您的位置:360文档中心› NAT多实例的配置案例

NAT多实例的配置案例

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1 简介

本文档介绍使用NAT多实例的配置案例。

2 配置前提

本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT多实例的特性。

3 配置举例

3.1 组网需求

如图1所示,一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网络使用的网段地址网址为10.110.0.0/16。10.110.10.0/24网段的用户属于私网VPN1,加入安全域Trust1;10.110.11.0/24网段的用户属于私网VPN2,加入安全域Trust2;公网的用户属于VPN3,加入安全域Untrust。需要实现如下功能:

∙  内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。

∙  内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。

∙  公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP 服务。

图1 跨VPN转发典型配置组网图

3.2 配置思路

为了使内网主机能够访问公网,需要在出接口上配置NAT转换,并使对应的地址池和公网VPN实例相关联。

3.3 使用版本

本文档基于U200-S R5135版本进行配置和验证。

3.4 配置步骤

3.4.1 通过Web方式配置

(1)创建VPN实例

目前设备仅支持通过命令行方式创建VPN实例,配置方法请参见“3.4.2 (1)创建VPN 实例”。

(2)接口绑定VPN实例并加入安全域

# 接口绑定VPN实例。目前设备仅支持通过命令行方式配置接口绑定VPN实例,配置方法请参见“3.4.2 (2)接口绑定VPN实例”。

# 新建安全域Trust1。在左侧导航栏中选择“设备管理> 安全域”,进入下图2所示的安全域显示页面。

图2 安全域显示页面

# 单击<新建>按钮,新建一个安全域。

图3 安全域新建页面

# 点击<确定>按钮完成操作。

# 同理新建安全域Trust2,完成配置后安全域页面显示如图4所示。

图4 安全域新建后的显示页面

# 将接口加入安全域Trust1。点击Trust1对应的编辑按钮,进入如图5所示的安全域编辑页面。

图5 安全域编辑页面

# 勾选GigabitEthernet0/1前面的复选框,点击<确定>按钮完成操作。

# 同理配置将接口GigabitEthernet0/3加入安全域Trust2,接口GigabitEthernet0/2加入安全域Untrust。

# 完成配置后,在左侧导航栏中选择“设备管理> 接口管理”,进入接口列表显示页面,配置结果如图6所示:

图6 接口列表显示页面

(3)配置绑定VPN实例的NAT Outbound

# 在左侧导航栏中选择“防火墙> ACL”,进入如图7所示的ACL列表页面。配置访问控制列表2001,允许私网VPN1和私网VPN2的用户访问公网。

图7 ACL列表页面

# 单击<新建>按钮,新建ACL。

图8 ACL新建页面

# 点击<确定>按钮页面自动切换到ACL列表显示页面。

图9 ACL列表页面

# 点击ACL 2001对应的按钮,添加规则。

图10 Basic ACL 2001页面

# 点击<新建>按钮,进入新建ACL规则页面。

图11 新建ACL规则页面

# 勾选源IP地址前的复选框,输入10.110.10.0,源地址通符为0.0.0.255,选择VPN 实例为VPN1,点击<确定>按钮,页面自动切换到基本ACL 2001页面。

图12 Basic ACL 2001页面

# 点击<新建>按钮。

图13 新建ACL规则页面

# 勾选源IP地址前的复选框,输入10.110.11.0,源地址通符为0.0.0.255,选择VPN 实例为VPN2,点击<确定>按钮,页面切换到基本ACL 2001页面。

图14 Basic ACL 2001页面

# 在左侧导航栏中选择“防火墙> NAT > 动态地址转换”,进入如图15所示的动态地址转换页面;配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。图15 动态地址转换页面

# 单击地址池页签里的<新建>按钮,进入新建地址池页面。

图16 新建地址池页面

# 点击<确定>按钮完成地址池配置,页面自动切换到如图17所示的地址池显示页面。图17 地址池显示页面

# 点击图17中地址转换关联页签对应的<新建>按钮,进入新建动态NAT页面。在出接口GigabitEthernet0/2上配置nat outbound并与公网的VPN实例相关联。

图18 新建动态地址转换策略页面

# 点击<确定>按钮完成操作。

(4)配置绑定VPN实例的NAT Server

# 在左侧导航栏中选择“防火墙> NAT > 内部服务器”,进入如图19所示的内部服务器转换页面。设置内部FTP服务器并与公网的VPN实例相关联。

图19 内部服务器页面

# 单击内部服务器转换页签对应的<新建>按钮。

图20 新建内部服务器页面

# 单击<确定>按钮完成操作,页面自动切换到内部服务器转换页面。

图21 内部服务器页面

相关文档
最新文档