Konfigurasi NAT dalam tembok api USG

USGFirewall NATKonfigurasi

Tujuan pembelajaran

• Kuasai cara mengkonfigurasi NATServer pada tembok api USG

• Kuasai cara mengkonfigurasi IP NATEasy pada tembok api USG

Rajah Topologi

 

AdeganAdegan:

Anda ialah pentadbir rangkaian syarikat anda. Syarikat itu diasingkan kepada tiga zon menggunakan tembok api rangkaian. Sekarang kita perlu menerbitkan perkhidmatan telnet yang disediakan oleh pelayan (alamat IP: 10.0.3.3) di kawasan DMZ Alamat awam adalah 10.0.10.20 dan 24. Dan pengguna dalam rangkaian dalaman akses kawasan Amanah melalui Easy-IP kawasan. Akses dari arah lain adalah dilarang.

Pada suis, takrifkan antara muka G0/0/1 dan G0/0/21 kepada vlan11, takrifkan antara muka G0/0/2 dan G0/0/22 kepada vlan12 dan takrifkan G0/0 /3 dan Antara muka G0/0/23 ditakrifkan kepada vlan13 masing-masing tiga segmen rangkaian.

BelajarTugas pembelajaran

Langkah 1.Konfigurasi asas dan IPPengalamatan

Mula-mula, konfigurasikan maklumat alamat untuk tiga penghala.

[Huawei]sysname R1

[R1]antara muka g0/0/1

[R1-GigabitEthernet0/0/1]ip add 10.0.10.124

[R1-GigabitEthernet0/0/1]desc port ini sambung ke S1-G0/0/1

[R1-GigabitEthernet0/0/1]interfaceloopback0

[R1-LoopBack0]ip tambah 10.0.1.1 24

[R1-LoopBack0]q

[Huawei]sysname R2

[R2]antara muka g0/0/1

[ R2-GigabitEthernet0/0/1]ip tambah 10.0.20.224

[R2-GigabitEthernet0/0/1]desc sambungan port ini ke S1-G0/0/2

[R2-GigabitEthernet0/ 0/1]interfaceloopback0

[R2-LoopBack0]ip add 10.0.2.2 24

[R2-LoopBack0]q

[Huawei]sysname R3

[R3]antara muka g0/0/1

[R3-GigabitEthernet0/0/1]ip tambah 10.0.30.324

[R3-GigabitEthernet0/0/1]desc port ini sambung ke S1 -G0/0/3

[R3-GigabitEthernet0/0/1]interfaceloopback0

[R3-LoopBack0]ip add 10.0.3.3 24

[R3-LoopBack0] q

Apabila mengkonfigurasi alamat untuk tembok api, G0/0/1 dikonfigurasikan dengan 10.0.20.254/24.

[SRG]sysname FW

13:06: 03 2014/07 /08

[FW]antara muka g0/0/1

13:06:30 2014/07/08

[FW-GigabitEthernet0/0/ 1]ip add 10.0.20.25424

13:07:01 2014/07/08

[FW-GigabitEthernet0/0/1]desc portconnect ini ke S1-G0/0/22

13:07:52 2014/07/08

[FW-GigabitEthernet0/0/1]antara muka g0/0/0

13:08:23 2014/07 /08

[FW-GigabitEthernet0/0/0]ini

13:08:31 2014/07/08

#

antara muka GigabitEthernet0 /0/0

alias GE0/MGMT

ipaddress 192.168.0.1 255.255.255.0

antara muka dhcpselect

dhcpserver gateway-list 16 >

#

kembali

[FW-GigabitEthernet0/0/0]undo ip add

13:08:42 2014/07/08

Maklumat: Konfigurasi pelayan DHCP pada antara muka ini akan dipadamkan.

[FW-GigabitEthernet0/0/0]paparkan ini

13:08:46 2014/07/08

#

antara muka GigabitEthernet0/0/0

alias GE0/MGMT

#

pulangan

[FW- GigabitEthernet0/0/0 ]ip add 10.0.10.25424

13:09:29 2014/07/08

[FW-GigabitEthernet0/0/0]desc this portconnect/ to S1-G0 0/21

13:10:05 2014/07/08

[FW-GigabitEthernet0/0/0]antara muka G0/0/2

13:10: 15 2014/07/ 08

[FW-GigabitEthernet0/0/2]ip add 10.0.30.25424

13:10:28 2014/07/08

13:10:53 2014/07/08

[FW-GigabitEthernet0/0/2]q

Vlan perlu ditakrifkan pada suis mengikut keperluan

[Huawei]sysname S1

[S1]vlan batch 11 hingga 13

Maklumat: Operasi ini mungkin mengambil masa beberapa saat. Sila tunggu sebentar...selesai.

[S1]antara muka g0/0/1

[S1-GigabitEthernet0/0/1]pautan port- typeaccess

[S1 -GigabitEthernet0/0/1]port lalai vlan11

[S1]antara muka g0/0/2

[S1-GigabitEthernet0/0/2]port link-typeaccess

[S1-GigabitEthernet0/0/2]port lalai vlan12

[S1-GigabitEthernet0/0/2]antara muka g0/0/3

[S1 -GigabitEthernet0/0/3]pautan port -typeaccess

[S1-GigabitEthernet0/0/3]port lalai vlan13

[S1-GigabitEthernet0/0/3]antara muka g0/0/21

[S1- GigabitEthernet0/0/21]akses jenis pautan port

[S1-GigabitEthernet0/0/21]port vlan11 lalai

[S1-GigabitEthernet0/0/ 21]antara muka g0/0/22

[S1-GigabitEthernet0/0/22]akses jenis pautan port

[S1-GigabitEthernet0/0/22]port vlan12 lalai

[S1-GigabitEthernet0/0/22 ]antara muka g0/0/23

[S1-GigabitEthernet0/0/23]port link-typeaccess

[S1-GigabitEthernet0/0/23] port lalai vlan13

Langkah 2.

Konfigurasikan antara muka ke zon keselamatan

Firewall mempunyai empat zon secara lalai, iaitu "tempatan", "kepercayaan", "tidak percaya" dan "dmz".

Dalam percubaan, kami menggunakan tiga zon: "kepercayaan", 'tidak percaya" dan "dmz". Konfigurasikan G0/0/0 kepada zon tidak amanah dan konfigurasikan G0/0/0/2 kepada zon dmz. Konfigurasikan G0/0/0/1 ke zon amanah

[FW]kepercayaan zon tembok api

13:45:31 2014/07/08

[ FW- zon-kepercayaan]abaikan ini

13:45:35 2014/07/08

#

kepercayaan zon firewall

tetapkan keutamaan 85

addinterface GigabitEthernet0/0/0

#

return

[FW-zone-trust]undo add inter ]undo add antara muka g0/0/0

13:46:01 2014/07/08

[FW-zone-trust]tambah antara muka g0/0/1

13:46:22 2014/07/ 08

[FW-zone-trust]firewall zone untrust

[FW-zone-untrust]tambah antara muka g0/0/0

13:47:24 2014/ 07/08

[[FW-zone-untrust]firewall zone dmz

13:48:06 2014/07/08

[FW-zone-dmz]add antara muka g0/0/2

13:48:13 2014/07/08

[FW-zone-dmz]q

Secara lalai, tembok api tidak membenarkan komunikasi antara kawasan lain di luar kawasan setempat Untuk memastikan ketepatan konfigurasi, kami mengkonfigurasi peraturan penapisan tembok api lalai untuk membolehkan komunikasi antara semua kawasan Menguji ketersambungan pada peranti FW

dinasihatkan untuk mengkonfigurasi dasar keselamatan berdasarkan aliran data sebenar

anda pasti mahu meneruskan?[Y/N]y

[FW]ping -c 1 10.0. .10.1

13:51:56 2014/07/08

PING 10.0.10.1: 56 bait data, tekan CTRL_C untuk memecahkan

Balas dari 10.0.10.10. =56 Urutan=1 ttl=255 masa=90 ms

---10.0.10.1 statistik ping ---

1paket dihantar

1paket diterima

0.00% kehilangan paket

pergi balik min/purata/maks = 90/90/90 ms

[FW ]ping -c 1 10.0.20.2

13:52:08 2014/07/08

PING 10.0.20.2: 56 bait data, tekan CTRL_C untuk memecahkan

Balas dari 10.0.20.2: bait=56 Urutan 1 ttl=255 masa=400 ms

---10.0.20.2 statistik ping ---

1paket dihantar

1paket diterima

0.00% kehilangan paket

min/avg/maks pergi balik = 400/400/400 ms

[FW]ping -c 1 10.0.30.3

13:52:18 2014/07/08

PING 10.0.30.3: 56 bait data, tekan CTRL_C untuk memecahkan

Balas dari 10.0.30.3 : bait=56 Jujukan=1 ttl=2 masa=410 ms

---10.0.30.3 statistik ping ---

1paket dihantar

1paket diterima

0.00 % kehilangan paket

min/avg/maks pergi balik = 410/410/410 ms

Langkah 3. Konfigurasikan penghalaan statik untuk mencapai keselamatan rangkaian Kesambungan

Konfigurasikan laluan lalai pada R2 dan R3, dan konfigurasikan laluan statik yang jelas pada FW untuk mencapai komunikasi antara tiga antara muka loopback0. Memandangkan R1 ialah peranti Internet dan tidak perlu mengetahui maklumat rangkaian peribadi zon dalaman dan DMZ, tidak perlu menentukan laluan lalai.

[R2]ip laluan-statik 0.0.0.0 0 10.0.20.254

[R3]ip laluan-statik 0.0.0.0 0 10.0.30.254

[FW] route-static 10.0.1.0 24 10.0.10.1

13:58:26 2014/07/08

[FW]ip route-static 10.0.2.0 24 10.0.20.2 🎜>13:58:40 2014/07/08

[FW]ip laluan-statik 10.0.3.0 24 10.0.30.3

13:58:52 2014/07/08🎜 >

Uji kesambungan kepada 10.0.1.0, 10.0.2.0, 10.0.3.0 pada firewall.

[FW]ping -c 1 10.0.1.1

14:00:18 2014/07/08

PING 10.0.1.1: 56 bait data, tekan CTRL_C untuk putus

Balas daripada 10.0.1.1: bait=56 Urutan=1 ttl=255 masa=80 ms

---10.0.1.1 statistik ping ---

1paket (s) dihantar

1paket diterima

0.00% kehilangan paket

pergi balik min/avg/maks = 80/80/80 ms

[FW]ping -c 1 10.0.2.2

14:00:25 2014/07/08

PING 10.0.2.2: 56 bait data, tekan CTRL_C untuk memecahkan

Balas daripada 10.0.2.2: bait=56 Urutan=1 ttl=255 masa=170 ms

---10.0.2.2 statistik ping ---

1paket dihantar

1paket diterima

0.00% kehilangan paket

pergi balik min/avg/maks = 170/170/170 ms

[FW ]ping -c 1 10.0.3.3

14:00:29 2014/07/08

PING 10.0.3.3: 56 bait data, tekan CTRL_C untuk memutuskan

Balas daripada 10.0.3.3: bait=56 Jujukan=1 ttl=255 masa=110 ms

--- 10.0.3.3 statistik ping ---

1paket dihantar

1paket diterima

0.00% kehilangan paket

min pergi balik /avg/max = 110/110/110 ms

Di bawah konfigurasi semasa, semua kawasan boleh berkomunikasi tanpa disemak. Memandangkan NAT belum ditakrifkan, zon dalaman dan DMZ tidak boleh berkomunikasi dengan zon luaran.

Langkah 4.Konfigurasikan penapisan keselamatan antara zon

Konfigurasikan data yang dihantar daripada sebahagian daripada segmen rangkaian 10.0.2.3 dalam zon Amanah kepada zon Tidak Amanah Pakej dikeluarkan. Permintaan Telnet yang dihantar dari zon Tidak Amanah ke pelayan sasaran DMZ 10.0.3.3 dibenarkan untuk lulus..

[FW]semakan keadaan pautan sesi tembok api

[FW]kepercayaan antara zon tidak amanah keluar keluar

[FW-policy-interzone-trust-untrust-outbound]dasar0

14:06:57 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]policysource 10.0.2.0 0.0.0.255

14 :07:18 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]actionpermit

14:07:31 2014/07/08

[FW-policy-interzone-trust-untrust-outbound-0]q

14:07:40 2014/07/08

[FW-policy-interzone-trust- untrust-outbound]q

14:07:40 2014/07/08

]policy interzone dmz untrust inbound

14:09:01 2014/07/08

[FW-policy-interzone-dmz-untrust-inbound]policy0

14:09:08 2014/07/08

[FW-policy-interzone-dmz- untrust-inbound-0]policydestination 10.0.3.3 0

14:09:37 2014/07/08

[FW-policy-interzone-dmz-untrust-inbound-0]perkhidmatan polisi -set telnet

[FW-policy-interzone-dmz-untrust-inbound-0]actionpermit

14:09:55 2014/07/08

[FW- policy-interzone-dmz-untrust-inbound-0]q

14:09:55 2014/07/08

Langkah 5. Konfigurasikan Easy-Ip untuk melaksanakan zon Amanah kepada Untrust lawatan zon.

Konfigurasikan Easy-IP untuk melaksanakan terjemahan alamat sumber NAT. Dan ikat NAT ke antara muka.

[FW-nat-policy-interzone-trust-untrust-outbound]policy0

14:14:00 2014/07/08

[FW-nat-policy -interzone-trust-untrust-outbound-0]sumber dasar 10.0.2.0 0.0.0.2

55

14:14:26 2014/07/08

[FW- nat-policy-interzone-trust-untrust-outbound-0]actionsource-nat

14:14:37 2014/07/08

[FW-nat-policy-interzone-trust- untrust-outbound-0]easy-ipg0/0/0

14:14:51 2014/07/08

[FW-nat-policy-interzone-trust-untrust-outbound- 0]q

Selepas konfigurasi selesai, sahkan sama ada akses antara zon Amanah dan zon Tidak Amanah adalah normal.

ping 10.0.1.1

PING 10.0.1.1: 56 bait data, tekan CTRL_C untuk memutuskan

Minta masa tamat

Masa permintaan habis

Minta tamat masa

Minta tamat masa

Minta tamat masa

---10.0.1.1 statistik ping ---

5paket dihantar

0paket diterima

100.00% kehilangan paket

ping -a 10.0.2.2 10.0.1.1

PING 10.0.1.1: 56 bait data, tekan CTRL_C untuk memutuskan

Balas daripada 10.0.1.1: bait=56 Urutan=1 ttl=254 masa=220 ms

Balas daripada 10.0.1.0. 1.1: bait=56 Jujukan=2 ttl=254 masa=100 ms

Balas daripada 10.0.1.1: bait=56 Jujukan=3 ttl=254 masa=100 ms

Balas daripada 10.0. 1.1: bait=56 Jujukan=4 ttl=254 masa=120 ms

Balas daripada 10.0.1.1: bait=56 Jujukan=5 ttl=254 masa=440 ms

---10.0 .1.1 statistik ping ---

5paket dihantar

5paket diterima

0.00% kehilangan paket

pergi balik min/ purata/maks = 100/196/440 ms

Ambil perhatian bahawa kesambungan dengan 10.0.1.1 diuji terus di sini dan paparan tidak menunjukkan sambungan. Ping lanjutan berjaya mencapai ketersambungan kerana alamat sumber 10.0.2.2 telah ditentukan semasa menghantar paket. Sebabnya ialah apabila menghantar paket data terus ke 10.0.1.1, apabila alamat sumber paket data mencapai 10.0.1.1, alamat sumber paket data ialah 10.0.20.2, yang tidak tergolong dalam julat alamat klien terjemahan NAT.

Langkah 6. Terbitkan pelayan intranet 10.0.3.3

Konfigurasikan perkhidmatan telnet pelayan intranet 10.0.3.3 dan petakannya ke alamat 10.0.10.20

[FW ] protokol pelayan nat tcp global10.0.10.20 telnet di dalam 10.0.3.3 telnet

Dayakan fungsi Telnet pada R3 dan uji pada R1 Apabila menguji, sila ambil perhatian bahawa alamat luaran ialah 10.0.10.20, jadi apabila R1 mengakses 10.0.3.3, alamat sasaran yang diakses ialah 10.0.10.20.

[R3]antara muka pengguna vty 0 4

[R3-ui-vty0-4]kata laluan mod pengesahan

Sila konfigurasikan kata laluan log masuk(panjang maksimum 16) :16

[R3-ui-vty0-4]tetapkan kata laluan pengesahan ?

sifir Tetapkan kata laluan dengan teks sifir

[R3-ui-vty0-4]set cip kata laluan pengesahan

[R3-ui-vty0-4]tetapkan sifir kata laluan pengesahan Huawei

[R3-ui-vty0-4]tahap keistimewaan pengguna 3

[R3-ui - vty0-4]q

telnet 10.0.10.20

Tekan CTRL_] untuk keluar dari mod telnet

Mencuba 10.0.10.20 ...

Disambungkan ke 10.0.10.20 ...

Pengesahan log masuk

Kata Laluan:

Atas ialah kandungan terperinci Konfigurasi NAT dalam tembok api USG. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!