Bootstrap

网络地址转换技术

一、实验日期与地址

1、实验日期:2024年xx月xx日

2、实验地址:xxx

二、实验目的

1、理解源NAT应用场景及原理;

2、掌握NAT Server的配置方法;

3、掌握NAT双出口的配置方法;

4、掌握域内NAT的配置方法。

三、实验环境

华为eNSP模拟器,实验拓扑如下:

四、实验内容

1、实验规划:

设备

接口

IP地址

安全区域

FW

GE 1/0/0

10.1.1.1/24

trust

GE 1/0/1

1.1.1.1/24

untrust

GE 1/0/2

2.2.2.1//24

untrust

AR1

GE 0/0/0

1.1.1.2/24

ISP1

GE 0/0/1

3.3.3.1/24

untrust

AR2

GE 0/0/0

4.4.4.1/24

untrust

GE 0/0/1

2.2.2.2/24

ISP2

AR3

GE 0/0/0

4.4.4.2/24

untrust

GE 0/0/1

3.3.3.2/24

untrust

GE 2/0/0

5.5.5.1/24

untrust

GE 2/0/1

6.6.6.1/24

untrust

PC1

Eth 0/0/1

10.1.1.2/24

trust

PC2

Eth 0/0/1

5.5.5.2/24

untrust

Server1

Eth 0/0/0

10.1.1.3/32

trust

2、配置步骤:

步骤 1 配置各个设备及接口的IP地址

# 配置防火墙的接口IP地址

[FW]interface GigabitEthernet 1/0/0

[FW-GigabitEthernet1/0/0]ip address 10.1.1.1 24

[FW-GigabitEthernet1/0/0]q

[FW]interface GigabitEthernet 1/0/1

[FW-GigabitEthernet1/0/1]ip address 1.1.1.1 255.255.255.0

[FW-GigabitEthernet1/0/1]q

[FW]interface GigabitEthernet 1/0/2

[FW-GigabitEthernet1/0/2]ip address 2.2.2.1 255.255.255.0

[FW-GigabitEthernet1/0/2]q

# 配置路由器的接口IP地址

[R1]interface GigabitEthernet 0/0/0

[R1-GigabitEthernet0/0/0]ip address 1.1.1.2 255.255.255.0

[R1-GigabitEthernet0/0/0]q

[R1]interface GigabitEthernet 0/0/1

[R1-GigabitEthernet0/0/1]ip address 3.3.3.1 255.255.255.0

[R1-GigabitEthernet0/0/1]q

[R2]interface GigabitEthernet 0/0/0

[R2-GigabitEthernet0/0/0]ip address 4.4.4.1 255.255.255.0

[R2-GigabitEthernet0/0/0]q

[R2]interface GigabitEthernet 0/0/1

[R2-GigabitEthernet0/0/1]ip address 2.2.2.2 255.255.255.0

[R2-GigabitEthernet0/0/1]q

[R3]interface GigabitEthernet 0/0/0

[R3-GigabitEthernet0/0/0]ip address 4.4.4.2 255.255.255.0

[R3-GigabitEthernet0/0/0]q

[R3]interface GigabitEthernet 0/0/1

[R3-GigabitEthernet0/0/1]ip address 3.3.3.2 255.255.255.0

[R3-GigabitEthernet0/0/1]q

[R3]interface GigabitEthernet 2/0/0

[R3-GigabitEthernet2/0/0]ip address 5.5.5.1 255.255.255.0

[R3-GigabitEthernet2/0/0]q

[R3]interface GigabitEthernet 2/0/1

[R3-GigabitEthernet2/0/1]ip address 6.6.6.1 255.255.255.0

[R3-GigabitEthernet2/0/1]q

# 配置PC和Server的网络参数,如下图

步骤 2 配置防护墙的安全区域

[FW]firewall zone trust

[FW-zone-trust]add interface g1/0/0

[FW-zone-trust]quit

[FW]firewall zone name isp1

[FW-zone-isp1]set priority 10

[FW-zone-isp1]add interface g1/0/1

[FW-zone-isp1]quit

[FW]firewall zone name isp2

[FW-zone-isp2]set priority 20

[FW-zone-isp2]add interface g1/0/2

[FW-zone-isp2]quit

步骤 3 配置防火墙的默认路由

[FW]ip route-static 0.0.0.0 0 2.2.2.1

[FW]ip route-static 0.0.0.0 0 1.1.1.1

步骤 4 路由器上部署OSPF路由协议,并引入静态路由

# AR1

[AR1]ospf 1

[AR1-ospf-1]import-route static

[AR1-ospf-1]area 0.0.0.0

[AR1-ospf-1-area-0.0.0.0 ]network 1.1.1.0 0.0.0.255

[AR1-ospf-1-area-0.0.0.0 ]network 3.3.3.0 0.0.0.255

# AR2

[AR2]ospf 1

[AR2-ospf-1]import-route static

[AR2-ospf-1]area 0.0.0.0

[AR2-ospf-1-area-0.0.0.0 ]network 2.2.2.0 0.0.0.255

[AR2-ospf-1-area-0.0.0.0 ]network 4.4.4.0 0.0.0.255

# AR3

[AR3]ospf 1

[AR3-ospf-1]area 0.0.0.0

[AR3-ospf-1-area-0.0.0.0 ]network 3.3.3.0 0.0.0.255

[AR3-ospf-1-area-0.0.0.0 ]network 4.4.4.0 0.0.0.255

[AR3-ospf-1-area-0.0.0.0 ]network 5.5.5.0 0.0.0.255

步骤 5 配置安全策略

# 在防火墙上配置安全策略,允许内网用户访问Internet外网。

[FW]security-policy

[FW-policy-security]rule name trust_isp1

[FW-policy-security-rule-trust_isp1]source-zone trust

[FW-policy-security-rule-trust_isp1]source-address 10.1.1.0 24

[FW-policy-security-rule-trust_isp1]destination-zone isp1

[FW-policy-security-rule-trust_isp1]action permit

[FW-policy-security-rule-trust_isp1]quit

[FW-policy-security]rule name trust_isp2

[FW-policy-security-rule-trust_isp2]source-zone trust

[FW-policy-security-rule-trust_isp2]source-address 10.1.1.0 24

[FW-policy-security-rule-trust_isp2]destination-zone isp2

[FW-policy-security-rule-trust_isp2]action permit

[FW-policy-security-rule-trust_isp2]quit

[FW-policy-security]quit

# 在防火墙上配置安全策略,允许外网用户访问内网服务器。

[FW]security-policy

[FW-policy-security]rule name isp1_trust

[FW-policy-security-rule-isp1_trust]source-zone isp1

[FW-policy-security-rule-isp1_trust]destination-zone trust

[FW-policy-security-rule-isp1_trust]destination-address 10.1.1.3 32 

[FW-policy-security-rule-isp1_trust]action permit

[FW-policy-security-rule-isp1_trust]quit

[FW-policy-security]rule name isp2_trust

[FW-policy-security-rule-isp2_trust]source-zone isp2

[FW-policy-security-rule-isp2_trust]destination-zone trust

[FW-policy-security-rule-isp2_trust]destination-address 10.1.1.3 32 

[FW-policy-security-rule-isp2_trust]action permit

[FW-policy-security]quit

步骤 6 配置NAT Server

# 在防火墙上配置NAT Server,创建服务器的公网IP与私网IP的映射。

[FW]nat server zone isp1 global 1.1.1.1 inside 10.1.1.3  

[FW]nat server zone isp2 global 2.2.2.1 inside 10.1.1.3  

步骤 7 配置Easy-IP,使内网用户可以访问外网。

# 配置源NAT策略

[FW]nat-policy

[FW-policy-nat]rule name trust_isp1

[FW-policy-nat-rule-trust_isp1]source-zone trust

[FW-policy-nat-rule-trust_isp1]destination-zone isp1

[FW-policy-nat-rule-trust_isp1]source-address 10.1.1.0 24

[FW-policy-nat-rule-trust_isp1]action source-nat easy-ip   

[FW-policy-nat-rule-trust_isp1]quit

[FW-policy-nat]rule name trust_isp2

[FW-policy-nat-rule-trust_isp2]source-zone trust

[FW-policy-nat-rule-trust_isp2]destination-zone isp2

[FW-policy-nat-rule-trust_isp2]source-address 10.1.1.0 24

[FW-policy-nat-rule-trust_isp2]action source-nat easy-ip  

[FW-policy-nat]quit

步骤 8 NAT调试

# 在外网主机上访问内网服务器,查看防火墙Server-Map表项。

注意:这里访问的应该是nat后的地址。

以上输出信息显示,通过配置NAT Server,已经成功将内网的10.1.1.3服务器映射为2.2.2.1/1.1.1.1。

# 查看防火墙Session表项

在PC终端ping测试外网终端Host;在外网终端Host上访问内网服务器(2.2.2.1),成功访问后,查看防火墙Session表项。

以上输出信息显示,防火墙中当前会话表数为13条,分别是外网访问内网ftp服务器、内网用户访问外网(icmp)的会话表项;相应的地址都进行了NAT转换。其中,“[]”标识NAT转换后的地址。

综上,实验成功!

五、实验总结

本次实验旨在通过在华为的ENSP模拟器上配置防火墙NAT技术,实现理解NAT原理、不同NAT类型的应用场景及其配置方法。实验内容包括配置源NAT Easy-IP、静态NAT和NAT Server,测试内网用户的上网情况以及外网访问内网服务的情况。实验步骤包括配置防火墙的接口IP地址,配置NAT地址池和转换规则,以及测试不同内网和外网IP地址的通信情况。

实验结果显示,通过配置源NAT Easy-IP,成功实现了内网用户共享公共IP地址访问外网;通过配置静态NAT,实现了内网服务器对外提供服务的能力;通过配置NAT Server,成功实现了外网用户对内网特定服务的访问。测试结果表明,各设备间通信符合预期结果,达到了实验目标。

然而,在实验过程中也遇到了一些问题。其中包括:

  1. 配置错误导致地址转换失败:在初次配置中,存在部分配置错误导致部分内网用户无法访问外网。
  2. 端口映射冲突:在设置NAT Server时,未清晰地定义端口映射规则,导致部分服务无法按预期提供。

针对以上问题,我们采取了以下解决方案:

  1. 仔细检查配置:对于配置错误的部分,进行了仔细检查和修正,确保配置的准确性和完整性。
  2. 加强对端口映射的理解:加强对NAT Server端口映射规则的理解,确保端口映射的唯一性和正确性。

通过以上措施,最终成功解决了实验过程中遇到的问题,并取得了预期的实验结果。这次实验为我们提供了宝贵的实践经验,加深了对防火墙NAT技术配置的理解,提升了我们在网络地址转换和安全领域的能力。

;