HC110310004HCNA-Security-CBSN第四章网络地址转换技术V2.0精选.ppt

在该例中，企业从每个运营商处都获取到了一个公网IP地址，为了保证所有用户的访问速度，需要让不同运营商的用户通过访问相应的运营商的IP来访问企业提供的服务，而不需要经过运营商之间的中转。同时，对于企业内网的用户也可以通过两个运营商所提供的网络访问到internet资源。 ISP1和ISP2作为internet运营商，两者都连接internet并可以互通。 配置各接口的IP地址，并将其加入安全区域。 配置命令参考： [USG] interface GigabitEthernet 0/0/3 [USG-GigabitEthernet0/0/3] ip address 24 [USG] interface GigabitEthernet 0/0/4 [USG-GigabitEthernet0/0/4] ip address 24 [USG-GigabitEthernet0/0/4] quit [USG] interface GigabitEthernet 0/0/5 [USG-GigabitEthernet0/0/5] ip address 24 [USG]firewall zone trust [USG-zone-trust]add interface gigabitetherent 0/0/3 [USG]firewall zone isp1 [USG-zone-isp1]add interface gigabitetherent 0/0/4 [USG]firewall zone isp2 [USG-zone-isp2]add interface gigabitetherent 0/0/5 静态路由配置命令参考： [USG] ip route-static [USG] ip route-static 配置接口IP地址、接口加域配置命令参考： USG system-view [USG] interface GigabitEthernet 0/0/3 [USG-GigabitEthernet0/0/3] ip address 24 [USG-GigabitEthernet0/0/3] quit [USG] interface GigabitEthernet 0/0/4 [USG-GigabitEthernet0/0/4] ip address 24 [USG-GigabitEthernet0/0/4] quit [USG] interface GigabitEthernet 0/0/5 [USG-GigabitEthernet0/0/5] ip address 24 [USG-GigabitEthernet0/0/5] quit [USG] firewall zone dmz [USG-zone-dmz] add interface GigabitEthernet 0/0/3 [USG-zone-dmz] quit [USG] firewall zone untrust [USG-zone-untrust] add interface GigabitEthernet 0/0/4 [USG-zone-untrust] add interface GigabitEthernet 0/0/5 [USG-zone-untrust] quit 在本例中，ISP1和ISP2可以划为同一安全区域也可以设置为不同的安全区域。在这种时候，需要采用nat server zone 方式可以使防火墙识别报文“来自”或者“去往”的域，对报文的目的地址和源地址通过nat server所创建的地址映射关系进行转换。 在Web配置界面中，创建安全区域的操作步骤为： 选择“网络 安全区域 安全区域”。 单击“安全区域列表”中的“新建”。 依次输入各项参数。 安全区域名称和优先级一旦设定，便不允许更改，同时不能与系统已存在的安全区域名称和优先级相同。 在Web配置界面中，配置静态路由的步骤为： 选择“路由 静态 静态路由”。 在“静态路由列表”中，单击“新建”。 依次输入或选择各项参数。 在如图所示的配置中，设置了从内网用户到ISP1网段的NAT outbound策略，内网用户转换后的IP地址为到ISP1的接口G0/0/4的IP地址，此种转换方式相当于命令行中easy IP的方式。 * 在某些场景下，既要对源IP地址进行转换，又要对目的IP地址进行转换，被称为双向NAT。常见的场景包括： NAT Inbound和NAT Server一起使用：主要用于简化配置NAT Server时的路由配置。 域内NAT和NAT Server一起使用：主要应用于实现私网用户以公网地址访问属于同