文档名称 文档密级
1 配置NAT Server双出口举例
本例给出一个同时接入两个运营商网络的企业配置内部服务器的案例。这个企业从每个运营商处都获取到了一个公网IP地址,为了保证所有用户的访问速度,需要让不同运营商的用户通过访问相应的运营商的IP来访问公司提供的服务,而不需要经过运营商之间的中转。
组网需求
如图1所示,某公司内部网络通过SRG与两个运营商网络连接。
公司内网有一台FTP Server同时对两个运营商网络提供服务器,其真实IP是10.1.1.2。ISP1网络中的用户可以通过1.1.1.2访问FTP Server,ISP2网络中的用户可以通过2.2.2.2访问FTP Server。
要实现这一需求,只要将两个运营商网络划入不同的安全区域,使用nat server的zone参数对不同的安全区域发布不同的公网IP即可。 图1 配置多对一的内部服务器组网图
项目 (1) 数据 接口号:GigabitEthernet 0/0/2 IP地址:10.1.1.1/24 安全区域:DMZ – 备注 2013-4-5
华为机密,未经许可不得扩散 第1页, 共8页
文档名称 文档密级
项目 (2) 数据 接口号:GigabitEthernet 0/0/3 IP地址:1.1.1.1/24 安全区域:ISP1 备注 为了区分两个运营商,新建一个安全区域ISP1 (3) 接口号:GigabitEthernet 5/0/0 IP地址:2.2.2.1/24 安全区域:ISP2 为了区分两个运营商,新建一个安全区域ISP2 FTP Server 私网IP地址:10.1.1.2/24 ISP1中的公网IP地址:1.1.1.2/24 ISP2中的公网IP地址:2.2.2.2/24 - 操作步骤
1. 创建安全区域。 2. 5. [SRG] firewall zone name ISP1 6. [SRG-zone-isp1] set priority 10 7. [SRG-zone-isp1] quit 8. [SRG] firewall zone name ISP2 9. [SRG-zone-isp2] set priority 20 10. [SRG-zone-isp2] quit 11. 配置各接口的IP地址,并将其加入安全区域。 2013-4-5 华为机密,未经许可不得扩散 第2页, 共8页 文档名称 文档密级 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 25. 26. 27. 28. 29. [SRG] interface GigabitEthernet 0/0/2 [SRG-GigabitEthernet0/0/2] ip address 10.1.1.1 24 [SRG-GigabitEthernet0/0/2] quit [SRG] interface GigabitEthernet 0/0/3 [SRG-GigabitEthernet0/0/3] ip address 1.1.1.1 24 [SRG-GigabitEthernet0/0/3] quit [SRG] interface GigabitEthernet 5/0/0 [SRG-GigabitEthernet5/0/0] ip address 2.2.2.1 24 [SRG-GigabitEthernet5/0/0] quit [SRG] firewall zone dmz [SRG-zone-dmz] add interface GigabitEthernet 0/0/2 [SRG-zone-dmz] quit [SRG] firewall zone ISP1 [SRG-zone-isp1] add interface GigabitEthernet 0/0/3 [SRG-zone-isp1] quit [SRG] firewall zone ISP2 [SRG-zone-isp2] add interface GigabitEthernet 5/0/0 [SRG-zone-isp2] quit 30. 配置内部服务器,对不同的安全区域发布不同的公网IP地址。 a. 创建两台内网服务器的公网IP与私网IP的映射关系。 b. [SRG] nat server zone isp1 protocol tcp global 1.1.1.2 ftp inside 10.1.1.2 ftp c. [SRG] nat server zone isp2 protocol tcp global 2.2.2.2 ftp inside 10.1.1.2 ftp d. 在ISP1、ISP2与DMZ的域间配置NAT ALG,使服务器可以正常对外提供FTP服 务。 e. f. 2013-4-5 [SRG] firewall interzone dmz isp1 [SRG-interzone-dmz-isp1] detect ftp 华为机密,未经许可不得扩散 第3页, 共8页 文档名称 文档密级 g. h. i. j. [SRG-interzone-dmz-isp1] quit [SRG] firewall interzone dmz isp2 [SRG-interzone-dmz-isp2] detect ftp [SRG-interzone-dmz-isp2] quit 31. 在与设备相连的上下行设备上正确配置路由,使访问1.1.1.2和2.2.2.2地址的报文 都可以达到设备。 配置结果验证 1. 配置成功后,在SRG上查看Server-map表,表项建立成功。 [SRG] display firewall server-map ------------------------------------------------------------------------------ Nat Server, ANY -> 1.1.1.2[10.1.1.2], Zone: ISP1 Protocol: ANY(Appro: ---), Left-Time:---, Addr-Pool: --- VPN: public -> public Nat Server Reverse, 10.1.1.2[1.1.1.2] -> ANY, Zone: ISP1 Protocol: ANY(Appro: ---), Left-Time:---, Addr-Pool: --- VPN: public -> public Nat Server, ANY -> 2.2.2.2[10.1.1.2], Zone: ISP2 Protocol: ANY(Appro: ---), Left-Time:---, Addr-Pool: --- VPN: public -> public Nat Server Reverse, 10.1.1.2[2.2.2.2] -> ANY, Zone: ISP2 Protocol: ANY(Appro: ---), Left-Time:---, Addr-Pool: --- VPN: public -> public 2. 向FTP服务器发起业务请求,在SRG上查看会话表,建立成功。 2013-4-5 华为机密,未经许可不得扩散 第4页, 共8页 文档名称 文档密级 [SRG] display firewall session table verbose Current total sessions: 2 ftp VPN: public --> public Zone: ISP1 --> dmz TTL: 00:10:00 Left: 00:09:57 Interface: GigabitEthernet0/0/2 Nexthop: 10.1.1.2 <--packets: 3 bytes: 180 -->packets: 5 bytes: 214 1.1.1.10:53828 --> 1.1.1.2:21[10.1.1.2:21] ftp VPN: public --> public Zone: ISP2 --> dmz TTL: 00:10:00 Left: 00:09:57 Interface: GigabitEthernet 5/0/0 Nexthop: 10.1.1.2 <--packets: 18 bytes: 801 -->packets: 21 bytes: 871 2.2.2.10:1047 --> 2.2.2.2:21[10.1.1.2:21] 3. 在SRG上查看NAT相关配置信息。 [SRG] display nat server Server in private network information: zone : ISP1 interface : --- globaladdr : 1.1.1.2 insideaddr : 10.1.1.2 globalport : 21(ftp) insideport : 21(ftp) globalvpn : public insidevpn : public protocol : --- vrrp : --- zone : ISP2 interface : --- globaladdr : 2.2.2.2 insideaddr : 10.1.1.2 globalport : 21(ftp) insideport : 21(ftp) globalvpn : public insidevpn : public protocol : --- vrrp : --- 2013-4-5 华为机密,未经许可不得扩散 第5页, 共8页 文档名称 文档密级 Total 2 NAT server(s) 配置脚本 以下仅给出与本案例有关的脚本。 # sysname SRG # nat server 1 zone isp1 protocol tcp global 1.1.1.2 ftp inside 10.1.1.2 ftp nat server 2 zone isp2 protocol tcp global 2.2.2.2 ftp inside 10.1.1.2 ftp # interface GigabitEthernet0/0/2 ip address 10.1.1.1 255.255.255.0 # interface GigabitEthernet0/0/3 ip address 1.1.1.1 255.255.255.0 # interface GigabitEthernet5/0/0 ip address 2.2.2.1 255.255.255.0 # firewall zone local set priority 100 # firewall zone trust set priority 85 # firewall zone untrust set priority 5 # 2013-4-5 华为机密,未经许可不得扩散 第6页, 共8页 文档名称 文档密级 firewall zone dmz set priority 50 add interface GigabitEthernet0/0/2 # firewall zone isp1 set priority 10 add interface GigabitEthernet0/0/3 # firewall zone isp2 set priority 20 add interface GigabitEthernet5/0/0 # firewall interzone dmz isp1 detect ftp # firewall interzone dmz isp2 detect ftp # policy interzone dmz isp1 inbound policy 0 action permit policy service service-set ftp policy destination 10.1.1.2 0 # policy interzone dmz isp2 inbound policy 0 action permit policy service service-set ftp policy destination 10.1.1.2 0 2013-4-5 华为机密,未经许可不得扩散 第7页, 共8页 文档名称 文档密级 # return 2013-4-5 华为机密,未经许可不得扩散 第8页, 共8页 因篇幅问题不能全部显示,请点此查看更多更全内容