網絡運維|防火墻NAT應用經典方案
2020-06-02 21:06 作者:admin 瀏覽量:
網絡運維|防火墻NAT應用經典方案
大家好,我是一枚從事IT外包的網絡安全運維工程師,今天和大家分享的是網絡安全設備維護相關的內容,今天就和大家聊一聊防火墻的NAT的應用場景。簡單網絡安全運維,從防火墻學起,一步一步學成網絡安全運維大神。網絡維護是一種日常維護,包括網絡設備管理(如計算機,服務器)、操作系統維護(系統打補丁,系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務,北京網絡維修信息查詢,同時您可以免費資訊北京網絡維護,北京網絡維護服務,北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
目的NAT
在本例中,USG部署在無線用戶的移動終端(如手機)和WAP網關之間,為一些缺省WAP網關不正確的移動終端進行NAT轉換,使他們的報文能夠被轉發給正確的WAP網關。組網需求
手機用戶需要通過登錄WAP(Wireless Application Protocol)網關來實現上網的功能。目前,大量用戶使用直接從國外購買手機,這些手機出廠時,缺省設置的WAP網關地址與本國WAP網關地址不符,且無法自行修改,從而導致用戶不能移動上網。為解決這一問題,無線網絡中,可以在WAP網關與用戶之間部署USG,如圖7-92所示。通過在USG上配置目的NAT功能,使這部分手機用戶能夠正常獲取網絡資源。
圖 手機用戶上網目的地址轉換典型組網圖
| 項目 | 數據 |
| (1) |
接口號:GigabitEthernet 0/0/3 IP地址:10.1.1.1/24 安全區域:Trust |
| (2) |
接口號:GigabitEthernet 0/0/4 IP地址:200.10.10.1/24 安全區域:Untrust |
| 手機出廠默認網關地址 | 202.10.10.2 |
| 當地運營商網關地址 | 200.10.10.2 |
配置思路
目的NAT是一種轉換報文目的IP地址的方式,目的NAT在安全區域內起作用,將來自該安全區域的符合特定條件的報文的目的地址以及目的端口轉換為指定的地址及端口。在本舉例中,USG需要將收到的手機報文的網關地址修改為運營商的網關地址。
配置目的NAT時只需指定源安全區域,無需指定目的安全區域。源安全區域通常為用戶所屬的安全區域,本舉例中為Trust。
目的NAT配置的菜單路徑為:“防火墻 > NAT > 目的NAT > 高級目的NAT”。
操作步驟
1. 配置接口基本參數。a. 選擇“網絡 > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/3對應的
。c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相關參數如下,其他參數使用默認值:
· 安全區域:trust
· 模式:路由
· 連接類型:靜態IP
· IP地址:10.1.1.1
· 子網掩碼:255.255.255.0
d. 單擊“應用”。
e. 重復上述步驟配置接口GigabitEthernet 0/0/4。
GigabitEthernet 0/0/4的相關參數如下,其他參數使用默認值:
· 安全區域:untrust
· 模式:路由
· 連接類型:靜態IP
· IP地址:200.10.10.1
· 子網掩碼:255.255.255.0
2. 配置域間安全策略,以保證網絡基本通信正常。具體步驟略。
3. 配置目的NAT。
a. 選擇“防火墻 > NAT > 目的NAT”,單擊“高級目的NAT”頁簽。
b. 在“目的NAT策略列表”中單擊
。參數配置如圖7-93所示。圖7-93 配置目的NAT
結果驗證
配置完成后,手機可以正常上網。如果發現手機還是無法正常上網,請依次檢查以下配置項:
1. 使用一臺默認WAP網關與本地運營商的WAP網關一致的手機,看是否可以正常上網。
· 如果可以,說明USG的基本配置沒有問題,需要繼續向下檢查。
· 如果不可以,說明還沒有實現基本的通信功能,需要檢查USG的基本配置。
2. 檢查無法上網手機的默認WAP網關地址是否和目的NAT中配置的“目的地址”一致。
· 如果一致,說明“目的地址”配置沒有問題,需要繼續向下檢查。
· 如果不一致,說明“目的地址”沒有和手機匹配,需要重新配置正確的“目的地址”。
3. 檢查目的NAT配置的其他限制條件是否對無法上網的手機有所限制,例如“源地址”不包括該手機的IP、所配置的“服務”與手機所需服務不符,“時間段”不包括使用該手機的時間等。
· 如果經檢查,目的NAT的配置對無法上網的手機沒有任何限制,需要繼續向下檢查。
· 如果檢查發現目的NAT配置有誤,需要重新配置目的NAT,修改為正確的參數。
4. 檢查“轉換后的IP地址”是否與本地運營商的WAP網關地址相同。
· 如果相同,說明網關地址配置沒有問題。需要尋求技術支持。
· 如果不同,需要重新配置目的NAT,將“轉換后的IP地址”修改為運營商的WAP網關
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉