华为防墙NAT配置命令.docVIP

私网用户通过NAPT方式访问Internet （备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。） 本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。 组网需求 如 HYPERLINK :7895/pages/DZD0609G/04/DZD0609G/04/resources/typ_cli/sec_typ_cli_nat_0001.html?ft=0fe=10hib=id=sec_typ_cli_nat_0001 \l sec_typ_cli_nat_0001__d32985e28 图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少（1～5），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图  配置思路 完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。 配置安全策略，允许私网指定网段访问Internet。 配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。 配置黑洞路由，防止产生路由环路。 操作步骤 配置USG9000的接口IP地址，并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。 USG9000 system-view [USG9000] interface GigabitEthernet 1/0/1 [USG9000-GigabitEthernet1/0/1] ip address 0 24 [USG9000-GigabitEthernet1/0/1] quit # 配置接口GigabitEthernet 1/0/2的IP地址。 [USG9000] interface GigabitEthernet 1/0/2 [USG9000-GigabitEthernet1/0/2] ip address 24 [USG9000-GigabitEthernet1/0/2] quit # 将接口GigabitEthernet 1/0/1加入Trust区域。 [USG9000] firewall zone trust [USG9000-zone-trust] add interface GigabitEthernet 1/0/1 [USG9000-zone-trust] quit # 将接口GigabitEthernet 1/0/2加入Untrust区域。 [USG9000] firewall zone untrust [USG9000-zone-untrust] add interface GigabitEthernet 1/0/2 [USG9000-zone-untrust] quit 配置安全策略，允许私网网段/24的用户访问Internet。 [USG9000] policy interzone trust untrust outbound [USG9000-policy-interzone-trust-untrust-outbound] policy 1 [USG9000-policy-interzone-trust-untrust-outbound-1] policy source 55 [USG9000-policy-interzone-trust-untrust-outbound-1] action permit [USG9000-policy-interzone-trust-untrust-outbound-1] quit [USG9000-policy-interzone-trust-untrust-outbound] quit 配置NAT地址池和NAT策略。 # 配置NAT地址池的模式为PAT，即采用NAPT功能复用公网IP地址，并指定可用于NAT转换的公网IP地址。 [USG9000] nat address-group 1 [USG9000-address-group-1] mode pat [USG9000-address-group-1] section 1 5 [USG9000-address-group-1] quit （注;有些低版本的防火墙不能这样配置，配置应为： [USG9000] nat address-group 1 起始地址 结束地址 [USG9000-add