收藏 分享(赏)
下载资源 加入VIP,免费下载

USG防火墙NAT业务特性与配置PPT课件.pptx

上传人:Facebook 文档编号:3745653 上传时间:2018-11-17 格式:PPTX 页数:18 大小:822.34KB
下载 相关 举报
USG防火墙NAT业务特性与配置PPT课件.pptx_第1页
第1页 / 共18页
USG防火墙NAT业务特性与配置PPT课件.pptx_第2页
第2页 / 共18页
USG防火墙NAT业务特性与配置PPT课件.pptx_第3页
第3页 / 共18页
USG防火墙NAT业务特性与配置PPT课件.pptx_第4页
第4页 / 共18页
USG防火墙NAT业务特性与配置PPT课件.pptx_第5页
第5页 / 共18页
点击查看更多>>
资源描述

1、USG防火墙NAT业务特性与配置,前 言,随着因特网的快速发展,它所面临的两个最迫切的问题就是IP地址的匮乏和路由规模的扩大。对此,长期的和短期的解决方案都有所发展,那就是网络地址转换(NAT)和IPv6(下一代因特网协议)技术。在IPv6技术尚在研究中且还未完全取代现有的IPv4网络的情况下,短期解决方案NAT技术对于缓解目前的地址缺乏问题显得尤为重要。,Page1,培训目标,学完本课程后,您应该能: 描述NAT技术的原理 描述USG防火墙的各种NAT特性 描述USG防火墙各NAT特性的基本组网与配置,Page2,目 录,NAT技术原理 USG防火墙NAT特性与配置,Page3,NAT基本原

2、理,NAT(Network Address Translation,地址转换)是将IP数据报报头中的IP地址转换为另一个IP地址的过程,Page4,PC,202.130.10.3,Server,202.120.10.2,Server,192.168.1.2,PC,192.168.1.3,USG,Eth0/0/1,202.169.10.1,Eth0/0/0,192.168.1.1,Trust,Untrust,数据报1,源:192.168.1.3,目的:202.120.10.2,数据报2,源:202.120.10.2,目的:202.169.10.1,数据报1,源:202.169.10.1,.,目的

3、:202.120.10.2,数据报2,源:202.120.10.2,目的:192.168.1.3,Internet,目 录,NAT技术原理 USG防火墙NAT特性与配置,Page5,NAT/PAT地址转换,Page6,定义地址池USG2100nat address-group 1 202.38.160.1 202.38.160.4 NAT地址转换USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1USG2100-nat-policy

4、-interzone-trust-untrust-inbound-1action source-nat USG2100-nat-policy-interzone-trust-untrust-inbound-1address-group 1 no-patPAT地址转换USG2100nat-policy interzone untrust trust inbound USG2100-nat-policy-interzone-trust-untrust-inboundpolicy 1USG2100-nat-policy-interzone-trust-untrust-inbound-1action

5、source-nat USG2100-nat-policy-interzone-trust-untrust-inbound-1address-group 1,内网用户,地址池最多支持 4096个地址,USG,内网,Internet,地址池 202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4,策略NAT,Page7,定义地址池USG2100nat address-group 1 202.38.160.1 202.38.160.4 配置策略NATUSG2100nat-policy interzone trust untrust outboundU

6、SG2100-nat-policy-interzone-trust-untrust-outboundpolicy 1USG2100-nat-policy-interzone-trust-untrust-outbound-1policy source 10.1.1.1 0USG2100-nat-policy-interzone-trust-untrust-outbound-1 action source-natUSG2100-nat-policy-interzone-trust-untrust-outbound-1 address-group 1,PC2,PC1,USG,内网用户,内网,Inte

7、rnet,设置控制PC1可以通过NAT访问Internet,而PC2则不行,10.1.1.1/32,10.1.1.2/32,NAT ALG功能,NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如ICMP、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,就可能导致问题。 例如,一个使用内部IP地址的FTP服务器可能在和外部网络主机建立会话的过程中需要将自己的IP地址发送给对方。而这个地址信息是放到IP报文的数据部分,NAT无法对它进行转换。当外部网络主机接收了这个私有地址并使用它,这时FTP服务器将表现为

8、不可达。,Page8,ASPF+NAT+ALG,Page9,用户 192.168.0.1,USG防火墙 Nat outbound 202.1.0.1,FTP server 19.49.10.10,三次握手,防火墙创建地址映射Servermap表项 202.1.0.1:20001 192.168.0.1:22787,三次握手,Port 192.168.0.1 89,3,Port 202.1.0.1 78,33,200 Port Command OK,RETR Sample.txt,RETR Sample.txt,200 Port Command OK,150 Opening ASCII conn

9、ection,150 Opening ASCII connection,SYN dest 202.1.0.1:2001,检测Servermap表项,命中后根据表项进行Nat转换,192.168.0.1:22787,202.1.0.1:20001 192.168.0.1:22787,SYN dest 192.168.0.1:22787,Page10,映射内部服务器,配置NAT SERVER服务器USG2100nat server protocol tcp global 202.110.1.241 ftp inside 10.100.5.100 ftp,WEB 服务器,DMZ,10.110.5.1

10、01:80,FTP 服务器,10.110.5.100:21,202.110.1.241:21,S0:202.110.1.241,10.110.5.101,10.110.5.100,外网用户,USG,内网,Internet,内网用户,202.110.1.241:80,双向NAT,Page11,配置NAT SERVER服务器 USG2100nat server global 192.168.1.20 inside 202.1.1.10 USG2100nat server global 202.1.1.20 inside 192.168.1.10,192.168.1.1,192.168.1.10,2

11、02.1.1.1,202.1.1.10,域内NAT,Page12,配置同一域内NAT USG nat address-group 1 202.1.1.11 202.1.1.11 USG nat-policy zone trust USG-nat-policy-zone-trust policy 0 USG-nat-policy-zone-trust-0 policy source 192.168.1.0 0.0.0.255 USG-nat-policy-zone-trust-0 action source-nat USG-nat-policy-zone-trust-0 address-grou

12、p 1,防火墙配置了nat server global 202.1.1.10 inside 192.168.1.20,192.168.1.10,客户端,服务器,192.168.1.20,192.168.1.1,202.1.1.1,Page13,为MPLS VPN 用户提供统一的 Internet 访问,NAT 多实例,VPN-2,MPLS CORE,VPN-3,VPN-1,PE,PE,CE,CE,VPN-1,CE,CE,CE,VPN-2,Internet,采用不同的VLAN子接口对应不同VPN的方式,防火墙和PE设备连接,USG,PE,VPN3用户,VPN2用户,VPN1用户,USG上独立地保

13、存三份NAT表,可以承担不同VPN用户的地址转换服务,目的地址NAT,配置ACL过滤规则 USG2100 acl 3000 USG2100-acl-adv-3000 rule permit ip source 10.1.1.10 0 destination 2.2.2.0 0.0.0.255 配置需要作目的NAT的acl规则 USG2100 firewall zone trust USG2100-zone-trust destination-nat 3000 address 200.200.200.3将10.1.1.10- 2.2.2.0 变换为 10.1.1.10- 200.200.200.

14、3,问 题,NAT技术的优缺点有哪些?,Page15,华为职业认证通过者权益,通过任一项华为职业认证,您在华为在线学习网站()享有如下特权: 1、华为E-learning 课程学习 内容:所有华为职业认证E-Learning课程,扩展您在其他技术领域的技术知识 方式:请提交您的“华为账号”和注册账号的“email地址”到 L 申请权限。 2、华为培训教材下载 内容:华为职业认证培训教材+华为产品技术培训教材,覆盖企业网络、存储、安全等多领域 方式:登录华为在线学习网站,进入“华为培训/面授培训”,在具体课程页面即可下载教材。 3、华为在线公开课(LVC)优先参与 内容:企业网络、UC&C、安全、存储等多领域的职业认证课程,华为讲师授课,开班人数有限 方式:开班计划及参与方式请详见http:/ 4、学习工具 eNSP eNSP (Enterprise Network Simulation Platform), 是由华为提供的免费的、可扩展的、图形化网络仿真工具平台。主要对企业网路由器、交换机进行硬件模拟,完美呈现真实设备实景,支持大型网络模拟,让大家在没有真实设备的情况下也能够实验测试。 另外, 华为建立了知识分享平台 华为认证论坛。您可以在线与华为技术专家交流技术,与其他考生分享考试经验,一起学习华为产品技术。( http:/ ),

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 建筑环境 > 防火建筑

本站链接:文库   一言   我酷   合作

客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报