当前位置: 首页 > news >正文

华为防火墙NAPT配置

news 来源:原创 2025/6/4 15:43:49

1.实验拓扑

2.实验配置

[SW1]dis cu
#
sysname SW1
#
vlan batch 10 20
#
interface Vlanif10ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20ip address 192.168.20.253 255.255.255.0
#
interface GigabitEthernet0/0/1port link-type accessport default vlan 20
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 10
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 10
#
ospf 1 router-id 1.1.1.1silent-interface Vlanif10area 0.0.0.0network 192.168.10.0 0.0.0.255network 192.168.20.0 0.0.0.255
#
[FW1]dis cu
2025-05-29 12:57:31.360 
!Software Version V500R005C10SPC300
#
sysname FW1
#
interface GigabitEthernet1/0/0undo shutdownip address 192.168.20.254 255.255.255.0
#
interface GigabitEthernet1/0/1undo shutdownip address 200.1.1.1 255.255.255.0
#
firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/1
#
ospf 1 router-id 2.2.2.2default-route-advertisearea 0.0.0.0network 192.168.20.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
#
nat address-group 1 0mode patsection 0 200.1.1.10 200.1.1.20
#
security-policyrule name trust->untrustsource-zone trustdestination-zone untrustsource-address range 192.168.10.1 192.168.10.2service httpservice httpsservice icmpaction permit
#
nat-policyrule name patsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0action source-nat address-group 1
#
[R1]dis cu
[V200R003C00]
#sysname R1
#
interface GigabitEthernet0/0/0ip address 200.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1ip address 100.1.1.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 200.1.1.1

3.实验验证

4.配置源NAT注意事项

1、边界防火墙地址池配置的公网 IP 与公网接口在一个网段,如果外网节点频繁访问防火墙
上地址池中的公网 IP,触发大量的 ARP 解析报文,造成资源占用,引入 UNR(user network
route)路由,类似黑洞路由,把访问地址池中公网 IP 的数据本地终结。
[FW1-address-group-1] route  enable 
此时不再生成ARP请求
2、边界防火墙地址池配置的公网 IP 与公网接口在不一个网段,如果外网节点访问防火墙上
地址池中的公网 IP,会导致三层环路,消耗设备、链路资源,一定要配置 UNR 路由生成功
能,用本地终结方式,防止环路的发生。
[FW1]nat address-group  1
[FW1-address-group-1]undo route  enable 
[FW1-address-group-1]undo section  0
[FW1-address-group-1]section  4.4.4.4
[FW1-address-group-1]route  enable 
此时没有环路了

相关文章:

  • Spark-Core Project
  • 深入解析注解框架实现原理:从源码到实战
  • 内存泄漏检测之Valgrind的使用
  • c++数据结构7——二叉树的遍历
  • 从实验室到商用!铁电液晶如何改写显示技术格局?
  • IT Tools 部署
  • 20中数组去重的方法20种数组去重的方法
  • 【数学】求最大公约数问题
  • 贝锐蒲公英工业路由器R300A海外版:支持多国4G频段,全球组网
  • Cadence Allegro中设置主画面最小显示间距
  • JAVA:Kafka 消息可靠性详解与实践样例
  • 常见关系型数据库对比指南
  • 【Linux笔记】Shell-脚本(下)|(常用命令详细版)
  • 利用Python制作环保志愿者招募海报
  • echarts主题切换实现
  • 容器(如 Docker)中,通常不建议运行多个进程或要求进程必须运行在前台
  • 物联网常用协议Modbus、CAN、BACnet介绍
  • 【C语言】指针详解(接)
  • vue发版html 生成打包到docker镜像进行发版
  • 《深度关系-从建立关系到彼此信任》
  • 上海新闻网最新新闻事件/深圳seo教程
  • web个人网站模板/外链收录网站
  • 南通网站/网站代理公司
  • 做网站设计的长宽一般是多少钱/关键词在线播放免费
  • 系统开发和网站开发/淘宝指数官网入口
  • 那里可以免费做网站/华为云速建站