华为路由器防火墙基本原理及典型配置讲解

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

Dynamic NAT(续)
Dynamic NAT(续)
在上例中client 192.168.0.2和192.168.0.3分 别被转换为206.245.160.5和206.245.160.6 注意源地址发生了变化,而源端口并没有变 化。 需要注意的是在动态NAT的情况下,这种地 址映射的关系是会发生变化的
典型NAT组网
NAT的几种实现方式
Static NAT (静态地址映射) Dynamic NAT(动态地址映射) NAPT(Port Address Translation) (端口映射)
Biblioteka Baidu
Static NAT
把私网地址转化为互联网地址,而且是一对一的, 私网内的一个地址总会被转换成一个固定的互联 网地址。
问题:上图中主机访问10.78.32.100、10.72.58.72、 10.78.74.100时分别会把报文转发给那个网关设备。
静态路由协议
路由器上配置
ip route-static 0.0.0.0 0.0.0.0 Tunnel 6 preference 60 ip route-static 10.0.0.0 255.0.0.0 10.78.32.1 preference 60
Static NAT(续)
Static NAT(续)
在上例中client 192.168.0.2和192.168.0.3分 别被转换为206.245.160.2和206.245.160.3。 注意源地址发生了变化,而源端口并没有变化。 而且这种转换关系是固定的。
Dynamic NAT
多个私网地址会被转换成多个公网地址,但这种转换关系是不 确定的,并不能保证某个私网地址一定会被转换成某个公网地 址。 一般我们把这些公网地址成为地址池(nat pool)。
NAPT(Port Address Translation)
有时也称为Overloading,多个私网地址会被转换成一个个公网 地址,同时端口也会转换成,以便区别不同的连接。
NAPT(续)
NAPT(续)
在上例中client 192.168.0.2和192.168.0.3都 被映射为地址206.245.160.1,用于区别各通 信连接的是端口号。 注意源地址和源端口在NAT后都发生的变化。 需要注意的是在NAPT的情况下,这种地址 和端口的映射关系是会发生变化的。
global (outside) 1 219.133.94.142 nat (inside) 1 192.168.0.0 255.255.255.0 0 0 route outside 0.0.0.0 0.0.0.0 219.133.94.137 1
Eudemon
# interface Ethernet0/0 ip address 192.168.0.254 255.255.255.0 # interface Ethernet1/0 ip address 219.133.94.142 255.255.255.224 # acl number 2001 rule 0 permit source 192.168.0.0 0.0.0.255 # firewall zone local set priority 100 # firewall zone trust add interface Ethernet0/0 set priority 85 # firewall zone untrust add interface Ethernet1/0 set priority 5 # firewall interzone local trust # firewall interzone trust untrust nat outbound 2001 interface Ethernet0/0/0 # ip route-static 0.0.0.0 0.0.0.0 219.133.94.137
路由器防火墙典型配置讲解
华为公司多媒体技术支援部
路由和路由协议简介
第二章 NAT 第三章 防火墙简介 第四章 课后作业
什么是路由器
简单的说就是在IP网络上连接不同子网,实现IP报文转发功能的设备 每台路由器都有一张路由表,路由器就是根据路由表来进行IP报文转发的。
Routing Tables: Destination/Mask Proto Pref 0.0.0.0/0 Static 60 1.1.6.0/30 Direct 0 1.1.6.2/32 Direct 0 10.0.0.0/8 Static 60 10.78.32.0/23 Direct 0 10.78.32.84/32 Direct 0 127.0.0.0/8 Direct 0 127.0.0.1/32 Direct 0 219.133.94.128/27 Direct 0 219.133.94.137/32 Direct 0
or
ip route 0.0.0.0 0.0.0.0 202.112.0.63 ip route 192.168.0.0 255.255.255.0 172.16.16.1
Windows
route ADD 157.0.0.0 MASK 255.0.0.0 157.55.80.1
动态路由协议
路由协议也叫做动态选路协议,就是路由器 获得路由表的过程。 RIP IGRP EIGRP OSPF等等都是路由协议
主机的处理过程
每台主机都有自己的路由表
Active Routes: Network Destination Netmask Gateway Interface Metric 0.0.0.0 0.0.0.0 10.78.32.1 10.78.32.88 20 10.78.32.0 255.255.254.0 10.78.32.88 10.78.32.88 20 10.78.32.88 255.255.255.255 127.0.0.1 127.0.0.1 20 10.255.255.255 255.255.255.255 10.78.32.88 10.78.32.88 20 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 224.0.0.0 240.0.0.0 10.78.32.88 10.78.32.88 20 255.255.255.255 255.255.255.255 10.78.32.88 10.78.32.88 1 10.78.74.0 255.255.255.0 10.78.32.254 10.78.32.88 20 Default Gateway: 10.78.32.1 ===============================================================
配置NAT和NAPT
nat outbound 2001 interface Ethernet0/0/0 nat outbound 2001 address-group 1 nat outbound 2001 address-group 1 no-pat
端口映射表
<Eudemon>disp firewall session table HTTP: vpn:0,192.168.0.11:2537[219.133.94.142:36998]-->218.30.66.49:80 HTTP: vpn:0,192.168.0.11:2554[219.133.94.142:56279]-->61.172.201.130:80 RAS: vpn:0,192.168.0.5:1719[219.133.94.142:1719]<--222.75.254.117:21298 RAS: vpn:0,192.168.0.5:1719[219.133.94.142:1719]<--218.1.178.205:1719 HTTP: vpn:0,192.168.0.11:2535[219.133.94.142:47765]-->216.239.53.99:80 RAS: vpn:0,192.168.0.5:1719[219.133.94.142:1719]<--154.20.31.29:1719 RAS: vpn:0,192.168.0.5:1719[219.133.94.142:1719]<--222.75.254.117:10308 TELNET: vpn:0,192.168.0.1:23<--192.168.0.11:2568 HTTP: vpn:0,192.168.0.11:2538[219.133.94.142:36999]-->218.30.66.49:80 RAS: vpn:0,192.168.0.5:1719[219.133.94.142:1719]<--211.96.99.249:1719 HTTP: vpn:0,192.168.0.11:2555[219.133.94.142:56280]-->61.172.201.130:80 RAS: vpn:0,192.168.0.5:1719[219.133.94.142:1719]<--210.82.32.42:45224 RAS: vpn:0,192.168.0.5:1719[219.133.94.142:1719]<--218.75.227.62:64470
Metric Nexthop Interface 0 1.1.6.2 Tunnel6 0 1.1.6.2 Tunnel6 0 127.0.0.1 LoopBack0 0 10.78.32.1 Ethernet0 0 10.78.32.84 Ethernet0 0 127.0.0.1 LoopBack0 0 127.0.0.1 LoopBack0 0 127.0.0.1 LoopBack0 0 219.133.94.137 Ethernet1 0 127.0.0.1 LoopBack0
关于NAT 更多……
RFC 1631: The IP Network Address Translator (NAT) RFC 1918: Address Allocation for Private Internets How nat works Cisco IPJ 2000 Volume 3 number 4
典型的NAT应用(1)
Cisco PIX
nameif ethernet0 outside security0 nameif ethernet1 inside security100 interface ethernet0 auto interface ethernet1 auto ip address outside 219.133.94.142 255.255.255.224 ip address inside 192.168.0.254 255.255.255.0
Distance Vector Protocols
RIP IGRP EIGRP OSPF IS-IS
Link State Protocols
第一章 路由和路由协议简介 第二章 NAT 第三章 防火墙简介 第四章 课后作业
什么是NAT
随着IP网络的普及,目前广泛应用的IPv4版本的ip地址出现严重不足,运 行TCP/IP协议的设备原来越多,无法满足每个设备拥有一个IP地址的需求 NAT(Network Address Translation)网络地址转换,又称地址代理,用来实 现私有网络地址与 公有网络地址之间的转换。 私有地址是指内部网络(局域网内部)的主机地址, 而公有地址是局域网的 外部地址(在因特网上的全球唯一的IP地址)。 因特网地址分配组织规定 以下的三个网络地址保留用做私有地址: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 也就是说这三个网络的地址不会在因特网上被分配,但可以在一个企业 (局域网)内部使用。
相关文档
最新文档