组网说明:
本实验采用H3C HCL模拟器的F1060防火墙来模拟basic NAT典型组网配置实验,内网和外网均已在网络拓扑图中有了明确的标识,FW1作为内网的出口设备,不仅要保障内网的安全,同时也需要提供内网访问外网的地址转换服务。内网申请到了202.1.100.2-202.1.100.5的公网地址,其中202.1.100.2用于与外网互联使用,202.1.100.3-202.1.100.5为内网转换为外网的地址。
1、按照网络拓扑图正确配置IP地址
2、FW1配置NAT地址转换,并配置默认路由指向外网
特别说明:
以下仅提供完整的配置过程及basic NAT关键配置点,详细的测试方法,过程及测试结果请见附件!
ISP:
System View: return to User View with Ctrl+Z.
[H3C]sysname ISP
[ISP]int gi 0/1
[ISP-GigabitEthernet0/1]ip address 202.103.224.254 24
[ISP-GigabitEthernet0/1]quit
[ISP]int gi 0/0
[ISP-GigabitEthernet0/0]des
[ISP-GigabitEthernet0/0]ip address 202.1.100.1 28
[ISP-GigabitEthernet0/0]quit
[ISP]
FW1:
System View: return to User View with Ctrl+Z.
[H3C]sysname FW1
[FW1]acl basic 2001
[FW1-acl-ipv4-basic-2001]rule 0 permit source any
[FW1-acl-ipv4-basic-2001]quit
[FW1]
[FW1]zone-pair security source trust destination untrust
[FW1-zone-pair-security-Trust-Untrust]packet-filter 2001
[FW1-zone-pair-security-Trust-Untrust]quit
[FW1]
[FW1]zone-pair security source untrust destination trust
[FW1-zone-pair-security-Untrust-Trust]packet-filter 2001
[FW1-zone-pair-security-Untrust-Trust]quit
[FW1]
[FW1]zone-pair security source trust destination local
[FW1-zone-pair-security-Trust-Local]packet-filter 2001
[FW1-zone-pair-security-Trust-Local]quit
[FW1]
[FW1]zone-pair security source local destination trust
[FW1-zone-pair-security-Local-Trust]packet-filter 2001
[FW1-zone-pair-security-Local-Trust]quit
[FW1]
[FW1]zone-pair security source untrust destination local
[FW1-zone-pair-security-Untrust-Local]packet-filter 2001
[FW1-zone-pair-security-Untrust-Local]quit
[FW1]
[FW1]zone-pair security source local destination untrust
[FW1-zone-pair-security-Local-Untrust]packet-filter 2001
[FW1-zone-pair-security-Local-Untrust]quit
[FW1]int gi 1/0/2
[FW1-GigabitEthernet1/0/2]ip address 192.168.1.1 24
[FW1-GigabitEthernet1/0/2]quit
[FW1]int gi 1/0/3
[FW1-GigabitEthernet1/0/3]ip address 192.168.2.1 24
[FW1-GigabitEthernet1/0/3]quit
[FW1]int gi 1/0/4
[FW1-GigabitEthernet1/0/4]des
[FW1-GigabitEthernet1/0/4]ip address 202.1.100.2 28
[FW1-GigabitEthernet1/0/4]quit
[FW1]ip route-static 0.0.0.0 0.0.0.0 202.1.100.1
[FW1]security-zone name Trust
[FW1-security-zone-Trust]import interface GigabitEthernet 1/0/2
[FW1-security-zone-Trust]import interface GigabitEthernet 1/0/3
[FW1-security-zone-Trust]quit
[FW1]security-zone name Untrust
[FW1-security-zone-Untrust]import interface GigabitEthernet 1/0/4
[FW1-security-zone-Untrust]quit
FW1 basic NAT关键配置点:
[FW1]acl basic 2000
[FW1-acl-ipv4-basic-2000]rule 0 permit source any
[FW1-acl-ipv4-basic-2000]quit
[FW1]nat address-group 1
[FW1-address-group-1]address 202.1.100.3 202.1.100.5
[FW1-address-group-1]quit
[FW1]int gi 1/0/4
[FW1-GigabitEthernet1/0/4]nat outbound 2000 address-group 1 no-pat
[FW1-GigabitEthernet1/0/4]quit
该案例对您是否有帮助:
您的评价:1
若您有关于案例的建议,请反馈:
你好,我想请教一下
我这边是两台F1050防火墙组的双机,我有一个27位公网IP地址段(一共30个公网地址可用)。
我在两台防火墙的vlanif外网接口下都只配了一个公网地址,并做了VRRP VIP。剩下27个公网IP都没有配置到接口下(但是做了NAT内部服务器的地址转换),现在在防火墙的日志上面会看到没有配置的那些公网IP提示IP地址冲突DUPIFIP,而且是从备机防火墙的vlanif口学习来的。
请问:我可以把剩下的27个公网IP地址分别配置到两台防火墙的vlanif接口下做成sub ip吗?这么做是否能解决日志里提示IP地址冲突的问题?如果两台防火墙配置了的话,外网访问进来是走主防火墙还是走备防火墙?
(0)
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作