华三F100-S-G2防火墙配置双向地转换问题
- 0关注
- 1收藏,2581浏览
问题描述:
有个工业OPC业务需要与兄弟单位互联,需要两边双向访问,兄弟单位出于安全考虑要求使用双向nat,不做路由,因此使用web界面登录到防火墙的NAT快速配置,选择了双向地址转换,配置完测试后,发现连单方向的业务的3389都访问不了,但如果分开配置natoutbount+natserver,就可以访问3389业务,但访问不了OPC应用,请求F100配置双向地址转换需要注意哪些事项,还有F100配置NAT的话,能支撑OPC应用吗
组网及组网描述:
A单位客户端-----A单位三层网络-----(A单位防火墙,配NAT)-----专线-----B单位三层网络------B单位服务器
- 2022-04-28提问
- 举报
-
(0)
看一下这个案例
3.19.3 内网用户通过NAT地址访问外网配置举例(地址重叠)
1. 组网需求
· 某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。
· 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
· 需要实现,内网用户可以通过域名访问外网的Web服务器。
2. 组网图
图3-5 内网用户通过NAT访问外网配置组网图(地址重叠)
3. 配置思路
这是一个典型的双向NAT应用,具体配置思路如下。
· 内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。
· 内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个NAT地址,可以通过出方向动态地址转换实现。
· 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/0/2。
4. 配置步骤
(1) 配置接口IP地址
# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。
<Device> system-view
[Device] interface gigabitethernet 1/0/1
[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Device-GigabitEthernet1/0/1] quit
请参考以上步骤配置其他接口的IP地址,具体配置步骤略。
(2) 将接口加入安全域
# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。
[Device] security-zone name trust
[Device-security-zone-Trust] import interface gigabitethernet 1/0/1
[Device-security-zone-Trust] quit
[Device] security-zone name untrust
[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2
[Device-security-zone-Untrust] quit
(3) 配置静态路由
本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。
# 请根据组网图中规划的信息,配置静态路由,本举例假设到达Server的下一跳IP地址为20.2.2.2,实际使用中请以具体组网情况为准,具体配置步骤如下。
[Device] ip route-static 202.38.1.2 32 20.2.2.2
(4) 配置安全策略
# 配置名称为trust-untrust的安全策略,保证Trust安全域内的Host可以访问Untrust安全域中的Server,具体配置步骤如下。
[Device] security-policy ip
[Device-security-policy-ip] rule name trust-untrust
[Device-security-policy-ip-1-trust-untrust] source-zone trust
[Device-security-policy-ip-1-trust-untrust] destination-zone untrust
[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.0 24
[Device-security-policy-ip-1-trust-untrust] destination-ip-host 202.38.1.2
[Device-security-policy-ip-1-trust-untrust] action pass
[Device-security-policy-ip-1-trust-untrust] quit
[Device-security-policy-ip] quit
(5) 配置NAT功能
# 开启DNS的NAT ALG功能。
[Device] nat alg dns
# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。
[Device] acl basic 2000
[Device-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Device-acl-ipv4-basic-2000] quit
# 创建地址组。
[Device] nat address-group 1
[Device-address-group-1] address 202.38.1.2 202.38.1.2
[Device-address-group-1] quit
[Device] nat address-group 2
[Device-address-group-2] address 202.38.1.3 202.38.1.3
[Device-address-group-2] quit
# 在接口GigabitEthernet1/0/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] nat inbound 2000 address-group 1 no-pat reversible
# 在接口GigabitEthernet1/0/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。
[Device-GigabitEthernet1/0/2] nat outbound 2000 address-group 2
[Device-GigabitEthernet1/0/2] quit
- 2022-04-28回答
- 评论(1)
- 举报
-
(1)
没有采用域问访问,是采有IP访问,NAT都有正常配了,就是不能使用,是不是有哪些功能没开起来
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
因为内、外两个接口都配了双向地址转换,两个接口都要开启吗
外接口不需要
因为是直接采用IP访问的,两个接口的模式都是配双向地址转换,怎么定义外接口与内接口,都有natoutbound