华为防火墙NAT配置命令

华为防火墙配置教程华为防火墙是一种网络安全设备，用于帮助组织保护其网络免受各种网络威胁的攻击。

配置一个华为防火墙需要一些基本的步骤和设置。

下面是一个简单的华为防火墙配置教程，包含了一些基本的设置和注意事项。

1.连接防火墙：首先，将防火墙与网络连接。

使用合适的网络线缆将防火墙的WAN口连接到外部网络，将LAN口连接到内部网络。

2.配置管理接口：防火墙有一个管理接口，用于配置和管理设备。

通过连接到工作站，您可以使用web页面或命令行界面来配置防火墙。

您可以通过登录防火墙的管理接口来进行进一步的配置。

3.添加网络对象：在配置防火墙之前，您需要添加一些网络对象。

这些网络对象可以是主机、子网、IP地址范围或其他自定义对象。

这些网络对象将帮助您指定特定的网络流量，并根据自定义的规则进行处理。

4.创建安全策略：安全策略是防火墙的核心配置之一。

安全策略定义了允许或拒绝特定类型的网络流量通过防火墙的规则。

通过配置源和目标地址、端口和协议，您可以控制网络流量并确保只有授权用户可以访问特定的服务。

5.配置NAT：网络地址转换（NAT）用于在网络之间映射IP 地址。

通过配置NAT规则，您可以将内部IP地址映射到公共IP地址，从而使内部网络与外部网络进行通信。

6.配置VPN：如果您需要在不同地点或组织之间建立安全的连接，您可以配置虚拟专用网络（VPN）。

使用VPN，您可以通过互联网建立加密通道，以确保数据的安全性。

7.启用日志和监控：防火墙通常提供日志和监控功能，用于记录网络流量并检测异常活动。

通过启用日志和监控功能，您可以实时跟踪网络流量、检测入侵行为并及时采取措施。

8.定期更新：网络安全威胁不断演变，所以定期更新防火墙的固件和软件版本非常重要。

华为通常会发布补丁和更新，以修复已知的安全漏洞和提供新的功能。

总结：这个华为防火墙配置教程提供了一些基本的步骤和设置，以帮助您开始配置防火墙。

在实际配置防火墙时，可能还需要考虑其他方面，如安全策略的优化和防火墙的高可用性。

网络安全之华为USG防火墙配置实例USG5500系列产品是华为技术有限公司面向大中型企业和下一代数据中心推出的新一代电信级统一安全网关设备。

USG5500系列产品部署于网络出口处，有效阻止Internet 上的黑客入侵、DDoS攻击，阻止内网用户访问非法网站，限制带宽，为内部网络提供一个安全可靠的网络环境。

这里华迪教育以此为例，给同学们讲解防火墙配置实例。

华为USG防火墙配置内容：（1）内部网络通过防火墙访问外部网络(NAT)（2）外部网络能够访问内部服务器的映射网站主要配置命令如下：Step 1: 设置内、外网接口IPinterface GigabitEthernet0/0/1ip address 192.168.10.1 255.255.255.0interface GigabitEthernet0/0/8ip address 211.95.1.200 255.255.255.0Step 2: 指定内网信任区和外网非信任区firewall zone trustdetect ftp (启用FTP应用层转换)add interface GigabitEthernet0/0/1firewall zone untrustadd interface GigabitEthernet0/0/8step 3 : 开启内网FTP服务映射到外网，开通区域间的通信许可firewall interzone trust untrustdetect ftp （开启内网到外网的FTP服务映射）firewall packet-filter default permit allstep 4:定义NAT地址池、配置NAT Server发布内网站点服务nat address-group 1 211.95.1.200 211.95.1.200nat server zone untrust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone untrust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpnat server zone trust protocol tcp global 211.95.1.200 www inside 192.168.10.254 wwwnat server zone trust protocol tcp global 211.95.1.200 ftp inside 192.168.10.254 ftpStep 5 :配置nat转换，使得内网可以访问外网nat-policy interzone trust untrust outboundpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255address-group 1Step 6: 配置源地址转换，强制要求内网用户须通过映射地址访问内部服务器nat-policy zone trustpolicy 1action source-natpolicy source 192.168.10.0 0.0.0.255policy destination 211.95.1.254 0 address-group 1。

私网用户通过NAPT方式访问Internet（备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。

）本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。

组网需求如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。

2.配置安全策略，允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由，防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址，并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

一、access-list 用于创建访问规则。

（1）创建标准访问列表access-list [ normal | special ] listnumber1 { permit | deny } source-addr[ source-mask ]（2）创建扩展访问列表access-list [ normal | special ] listnumber2 { permit | deny } protocol source-addr source-mask [operator port1[port2]]dest-addr dest-mask [operator port1[ port2 ] | icmp-type [ icmp-code ] ] [ log ]（3）删除访问列表no access-list { normal | special } { all | listnumber [ subitem ] }【参数说明】normal 指定规则加入普通时间段。

special 指定规则加入特殊时间段。

listnumber1是1到99之间的一个数值，表示规则是标准访问列表规则。

listnumber2是100到199之间的一个数值，表示规则是扩展访问列表规则。

permit 表明允许满足条件的报文通过。

deny 表明禁止满足条件的报文通过。

protocol 为协议类型，支持ICMP、TCP、UDP等，其它的协议也支持，此时没有端口比较的概念；为IP时有特殊含义，代表所有的IP协议。

source-addr 为源地址。

source-mask 为源地址通配位，在标准访问列表中是可选项，不输入则代表通配位为0.0.0.0。

dest-addr 为目的地址。

dest-mask 为目的地址通配位。

operator[可选]端口操作符，在协议类型为TCP或UDP时支持端口比较，支持的比较操作有：等于（eq）、大于（gt）、小于（lt）、不等于（neq）或介于（range）；如果操作符为range，则后面需要跟两个端口。

华为USG防火墙配置手册1. 简介本手册旨在指导用户进行华为USG防火墙的配置和使用。

华为USG防火墙是一款功能强大的网络安全设备，可用于保护企业网络免受网络攻击和安全威胁。

2. 配置步骤2.1 硬件连接在配置USG防火墙之前，请确保正确连接好相关硬件设备，包括USG防火墙、路由器和服务器等。

2.2 登录USG防火墙使用SSH客户端等工具，输入USG防火墙的IP地址和管理员账号密码进行登录。

2.3 配置基本参数登录USG防火墙后，根据实际需求配置以下基本参数：- 设置管理员密码- 配置IP地址和子网掩码- 设置DNS服务器地址2.4 配置网络地址转换（NAT）根据实际网络环境，配置网络地址转换（NAT）功能。

NAT 功能可以将内部IP地址转换为合法的公网IP地址，实现内网和外网的通信。

2.5 配置访问控制策略配置访问控制策略可以限制网络流量的访问权限，确保只有授权的用户或设备可以访问特定网络资源。

2.6 配置安全服务华为USG防火墙提供多种安全服务功能，例如防病毒、入侵检测和内容过滤等。

根据实际需求，配置相应的安全服务功能。

2.7 配置远程管理和监控配置远程管理和监控功能，可以通过远程管理工具对USG防火墙进行实时监控和管理。

3. 常见问题解答3.1 如何查看防火墙日志？登录USG防火墙的Web界面，找到"日志"选项，可以查看防火墙的各种日志信息，包括安全事件、连接记录等。

3.2 如何升级USG防火墙固件版本？4. 其他注意事项- 在配置USG防火墙之前，请先备份原有的配置文件，以防配置错误或损坏设备。

- 请勿将USG防火墙暴露在不安全的网络环境中，以免受到未授权的访问和攻击。

以上是华为USG防火墙的配置手册，希望能帮助到您。

如有其他问题，请随时联系我们的技术支持。

华为防火墙配置使用手册摘要：一、华为防火墙配置概述二、华为防火墙基本配置1.登录华为防火墙2.配置管理IP地址3.配置接口地址4.配置路由5.配置访问控制列表（ACL）三、高级配置1.配置NAT2.配置DHCP3.配置防火墙策略4.配置安全策略5.配置入侵检测和防御四、故障排除与维护1.常见故障排除2.防火墙性能优化3.安全策略调整4.系统升级与维护五、总结正文：华为防火墙配置使用手册华为防火墙是一款高性能的网络防火墙，能够有效保护企业网络免受各种网络攻击。

本文将详细介绍华为防火墙的配置使用方法。

一、华为防火墙配置概述华为防火墙配置主要包括基本配置和高级配置两部分。

基本配置包括管理IP地址、接口地址、路由等设置；高级配置包括NAT、DHCP、防火墙策略等设置。

二、华为防火墙基本配置1.登录华为防火墙使用Console口或Telnet方式登录华为防火墙。

2.配置管理IP地址进入系统视图，设置管理IP地址。

例如：```[Huawei-GigabitEthernet0/0/1]ip address 192.168.1.1255.255.255.0```3.配置接口地址进入接口视图，设置接口地址。

例如：```[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.2255.255.255.0```4.配置路由设置路由表，使防火墙能够进行路由转发。

例如：```[Huawei-ip route-table]ip route 192.168.1.0 24 192.168.1.2```5.配置访问控制列表（ACL）设置ACL，以限制网络流量。

例如：```[Huawei-GigabitEthernet0/0/0]acl number 2000[Huawei-GigabitEthernet0/0/0]acl 2000 rule 0 permit ip source 192.168.1.1 0```三、高级配置1.配置NAT设置NAT地址转换，使内部网络设备能够访问外部网络。

华为防火墙配置使用手册【实用版】目录1.华为防火墙概述2.华为防火墙的基本配置3.华为防火墙的 IP 地址编址4.华为防火墙的访问控制列表（ACL）配置5.华为防火墙的 NAT 地址转换应用控制协议配置6.华为防火墙的实战配置案例正文华为防火墙作为一款重要的网络安全设备，被广泛应用于各种网络环境中。

本文将详细介绍华为防火墙的基本配置过程，包括 IP 地址编址、访问控制列表（ACL）配置以及 NAT 地址转换应用控制协议配置等方面的内容。

一、华为防火墙概述华为防火墙是一款高性能、多功能的网络安全设备，可以有效防止外部网络攻击，保护内部网络的安全。

华为防火墙支持多种网络协议，如 IP、TCP、UDP 等，同时支持访问控制列表（ACL）、NAT 地址转换等高级功能。

二、华为防火墙的基本配置在使用华为防火墙之前，首先需要对其进行基本配置，包括设备名称、管理 IP 地址等。

具体操作如下：1.登录华为防火墙的 Web 管理界面，输入设备的默认管理 IP 地址和用户名。

2.在管理界面中，找到“系统配置”菜单，进入后修改设备名称和管理 IP 地址。

三、华为防火墙的 IP 地址编址华为防火墙的 IP 地址编址主要包括内部网络接口和外部网络接口的配置。

内部网络接口连接内部网络设备，外部网络接口连接外部网络设备。

具体操作如下：1.登录华为防火墙的 Web 管理界面，找到“接口配置”菜单。

2.修改内部网络接口和外部网络接口的 IP 地址和子网掩码。

3.配置路由协议，如 OSPF、BGP 等，使华为防火墙能够正确转发数据包。

四、华为防火墙的访问控制列表（ACL）配置访问控制列表（ACL）是华为防火墙的重要功能之一，可以实现对网络流量的精细控制。

具体操作如下：1.登录华为防火墙的 Web 管理界面，找到“安全策略”菜单。

2.创建访问控制列表，设置列表名称和规则。

3.将访问控制列表应用于需要控制的接口，如内部网络接口或外部网络接口。

华为NAT配置背景： 早在20世纪90年代初，有关RFC⽂档就提出啦IP地址耗尽的可能。

，2019年11⽉26⽇，是⼈类互联⽹时代值得纪念的⼀天，全球43亿个IPv4地址今⽇正式耗尽。

IPv6技术虽然能从根本上解决地址短缺的问题，但也⽆法⽴刻替换现有成熟且⼴泛应⽤的IPv4⽹络。

那么必须使⽤⼀些技术⼿段来延长IPv4的寿命，，其中⼴泛使⽤的技术之⼀就是⽹络地址转换（Network AddressTranslation，NAT）原理： NAT是将IP数据报⽂报头中的IP地址 转换为另⼀个IP地址的过程NAT有3种类型：静态NAT、动态地址NAT以及⽹络地址端⼝转换NAPT功能及应⽤场景： 功能：主要⽤于实现内部⽹络（私有IP地址）访问外部⽹络（公有IP地址） NAT转换设备（实现NAT功能的⽹络设备）维护这地址转换表，所有经过NAT转换设备并且需要进⾏地址转换的报⽂，，都会通过该表做相应转换。

NAT转换设备处于内部⽹络和外部⽹络的连接处，，常见的有路由器、防⽕墙等。

实验⽬的：实验内容：实验拓扑：实验编址：实验步骤： 1.基本配置 根据实验编址表进⾏相应的基本配置，，并使⽤ping命令检测各直连链路的连通性。

2.配置静态NAT（⼀对⼀） 公司在⽹关路由器R1上配置访问外⽹的默认路由 由于内⽹使⽤的都是私有IP地址，，员⼯⽆法直接访问公⽹。

现需要在⽹关路由器R1上配置NAT地址转换，将私⽹地址转换为公⽹地址。

PC1为公司客户经理使⽤的终端，不仅需要⾃⾝能访问外⽹，，还需要外⽹⽤户也能直接访问他，，因此⽹络管理员分配啦⼀个公⽹IP地址202.1069.10.2给PC1座⾦泰NAT地址转换。

在R1的GE 0/0/0接⼝下使⽤nat static 命令配置内部地址到外部地址的⼀对⼀转换配置完之后，在R1上查看NAT静态配置信息，并在PC1ping检测与外⽹的连通 PC1通过静态NAT地址转换，成功访问外⽹，，在路由器R1上的GE 0/0/0接⼝抓包查看NAT地址是否转换成功，结果如下图 可以看到R1已经成功把来⾃PC1的ICMP报⽂的源地址172.16.1.1转换为公⽹地址202.169.10.5。

华为防火墙配置使用手册防火墙默认的管理接口为g0/0/0，默认的ip地址为192.168.0.1/24，默认g0/0/0接口开启了dhcp server，默认用户名为admin，默认密码为Admin@123一、配置案例1.1 拓扑图GE 0/0/1：10.10.10.1/24GE 0/0/2：220.10.10.16/24GE 0/0/3：10.10.11.1/24WWW服务器：10.10.11.2/24（DMZ区域）FTP服务器：10.10.11.3/24（DMZ区域）1.2 Telnet配置配置VTY 的优先级为3，基于密码验证。

# 进入系统视图。

<USG5300> system-view# 进入用户界面视图[USG5300] user-interface vty 0 4# 设置用户界面能够访问的命令级别为level 3[USG5300-ui-vty0-4] user privilege level 3配置Password验证# 配置验证方式为Password验证[USG5300-ui-vty0-4] authentication-mode password# 配置验证密码为lantian[USG5300-ui-vty0-4]set authentication password simple lantian ###最新版本的命令是authentication-mode password cipher huawei@123配置空闲断开连接时间# 设置超时为30分钟[USG5300-ui-vty0-4] idle-timeout 30[USG5300] firewall packet-filter default permit interzone untrust local direction inbound //不加这个从公网不能telnet防火墙。

基于用户名和密码验证user-interface vty 0 4authentication-mode aaaaaalocal-user admin password cipher ]MQ;4\]B+4Z,YWX*NZ55OA!!local-user admin service-type telnetlocal-user admin level 3firewall packet-filter default permit interzone untrust local direction inbound如果不开放trust域到local域的缺省包过滤，那么从内网也不能telnet的防火墙，但是默认情况下已经开放了trust域到local域的缺省包过滤。

华为H3C防火墙配置命令H3CF100S配置172.18.100.1255.255.255.0255.255.255.0初始化配置〈H3C〉system-view开启防火墙功能[H3C]firewall packet-filter enable[H3C]firewall packet-filter default permit分配端口区域[H3C] firewall zone untrust[H3C-zone-trust] add interface GigabitEthernet0/0 [H3C] firewall zone trust[H3C-zone-trust] add interface GigabitEthernet0/1 工作模式firewall mode transparent 透明传输firewall mode route 路由模式http 服务器使能HTTP 服务器 undo ip http shutdown关闭HTTP 服务器 ip http shutdown添加WEB用户[H3C] local-user admin[H3C-luser-admin] password simple admin[H3C-luser-admin] service-type telnet[H3C-luser-admin] level 3开启防范功能firewall defend all 打开所有防范切换为中文模式 language-mode chinese设置防火墙的名称 sysname sysname配置防火墙系统IP 地址 firewall system-ip system-ip-address [ address-mask ]设置标准时间 clock datetime time date设置所在的时区 clock timezone time-zone-name { add | minus } time取消时区设置 undo clock timezone配置切换用户级别的口令 super password [ level user-level ] { simple | cipher } password取消配置的口令 undo super password [ level user-level ]缺缺省情况下，若不指定级别，则设置的为切换到3 级的密码。

华为防火墙操作手册摘要：1.华为防火墙概述2.华为防火墙的基本配置3.配置拨号连接4.配置客户端5.服务端配置6.总结正文：华为防火墙作为国内知名的网络安全设备，被广泛应用于各种场景。

本文将介绍如何在华为防火墙上配置拨号连接，以帮助用户更好地管理和使用防火墙。

一、华为防火墙概述华为防火墙是一款高性能、多功能的网络安全设备，可以有效防止各种网络攻击，确保网络安全。

防火墙支持多种网络接入方式，如拨号、DSL、光纤等。

二、华为防火墙的基本配置在开始配置拨号连接之前，需要对华为防火墙进行基本配置，包括设置设备名称、管理口、系统时间等。

1.设置设备名称：在命令行界面输入“sysname”命令，然后输入设备名称。

2.设置管理口：在命令行界面输入“interface”命令，然后输入管理口名称（如MGT），并设置管理口的IP 地址和子网掩码。

3.设置系统时间：在命令行界面输入“sy stem-view”命令，然后输入“time-zone”命令，设置系统时区。

三、配置拨号连接在华为防火墙上配置拨号连接，需要使用PPPoE（Point-to-Point Protocol over Ethernet）技术。

以下是配置拨号连接的步骤：1.增加一个PPPoE 用户：在命令行界面输入“usg6000v1”命令，然后输入“sysname”命令，接着输入“ppps”命令，再输入“user-manage”命令，最后输入“user”命令，创建一个名为“test”的用户。

2.配置拨号连接参数：在命令行界面输入“dialup”命令，然后输入拨号连接的参数，如电话号码、用户名、密码等。

3.建立拨号连接：在命令行界面输入“ppp dial”命令，然后输入拨号用户名和密码，建立拨号连接。

四、配置客户端客户端是指使用拨号连接访问互联网的设备。

在配置客户端时，需要设置客户端的IP 地址、子网掩码、默认网关等参数。

以下是配置客户端的步骤：1.设置客户端的IP 地址和子网掩码：在命令行界面输入“interface”命令，然后输入客户端接口名称（如DMZ），并设置IP 地址和子网掩码。

华为USG防火墙NAT配置-电脑资料拓扑图场景：你是公司的网络管理员，。

公司使用网络防火墙隔离成三个区域。

现在要将DMZ区域中的一台服务器（IP地址：10.0.3.3）提供的telnet服务发布出去，对外公开的地址是10.0.10.20、24.并且内部网络Trust区域的用户通过Easy-IP的方式访问外部区域。

其它方向的访问被禁止。

在交换机上将G0/0/1与G0/0/21接口定义到vlan11，将G0/0/2与G0/0/22接口定义到vlan12，将G0/0/3与G0/0/23接口定义到vlan13.分别规划了三个网段。

学习任务步骤一.基本配置与IP编址首先给三个路由器配置地址信息。

[Huawei]sysname R1[R1]interface g0/0/1[R1-GigabitEthernet0/0/1]ip add 10.0.10.124[R1-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/1[R1-GigabitEthernet0/0/1]interfaceloopback0[R1-LoopBack0]ip add 10.0.1.1 24[R1-LoopBack0]q[Huawei]sysname R2[R2]interface g0/0/1[R2-GigabitEthernet0/0/1]ip add 10.0.20.224[R2-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/2[R2-GigabitEthernet0/0/1]interfaceloopback0[R2-LoopBack0]ip add 10.0.2.2 24[R2-LoopBack0]q[Huawei]sysname R3[R3]interface g0/0/1[R3-GigabitEthernet0/0/1]ip add 10.0.30.324[R3-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/3[R3-GigabitEthernet0/0/1]interfaceloopback0[R3-LoopBack0]ip add 10.0.3.3 24[R3-LoopBack0]q给防火墙配置地址时，G0/0/1配置10.0.20.254/24.[SRG]sysname FW13:06:03 2014/07/08[FW]interface g0/0/113:06:30 2014/07/08[FW-GigabitEthernet0/0/1]ip add 10.0.20.2542413:07:01 2014/07/08[FW-GigabitEthernet0/0/1]desc this portconnect to S1-G0/0/2213:07:52 2014/07/08[FW-GigabitEthernet0/0/1]interface g0/0/013:08:23 2014/07/08[FW-GigabitEthernet0/0/0]dis this13:08:31 2014/07/08#interface GigabitEthernet0/0/0alias GE0/MGMTipaddress 192.168.0.1 255.255.255.0dhcpselect interfacedhcpserver gateway-list 192.168.0.1#return[FW-GigabitEthernet0/0/0]undo ip add13:08:42 2014/07/08Info: The DHCP server configuration on thisinterface will be deleted.[FW-GigabitEthernet0/0/0]display this13:08:46 2014/07/08#interface GigabitEthernet0/0/0alias GE0/MGMT#return[FW-GigabitEthernet0/0/0]ip add 10.0.10.2542413:09:29 2014/07/08[FW-GigabitEthernet0/0/0]desc this portconnect to S1-G0/0/2113:10:05 2014/07/08[FW-GigabitEthernet0/0/0]interface G0/0/213:10:15 2014/07/08[FW-GigabitEthernet0/0/2]ip add 10.0.30.2542413:10:28 2014/07/08[FW-GigabitEthernet0/0/2]desc this portconnect to S1-G0/0/2313:10:53 2014/07/08[FW-GigabitEthernet0/0/2]q交换机上需要按照需求定义vlan[Huawei]sysname S1[S1]vlan batch 11 to 13Info: This operation may take a fewseconds. Please wait for a moment...done.[S1]interface g0/0/1[S1-GigabitEthernet0/0/1]port link-typeaccess[S1-GigabitEthernet0/0/1]port default vlan11[S1]interface g0/0/2[S1-GigabitEthernet0/0/2]port link-typeaccess[S1-GigabitEthernet0/0/2]port default vlan12[S1-GigabitEthernet0/0/2]interface g0/0/3[S1-GigabitEthernet0/0/3]port link-typeaccess[S1-GigabitEthernet0/0/3]port default vlan13[S1-GigabitEthernet0/0/3]interface g0/0/21[S1-GigabitEthernet0/0/21]port link-typeaccess[S1-GigabitEthernet0/0/21]port default vlan11[S1-GigabitEthernet0/0/21]interface g0/0/22[S1-GigabitEthernet0/0/22]port link-typeaccess[S1-GigabitEthernet0/0/22]port default vlan12[S1-GigabitEthernet0/0/22]interface g0/0/23[S1-GigabitEthernet0/0/23]port link-typeaccess[S1-GigabitEthernet0/0/23]port default vlan13步骤二.将接口配置到安全区域防火墙默认有四个区域，分别是“local”、“trust"、“untrust”、“dmz”，电脑资料《华为USG防火墙 NAT配置》(https://)。

ensp上防⽕墙上配置nat博⽂⼤纲：⼀、华为防⽕墙NAT的六个分类；⼆、解决NAT转换时的环路及⽆效ARP；三、server-map表的作⽤；四、NAT对报⽂的处理流程；五、各种常⽤NAT的配置⽅法；⼀、华为防⽕墙NAT的六个分类华为防⽕墙的NAT分类：NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端⼝，属于多对多转换，不能节约公⽹IP地址，使⽤情况较少。

NAPT（Network Address and Port Translation，⽹络地址和端⼝转换）：类似于Cisco的PAT转换，NAPT即转换报⽂的源地址，⼜转换源端⼝。

转换后的地址不能是外⽹接⼝IP地址，属于多对多或多对⼀转换，可以节约公⽹IP地址，使⽤场景较多。

出接⼝地址（Easy-IP）：因其转换⽅式⾮常简单，所以也被称为Easy-IP、和NAPT⼀样，即转换源IP地址，⼜转换源端⼝。

区别是出接⼝地址⽅式转换后的地址只能是NAT设备外⽹接⼝所配置的IP地址，属于多对⼀转换，可以节约IP地址。

NAT Server：静态⼀对⼀发布，主要⽤于内部服务器需要对Internet提供服务时使⽤，。

Smart NAT（智能转换）：通过预留⼀个公⽹地址进⾏NAPT转换，⽽其他的公⽹地址⽤来进⾏NAT No-PAT转换，该⽅式不太常⽤。

三元组NAT：与源IP地址、源端⼝和协议类型有关的⼀种转换，将源IP地址和源端⼝转换为固定公⽹IP地址和端⼝，能解决⼀些特殊应⽤在普遍NAT中⽆法实现的问题。

主要应⽤于外部⽤户访问局域⽹的⼀些P2P应⽤。

⼆、解决NAT转换时的环路及⽆效ARP在特定的NAT转换时，可能会产⽣环路及⽆效ARP，关于其如何产⽣，⼤概就是，在有些NAT的转换⽅式中，是为了解决内⽹连接Internet，⽽映射出了⼀个公有IP，那么，若此时有⼈通过internet来访问这个映射出来的公有IP，就会产⽣这两种情况。

若要详细说起来，⼜是很⿇烦，但是解决这两个问题很简单，就是配置⿊洞路由（将internet主动访问映射出来的地址的流量指定到空接⼝null0），关于如何配置，将在过后的配置中展⽰出来，我总结了以下需要配置⿊洞路由的场景，如下表所⽰：表中的前三个可以对应到⽂章开始的⼏个NAT类型中，那么NAT Server(粗泛)、NAT Server(精细）⼜是什么⿁呢？NAT Server(粗泛)：是NAT Server转换类型中的⼀种，表⽰源地址和转换后的地址只有简单的映射关系，没有涉及端⼝等映射，如源地址为192.168.1.2，转换后的地址为33.2.55.6，如果做的是NAT Server(粗泛)这种类型的NAT，那么所有访问33.2.55.6的数据包都将转发给192.168.1.2这个地址。