拓撲
拓撲可以保存到本地,然後擴大查看,這樣才能看的更清楚。
2 NAT部署分析
分析:我們NAT需求有2個,一個是不過內網可以正常訪問外網,另外一個則是對外提供WeB服務與fTP服務。其實這個都不是難點,當有時候,我們遇到一些需求,比如內網用戶通過外網地址或者公網域名訪問,內部的服務器,這一般在沒有部署內部Dns服務器的時候才使用,如果內部有服務器了的話,就直接通過內部服務器進行解析了。
3 部署Source-NAT 【訪問Internet】
由於有2個ISP,我們必須部署到不同ISP的NAT,這樣都可以進行NAT訪問。
到電信ISP的NAT策略
[USG-GW]nat-policy interzone trust isp_dx outbound
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_dx-outbound-1]easy-ip g0/0/1
說明:這裡部署了電信的ISP NAT,匹配了192.168.0.0/16網段的執行Source-NAT,然後用出接口地址進行NAT轉換,當然也可以調用地址池,但是一般情況下使用出接口進行轉換足夠了,其餘的公網IP用於做地址映射。
到聯通ISP的 NAT策略
[USG-GW]nat-policy interzone trust isp_lt outbound
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound]policy 1
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]policy source 192.168.0.0 mask 16
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]action source-nat
[USG-GW-nat-policy-interzone-trust-isp_lt-outbound-1]easy-ip g0/0/2
說明:這裡部署了聯通的ISP NAT,匹配了192.168.0.0/16網段的執行Source-NAT,然後用出接口地址進行NAT轉換,當然也可以調用地址池,但是一般情況下使用出接口進行轉換足夠了,其餘的公網IP用於做地址映射。
4 部署NAT Server【提供給外網訪問】
說明:對於NAT Server實現其實非常好實現,當時需要注意一個地方,相同Zone的雙出口與不同Zone的雙出口配置不不太一樣,這個在配置中會提到,另外這裡還需要放行外網到內網的訪問流量,也就是訪問服務器的。
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 www inside 192.168.88.251 www
[USG-GW]nat server zone isp_dx protocol tcp global 202.100.1.3 ftp inside 192.168.88.251 ftp
說明:該NAT轉換則是為從電信來的訪問202.100.1.3的WWW或者fTP服務的時候直接映射到內網地址88.251的WWW與fTP服務。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 www inside 192.168.88.251 www
[USG-GW] nat server 3 zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www
說明:說明:該NAT轉換則是為從聯通來的訪問61.128.1.3的WWW或者fTP服務的時候直接映射到內網地址88.251的WWW與fTP服務。
5 如果是相同Zone的配置,應該如何配置
對於相同Zone來說,它的區別與不同Zone非常小,除了Zone是同一個Zone外,另外就是在加一個參數為no-reverse,該意思的時候是,服務器不能主動訪問外網,而是隻能被動被接受訪問,這是因為在相同Zone內,映射地址都是通過地址來區別的,一個內網地址不能同時通過2個IP地址轉換出去,這樣是實現不了的。所以只能被動接收訪問,而不同Zone則不一樣,它有Zone作為區分,所以可以識別到低是從哪個Zone轉發。
[USG-GW]nat server zone isp_lt protocol tcp global 61.128.1.3 ftp inside 192.168.88.251 www no-reverse
可以看到已經有映射了。測試結果等部署了路由技術後一起測試。
6 流量該怎麼放行
當部署了NAT Server後,還需要做的一件事就是,必須讓外網的流量可以訪問內網,必須允許,否則一樣無法訪問,我們這裡需要允許的是兩個ISP到Trust 192.168.88.251的fTP與WWW流量需要都放行了。
電信ISP到內網的流量放行
[USG-GW]policy interzone isp_dx trust inbound
[USG-GW-policy-interzone-trust-isp_dx-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_dx-inbound-1]action permit
說明:這裡允許了電信到Trust的inbound流量,注意的是這裡從ISP到Trust,匹配的是目的地址,所以這裡定義目的地址為192.168.88.251,服務為fTP與hTTP放行。
聯通ISP到內網的流量
[USG-GW]policy interzone isp_lt trust inbound
[USG-GW-policy-interzone-trust-isp_lt-inbound]policy 1
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy destination 192.168.88.251 0
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]policy service service-set ftp http
[USG-GW-policy-interzone-trust-isp_lt-inbound-1]action permit
說明:這裡允許了聯通到Trust的inbound流量,注意的是這裡從ISP到Trust,匹配的是目的地址,所以這裡定義目的地址為192.168.88.251,服務為fTP與hTTP放行。
7 測試結果
目前暫時無法測試,因為路由還沒有部署。
閱讀更多 思恆科技 的文章
