網(wǎng)絡(luò)運(yùn)維|防火墻NAT應(yīng)用經(jīng)典方案

2020-06-02 21:06 作者：admin 瀏覽量：

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，今天就和大家聊一聊防火墻的NAT的應(yīng)用場(chǎng)景。簡(jiǎn)單網(wǎng)絡(luò)安全運(yùn)維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無(wú)限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無(wú)限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽(yáng)豐臺(tái)北京周邊海淀、大興、昌平、門(mén)頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

目的NAT

在本例中，USG部署在無(wú)線用戶的移動(dòng)終端（如手機(jī)）和WAP網(wǎng)關(guān)之間，為一些缺省WAP網(wǎng)關(guān)不正確的移動(dòng)終端進(jìn)行NAT轉(zhuǎn)換，使他們的報(bào)文能夠被轉(zhuǎn)發(fā)給正確的WAP網(wǎng)關(guān)。

組網(wǎng)需求

手機(jī)用戶需要通過(guò)登錄WAP（Wireless Application Protocol）網(wǎng)關(guān)來(lái)實(shí)現(xiàn)上網(wǎng)的功能。目前，大量用戶使用直接從國(guó)外購(gòu)買(mǎi)手機(jī)，這些手機(jī)出廠時(shí)，缺省設(shè)置的WAP網(wǎng)關(guān)地址與本國(guó)WAP網(wǎng)關(guān)地址不符，且無(wú)法自行修改，從而導(dǎo)致用戶不能移動(dòng)上網(wǎng)。
為解決這一問(wèn)題，無(wú)線網(wǎng)絡(luò)中，可以在WAP網(wǎng)關(guān)與用戶之間部署USG，如圖7-92所示。通過(guò)在USG上配置目的NAT功能，使這部分手機(jī)用戶能夠正常獲取網(wǎng)絡(luò)資源。
圖  手機(jī)用戶上網(wǎng)目的地址轉(zhuǎn)換典型組網(wǎng)圖 

項(xiàng)目	數(shù)據(jù)
(1)	接口號(hào)：GigabitEthernet 0/0/3 IP地址：10.1.1.1/24 安全區(qū)域：Trust
(2)	接口號(hào)：GigabitEthernet 0/0/4 IP地址：200.10.10.1/24 安全區(qū)域：Untrust
手機(jī)出廠默認(rèn)網(wǎng)關(guān)地址	202.10.10.2
當(dāng)?shù)剡\(yùn)營(yíng)商網(wǎng)關(guān)地址	200.10.10.2

配置思路

目的NAT是一種轉(zhuǎn)換報(bào)文目的IP地址的方式，目的NAT在安全區(qū)域內(nèi)起作用，將來(lái)自該安全區(qū)域的符合特定條件的報(bào)文的目的地址以及目的端口轉(zhuǎn)換為指定的地址及端口。
在本舉例中，USG需要將收到的手機(jī)報(bào)文的網(wǎng)關(guān)地址修改為運(yùn)營(yíng)商的網(wǎng)關(guān)地址。
配置目的NAT時(shí)只需指定源安全區(qū)域，無(wú)需指定目的安全區(qū)域。源安全區(qū)域通常為用戶所屬的安全區(qū)域，本舉例中為T(mén)rust。
目的NAT配置的菜單路徑為：“防火墻 > NAT > 目的NAT > 高級(jí)目的NAT”。

操作步驟

1. 配置接口基本參數(shù)。
a. 選擇“網(wǎng)絡(luò) > 接口 > 接口”。
b. 在“接口列表”中單擊GE0/0/3對(duì)應(yīng)的。
c. 配置接口GigabitEthernet 0/0/3。
GigabitEthernet 0/0/3的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：trust
· 模式：路由
· 連接類型：靜態(tài)IP
· IP地址：10.1.1.1
· 子網(wǎng)掩碼：255.255.255.0
d. 單擊“應(yīng)用”。
e. 重復(fù)上述步驟配置接口GigabitEthernet 0/0/4。
GigabitEthernet 0/0/4的相關(guān)參數(shù)如下，其他參數(shù)使用默認(rèn)值：
· 安全區(qū)域：untrust
· 模式：路由
· 連接類型：靜態(tài)IP
· IP地址：200.10.10.1
· 子網(wǎng)掩碼：255.255.255.0
2. 配置域間安全策略，以保證網(wǎng)絡(luò)基本通信正常。具體步驟略。
3. 配置目的NAT。
a. 選擇“防火墻 > NAT > 目的NAT”，單擊“高級(jí)目的NAT”頁(yè)簽。
b. 在“目的NAT策略列表”中單擊。參數(shù)配置如圖7-93所示。
圖7-93  配置目的NAT  c. 單擊“應(yīng)用”。

結(jié)果驗(yàn)證

配置完成后，手機(jī)可以正常上網(wǎng)。
如果發(fā)現(xiàn)手機(jī)還是無(wú)法正常上網(wǎng)，請(qǐng)依次檢查以下配置項(xiàng)：
1. 使用一臺(tái)默認(rèn)WAP網(wǎng)關(guān)與本地運(yùn)營(yíng)商的WAP網(wǎng)關(guān)一致的手機(jī)，看是否可以正常上網(wǎng)。
· 如果可以，說(shuō)明USG的基本配置沒(méi)有問(wèn)題，需要繼續(xù)向下檢查。
· 如果不可以，說(shuō)明還沒(méi)有實(shí)現(xiàn)基本的通信功能，需要檢查USG的基本配置。
2. 檢查無(wú)法上網(wǎng)手機(jī)的默認(rèn)WAP網(wǎng)關(guān)地址是否和目的NAT中配置的“目的地址”一致。
· 如果一致，說(shuō)明“目的地址”配置沒(méi)有問(wèn)題，需要繼續(xù)向下檢查。
· 如果不一致，說(shuō)明“目的地址”沒(méi)有和手機(jī)匹配，需要重新配置正確的“目的地址”。
3. 檢查目的NAT配置的其他限制條件是否對(duì)無(wú)法上網(wǎng)的手機(jī)有所限制，例如“源地址”不包括該手機(jī)的IP、所配置的“服務(wù)”與手機(jī)所需服務(wù)不符，“時(shí)間段”不包括使用該手機(jī)的時(shí)間等。
· 如果經(jīng)檢查，目的NAT的配置對(duì)無(wú)法上網(wǎng)的手機(jī)沒(méi)有任何限制，需要繼續(xù)向下檢查。
· 如果檢查發(fā)現(xiàn)目的NAT配置有誤，需要重新配置目的NAT，修改為正確的參數(shù)。
4. 檢查“轉(zhuǎn)換后的IP地址”是否與本地運(yùn)營(yíng)商的WAP網(wǎng)關(guān)地址相同。
· 如果相同，說(shuō)明網(wǎng)關(guān)地址配置沒(méi)有問(wèn)題。需要尋求技術(shù)支持。
· 如果不同，需要重新配置目的NAT，將“轉(zhuǎn)換后的IP地址”修改為運(yùn)營(yíng)商的WAP網(wǎng)關(guān)
 
以上文章由北京艾銻無(wú)限科技發(fā)展有限公司整理