华赛SG3000-nat配置.docVIP

关于本章 本章描述内容如下表所示。 标题 内容 11.1 简介 介绍私有地址的分类和NAT的功能。 11.2 配置Outbound方向的NAT 介绍普通NAT的配置方法。 配置举例：配置Outbound方向的NAT和内部服务器示例 11.3 配置内部服务器 介绍内部服务器的配置方法。 配置举例1：配置Outbound方向的NAT和内部服务器示例 配置举例2：结合安全区域配置内部服务器示例 11.4 配置双向NAT 介绍双向NAT的配置方法。 配置举例1：配置双向NAT示例一 配置举例2：配置双向NAT示例二 11.5 配置目的NAT 介绍目的NAT的配置方法。 配置举例：配置目的NAT示例 11.6 调试NAT 介绍调试NAT的方法。 11.7 配置举例 介绍各种NAT组网举例。 11.1 简介 私有网络一般使用私有地址。RFC1918为私有、内部的使用留出了三个IP地址块。具体如下： ??????????? A类：～55（/8） ??????????? B类：～55（/12） ??????????? C类：～55（/16） 上述三个范围内的IP地址不会在Internet上被分配，所以企业用户在企业内部网络使用上述三类地址，无需向ISP（Internet Service Provider）或注册中心申请。 但是如果要访问外部Internet网络就要占用公网IP地址，随着Internet的广泛应用，许多国家公网IP地址日渐枯竭。 网络地址转换NAT（Network Address Translation）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。 NAT主要应用于以下情况： ??????????? 多个私网用户使用一个公网IP地址访问外部网络，减缓可用IP地址空间枯竭的速度。 ??????????? 隐藏内部网络用户的私有IP地址，保护内部网络的安全性。 NAT服务器拥有的公有IP地址数目要远少于内部网络的主机数目，因为所有内部主机并不会同时访问外部网络。应根据网络高峰期可能访问外部网络的内部主机数目的统计值来确定公有IP地址数目。 11.2 配置Outbound方向的NAT 11.2.1 建立配置任务 应用环境 当需要隐藏USG3000内部网络用户的私有IP地址时，即可配置Outbound方向的NAT。 前置任务 在配置Outbound方向的NAT之前，需完成以下任务： ??????????? 配置USG3000的工作模式（只能为路由模式） ??????????? 配置接口IP地址 ??????????? 配置接口加入安全区域 数据准备 在配置Outbound方向的NAT之前，需准备以下数据。 序号 数据 1 ACL组号 2 ACL相关参数 3 NAT地址池编号 4 地址池起始地址和结束地址 5 （可选）VRRP备份组号 ? 配置过程 要完成Outbound方向的NAT的配置，需要按照以下过程配置。 序号 过程 1 配置NAT地址池 2 配置ACL和地址池或接口关联 3 （可选）配置域间NAT ALG功能 4 （可选）配置域内NAT ALG功能 5 （可选）配置ESP报文的NAT ALG功能 6 检查配置结果 ? 11.2.2 配置NAT地址池 地址池是一些连续的IP地址集合，当来自内部网络的报文通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。 ??????????????????????????????? 步骤 1???? ??????????????????????????????? 步骤 2???? USG3000同时应用于双机热备组网时： ??????????? 如果NAT地址池地址与VRRP备份组虚拟IP地址不在同一网段，则nat address-group命令中不必携带vrrp关键字。 ??????????? 如果NAT地址池地址与VRRP备份组的虚拟IP地址在同一网段，则nat address-group命令需要携带vrrp关键字，且virtual-router-ID为USG3000 NAT出接口对应的VRRP备份组的ID。 ----结束 11.2.3 配置ACL和地址池或接口关联 ??????????????????????????????? 步骤 1???? ??????????????????????????????? 步骤 2???? ??????????????????????????????? 步骤 3???? rule [ rule-id ] { permit | deny } protocol [ source { source-address source-wildcard | address-set ad