]display firewall session table
16:37:35  2018/08/05
 Current Total Sessions : 10
  icmp  VPN:public --> public 172.16.1.10:19639[202.202.202.6:2079]-->203.203.203.10:2048
  icmp  VPN:public --> public 172.16.1.10:19895[202.202.202.6:2080]-->203.203.203.10:2048
  icmp  VPN:public --> public 172.16.1.10:20151[202.202.202.6:2081]-->203.203.203.10:2048
  icmp  VPN:public --> public 172.16.1.10:20407[202.202.202.6:2082]-->203.203.203.10:2048
  icmp  VPN:public --> public 172.16.1.10:20663[202.202.202.6:2083]-->203.203.203.10:2048
  icmp  VPN:public --> public 192.168.1.10:22455[201.201.201.1:2123]-->203.203.203.10:2048
  icmp  VPN:public --> public 192.168.1.10:22711[201.201.201.1:2124]-->203.203.203.10:2048
  icmp  VPN:public --> public 192.168.1.10:23223[201.201.201.1:2125]-->203.203.203.10:2048
  icmp  VPN:public --> public 192.168.1.10:23479[201.201.201.1:2126]-->203.203.203.10:2048
  icmp  VPN:public --> public 192.168.1.10:23735[201.201.201.1:2127]-->203.203.203.10:2048

2、域間安全策略命中次數,可以看到允許通過的IP次數和拒絕IP(192.268.1.20)的次數為5

[FW1]display policy interzone trust untrust outbound 
16:40:33  2018/08/05
policy interzone trust untrust outbound
 firewall default packet-filter is deny
 policy 1 (5 times matched)
  action deny 
  policy service service-set ip
  policy source 192.168.1.20 0
  policy destination any

 policy 2 (80 times matched)
  action permit 
  policy service service-set ip
  policy source 192.168.0.0 mask 16
  policy destination any

 policy 3 (38 times matched)
  action permit 
  policy service service-set ip
  policy source 172.16.0.0 mask 16
  policy destination any

四、補充說明

1、就算域間策略預設規則是放通的,但是如果手動指定的拒絕通過,還是無法訪問的,比如trunk到untrunk 預設是允許的

[FW1]firewall  packet-filter default permit interzone trust untrust  direction outbound

但是還是會被拒絕,可以看到拒絕命中條目增加了

[FW1]display policy interzone trust untrust outbound
17:09:35  2018/08/05
policy interzone trust untrust outbound
 firewall default packet-filter is permit
 policy 1 (34 times matched)
  action deny 
  policy service service-set ip
  policy source 192.168.1.20 0
  policy destination any

 policy 2 (80 times matched)
  action permit 
  policy service service-set ip
  policy source 192.168.0.0 mask 16
  policy destination any

 policy 3 (38 times matched)
  action permit 
  policy service service-set ip
  policy source 172.16.0.0 mask 16
  policy destination any

 

相關推薦

USG5500 配置地址easy-ip出口NAT

一、組網需求: 1、某公司購買了兩個運營商的公網IP,使公司內部使用者能夠通過NAT訪問網際網路。但是向A運營商只購買一個公網IP,所以想配置為easy-ip的NAT模式。向B運營商購買了6公網IP(202.202.202.1-202.202.202.6),所有想配置為NAT地址池模式。

在yum 安裝(docker方式安裝)的redis 配置認證密碼 限定IP登入

一.redis配置密碼 1.通過配置檔案進行配置 yum方式安裝的redis配置檔案通常在/etc/redis.conf中,開啟配置檔案找到 #requirepass foobared 去掉行前的註釋,並修改密碼為所需的密碼,儲存檔案

在IIS上配置應用網站

在IIS管理控制檯中展開網站資料夾,右擊對應的網站,然後選擇屬性,在彈出的網站屬性對話方塊上,點選主目錄標籤,然後在應用程式池欄選擇不同的應用程式池即可,預設情況下所有網站所使用的應用程式均名為預設應用程式,如果要想此網站使用不同的應用程式名,則在應用程式名欄修改即可,例如在此我就修改為winsvr,這主要是

【TCP/IPIP地址分類特殊IP地址

IP地址是因特網技術中的一個非常重要的概念,IP地址在IP層實現了底層網路地址的統一,使因特網的網路層地址具有全域性唯一性和一致性。IP地址含有位置資訊,反映了主機的網路連線,使因特網進行定址和路由選擇的依據。IP地址概述地址是標識物件所處位置的識別符號。傳輸中的資訊帶有源地

在Tomcat中配置連線資料來源

1、DataSource介面介紹 (1)DataSource 概述 JDBC1.0原來是用DriverManager類來產生一個對資料來源的連線。JDBC2.0用一種替代的方法,使用DataSource的實現,程式碼變的更小巧精緻,也更容易控制。 一個DataSource

Ubuntu配置修改IP地址

ren from var address can gen pen -name get http://blog.csdn.net/readiay/article/details/50866709 Ubuntu配置和修改IP地址 1、修改配置文件/etc/network/i

配置計算機名工作組,TCP/IP地址配置,網路連通性測

1.配置計算機名及工作組 本例要求為修改計算機名並加入工作組: 1)設定計算機名:姓名拼音 2)設定工作組名:TARENA-NETWORK 1.2 方案 修改Windows 2008伺服器的計算機名(可設為自己的姓名拼音),將所屬工作組名設為:Tarena-Ne

DHCP動態配置ip地址指定ip地址

實驗準備及目標 1.兩臺虛擬機器 2.服務端IP:192.168.1.1 3.客戶端IP:動態+指定IP:192.168.1.88 服務端 1.DHCP軟體安裝 在軟體安裝包下: rpm -ivh dhcp-4.1.1-38.P1.el6.x86_64.rpm

35.3 Ubuntu配置修改IP地址

1、修改配置檔案/etc/network/interfaces[email protected]:~# sudo gedit /etc/network/interfaces 新增以下內容:auto eth0                  #設定自動啟動

SSG5簡易配置命令及忘記登入密碼裝置ip地址 的方法

2、  ssg5-serial-> set admin name                XXX            //設定登入使用者名稱 3、  ssg5-serial-> set admin password  ***    //設定登入密碼 4、  ssg5-serial-

第5章 IP地址子網劃分(2)_IP地址分類NAT技術

sts 端口 主機數 int 2.3 主機ip 主機 和源 找到 3. IP地址的分類 (1)五類IP地址 (2)數軸表示法 4. 保留地址 (1)網段的地址:主機ID全0。如192.168.100.0/24,其中的192.168.10.0指的是網段。 (2)廣播地

Spring Boot入門第三天:配置日誌系統Druid數據庫連接

禁用 css ret 輸入 ogg servlet log http gif 一、日誌管理 1.在application.properties文件中加入如下內容: logging.level.root=WARN logging.level.org.springfram

Nginx配置二級目錄/路徑 映射不同的反向代理規避IP+端口訪問

nbsp ade 直接 窗口 返回 ngs remote 測試 span 當配置Nginx來映射不同的服務器 可以通過二級路徑來反向代理 來解決一個外網端口實現多個服務訪問。 配置如下: server { listen 80; ser

配置服務主機名域名IP解析

配置服務主機名和域名ip解析 配置服務主機名和域名IP解析 1 linux 配置主機、域名-ipCentOS7下修改主機名第一種:hostname 主機名01.hostname 主機名稱 這種方式,只能修改臨時的主機名,當重啟機器後,主機名稱又變回來了。第二種:hostnamectl set-hostname

Centos 6.5網卡IP網關配置

ip地址配置因公司業務需要需在服務器上配置電信,聯通兩個運營商的IP地址,實現數據分別從兩個地址傳輸,即兩個IP地址都能與外界網絡互通。當時我發現在服務器的兩塊網卡上分別配置兩個IP地址及網關,重啟網絡服務之後,系統會默認選取其中一塊網卡的網關做為數據傳輸網關,這樣造成的後果就是一塊網卡無法與外界通信,後來手

電腦小白學習第一課---IP地址查詢設置

信息 獲得 一個 mage ges 網絡連接 連接 回車 學習 IP地址網絡的身.份.證信息 (唯一性,不可重復,同一個區域不可以設置相同的IP地址)IP分為分為IPv4和IPv6目前我們一般使用IPv4設置方法:電腦右下角網絡連接圖標右擊--->打開網絡和共享中心-

IP地址的分類劃分以及網卡綁定bond0

網卡綁定 IP地址分類 子網劃分 一、IP地址的簡介iP地址是指互聯網協議地址(英語:Internet Protocol Address,又譯為網際協議地址),是IP Address的縮寫。IP地址是IP協議提供的一種統一的地址格式,它為互聯網上的每一個網絡和每一臺主機分配一個邏輯地址,以此來屏蔽

9、網絡知識(路由交換ARP協議)+配置單網卡多ip配置默認路由

路由交換 ARP協議 網絡配置網絡知識詳解 提問:網絡到底是什麽?我們在電纜中傳輸的都是電信號(高電壓或者是低電壓),所以高電壓就是1,低電壓就是0,所以規定一定的時間傳輸固定的高低電壓來當做是接收的數據我們所謂的10Mbps:每秒中可以傳輸10M個bit所以別人說你的是4M的帶寬,指的就是4Mbps,要除

LEDE配置DHCP按順序分配ip地址

LEDELEDE配置DHCP按順序分配ip地址

關於在地址下綁定IP時報錯The IP address‘s status is error解決方法

key src gb2 c99 blob 電腦 oss ont ror 我使用華為交換機為一家企業裏電腦綁定IP地址時報:The IP address's status is error的錯誤。如下圖: 這時我覺得可能這個IP地址已經被DHCP服務給分配到