23

2024
04
22:27:05

usg(不带e)配置透明模式NAT Server（端口映射，服务器映射）

配置透明模式NAT Server举例

企业网络已经部署完成，为了不改变原来的网络拓扑，USG将接口以二层模式接入网络。同时，为了使私网服务器能够对外提供服务，需要在USG上配置NAT Server，实现公网地址到内部私网服务器的映射。

组网需求

如图1所示，USG透明接入某公司的网络，公司内网部署了FTP服务器和Web服务器供外部网络用户访问。FTP服务器的私网IP地址为10.1.1.2，Web服务器的私网IP地址为10.1.1.3，对外公布的地址均为1.1.2.1，端口号分别为21和8080。

图1 配置透明NAT Server组网图

项目

数据

说明

GigabitEthernet 0/0/1

安全区域：Untrust

所属VLAN：VLAN 10

按实际组网情况规划VLAN。

GigabitEthernet 0/0/2

安全区域：DMZ

所属VLAN：VLAN 10

按实际组网情况规划VLAN。

NAT Server

FTP服务器

公网地址：1.1.2.1:21

私网地址：10.1.1.2:21

通过在USG上配置NAT Server，使外网用户访问1.1.2.1:21的流量能够送给内网的FTP服务器。

Web服务器

公网地址：1.1.2.1:8080

私网地址：10.1.1.3:80

通过在USG上配置NAT Server，使外网用户访问1.1.2.1:8080的流量能够送给内网的Web服务器。

路由器的静态路由

目的地址：1.1.2.1

下一跳：10.1.1.1

使访问内网服务器的流量经过USG。

操作步骤

配置各接口工作在二层模式，并将其加入安全区域。

<USG> system-view[USG] interface GigabitEthernet 0/0/1[USG-GigabitEthernet0/0/1] portswitch[USG-GigabitEthernet0/0/1] quit[USG] interface GigabitEthernet 0/0/2[USG-GigabitEthernet0/0/2] portswitch[USG-GigabitEthernet0/0/2] quit[USG] vlan 10[USG-vlan-10] port GigabitEthernet 0/0/1[USG-vlan-10] port GigabitEthernet 0/0/2[USG-vlan-10] quit[USG] firewall zone untrust[USG-zone-untrust] add interface GigabitEthernet 0/0/1[USG-zone-untrust] quit[USG] firewall zone dmz[USG-zone-dmz] add interface GigabitEthernet 0/0/2[USG-zone-dmz] quit

配置域间安全策略，以保证网络基本通信正常。

data/attachment/forum/ 说明：

安全策略的目的IP地址要配置为服务器的私网IP地址，而不是NAT转换前的公网IP地址。

[USG] policy interzone dmz untrust inbound[USG-policy-interzone-dmz-untrust-inbound] policy 0[USG-policy-interzone-dmz-untrust-inbound-0] policy destination 10.1.1.0 mask 24[USG-policy-interzone-dmz-untrust-inbound-0] action permit[USG-policy-interzone-dmz-untrust-inbound-0] quit[USG-policy-interzone-dmz-untrust-inbound] quit

配置NAT Server，将FTP服务器私网地址10.1.1.2映射为公网地址1.1.2.1，私网端口号映射为公网端口号80；将Web服务器私网地址10.1.1.3映射为公网地址1.1.2.1，私网端口号80映射为公网端口8080。另外，在DMZ与Untrust域间还需要应用NAT ALG功能，使服务器可以正常对外提供FTP服务。
```
[USG] nat server protocol tcp global 1.1.2.1 21 inside 10.1.1.2 21[USG] nat server protocol tcp global 1.1.2.1 8080 inside 10.1.1.3 80[USG] firewall interzone dmz untrust[USG-interzone-dmz-untrust] detect ftp[USG-interzone-dmz-untrust] quit
```
在路由器上配置到1.1.2.1的静态路由，下一跳为10.1.1.1。

结果验证

配置完成后，在USG上查看NAT的相关配置。

[USG] display nat serverServer in private network information:                                          
 id                : 0                                                          
 zone              : ---                                                        
 interface         : ---                                                        
 global-start-addr : 1.1.2.1             global-end-addr   : ---                
 inside-start-addr : 10.1.1.2            inside-end-addr   : ---                
 global-start-port : 21(ftp)             global-end-port   : ---                
 insideport        : 21(ftp)                                                    
 globalvpn         : public              insidevpn         : public             
 protocol          : tcp                 vrrp              : ---                
 no-reverse        : no                                                         
                                                                                
 id                : 1                                                          
 zone              : ---                                                        
 interface         : ---                                                        
 global-start-addr : 1.1.2.1             global-end-addr   : ---                
 inside-start-addr : 10.1.1.3            inside-end-addr   : ---                
 global-start-port : 8080                global-end-port   : ---                
 insideport        : 80(www)                                                    
 globalvpn         : public              insidevpn         : public             
 protocol          : tcp                 vrrp              : ---                
 no-reverse        : no                                                         
                                                                                
  Total   2 NAT servers

配置完成后，在USG上查看server-map表项，建立成功。

[USG] display firewall server-map
 server-map item(s)                                                             
 ------------------------------------------------------------------------------ 
 Nat Server, any -> 1.1.2.1:21[10.1.1.2:21], Zone: ---                          
   Protocol: tcp(Appro: ftp), Left-Time: --:--:--, Addr-Pool: ---               
   VPN: public -> public                                                        
                                                                                
 Nat Server Reverse, 10.1.1.2[1.1.2.1] -> any, Zone: ---                        
   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---               
   VPN: public -> public                                                        
                                                                                
 Nat Server, any -> 1.1.2.1:8080[10.1.1.3:80], Zone: ---                        
   Protocol: tcp(Appro: unknown), Left-Time: --:--:--, Addr-Pool: ---           
   VPN: public -> public                                                        
                                                                                
 Nat Server Reverse, 10.1.1.3[1.1.2.1] -> any, Zone: ---                        
   Protocol: any(Appro: ---), Left-Time: --:--:--, Addr-Pool: ---               
   VPN: public -> public

配置完成后，外网用户能够正常访问内网服务器提供的服务，表示NAT Server配置成功。在USG上执行display firewall session table verbose命令，可以查看详细的端口和IP地址的转换信息。

[USG] display firewall session table verbose                               
 Current total sessions: 2                                                      
  13  ftp VPN: public --> public                                                     
  Zone: untrust --> dmz  PolicyID: 0  TTL: 00:10:00  Left: 00:10:00             
  Interface: GigabitEthernet 0/0/2 Nexthop: 0.0.0.0  MAC: 00-22-a1-01-b5-dc     
  <--packets:7 bytes:586   -->packets:12 bytes:528                                
  1.1.1.2:54584 +-> 1.1.2.1:21[10.1.1.2:21]        

  14  ftp-data VPN: public --> public                                                
  Zone: untrust--> dmz  PolicyID: 0  TTL: 00:00:10  Left: 00:00:03 
  Interface: GigabitEthernet 0/0/2 Nexthop: 0.0.0.0  MAC: 00-22-a1-01-b5-dc           
  <--packets:6 bytes:1606   -->packets:4 bytes:164                               
  1.1.1.2:51462-->1.1.2.1:54887[10.1.1.2:54887]

配置脚本

以下仅给出与本案例有关的脚本。

#                                                        
 sysname USG                     #                                                                               
interface GigabitEthernet0/0/1            
 portswitch                                                                     
 port link-type access                                                          
 port access vlan 10                                                           
#                                                                               
interface GigabitEthernet0/0/2           
 portswitch                                                                     
 port link-type access                                                          
 port access vlan 10                                                           
#                                                                               
firewall zone local                                                             
 set priority 100                                                               
#                                                                               
firewall zone dmz                                                               
 set priority 50                                                                
 add interface GigabitEthernet0/0/2      
#                                                                               
firewall zone untrust                                                             
 set priority 5                                                                
 add interface GigabitEthernet0/0/1          
#                                                                               
firewall interzone dmz untrust                              
 detect ftp  
#                                                                               
 nat server 0 protocol tcp global 1.1.2.1 ftp inside 10.1.1.2 ftp               
 nat server 1 protocol tcp global 1.1.2.1 8080 inside 10.1.1.3 www 
#                                                                               
policy interzone dmz untrust inbound                                             
 policy 0                                                                       
  action permit                                                                 
  policy source 10.1.1.0 mask 24                                              
#                                                                               
return

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/5881.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

分享到：

打赏

休息一下~~

作者:hqy | 分类:Network | 浏览:269 | 评论:0

发表评论:

◎欢迎参与讨论，请在这里发表您的看法、交流您的观点。

« 2024年12月 »
一	二	三	四	五	六	日
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

控制面板: 您好，欢迎到访网站！
登录后台查看权限
个人中心修改密码

随心随性: 沧海月明珠有泪，蓝田日暖玉生烟。

网站分类

搜索

最新留言

文章归档

网站收藏

一个和谐有爱的空间

友情链接

HQY 一个和谐有爱的空间

HQY

23

2024
04
22:27:05

usg(不带e)配置透明模式NAT Server（端口映射，服务器映射）

配置透明模式NAT Server举例

组网需求

操作步骤

结果验证

配置脚本

发表评论:

HQY 一个和谐有爱的空间

HQY

23

20240422:27:05

usg(不带e)配置透明模式NAT Server（端口映射，服务器映射）

配置透明模式NAT Server举例

组网需求

操作步骤

结果验证

配置脚本

发表评论:

2024
04
22:27:05