Quidway Eudemon NAT配置

Quidway Eudemon 300/500/1000 配置指南 安全防范分册

5 NAT配置

? ?

当接口属于VPN实例时，需要配置接口绑定该VPN实例，再配置接口IP地址； 不能配置工作于透明模式下的接口的IP地址。

数据准备

在配置NAT前，需要准备以下数据：

? ? ? ? ? ?

ACL组号 ACL相关参数 NAT地址池编号

地址池起始地址和结束地址 VRRP备份组号 VPN实例名

5.2.2 配置NAT

配置NAT，需要进行如下操作。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令acl [ number ] acl-number [ vpn-instance vpn-instance-name ]，创建ACL，并进

入相应视图。 步骤 3 执行命令rule [ rule-id ] { permit | deny } [ source { source-address source-wildcard | any |

address-set address-set-name } | time-range time-name | logging ] *，配置基本ACL规则。

或执行命令rule [ rule-id ] { deny | permit } protocol [ destination { destination-address destination-wildcard | any | address-set address-set-name } | destination-port { operator port1 [ port2 ] | port-set port-set-name } | precedence precedence | source { source-address source-wildcard | any | address-set address-set-name } | source-port { operator port1 [ port2 ] | port-set port-set-name } | time-range time-name | tos tos | icmp-type icmp-type icmp-code | logging ] *，配置高级ACL规则。

步骤 4 执行命令quit，退回系统视图。

步骤 5 执行命令nat address-group { group-name | group-number } start-address end-address

[ vrrp virtual-router-ID | vpn-instance vpn-instance-name ] *，配置NAT地址池。 步骤 6 执行命令firewall interzone [ vpn-instance vpn-instance-name ] zone-name1 zone-name2，

进入域间视图。 步骤 7 执行命令nat outbound acl-number address-group { group-name | group-number }

[ no-pat ]，配置ACL和地址池关联。

地址池是一些连续的IP地址集合，当来自内部网络的报文通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。

当某地址池已经和ACL关联进行地址转换时，不允许删除这个地址池。

当防火墙同时应用于双机热备组网时，如果NAT地址池地址与VRRP备份组虚拟IP地址不在同一网段，则不必配置携带vrrp关键字的nat address-group命令；如果NAT地

文档版本 02 (2007-12-15) 华为技术有限公司 5-3

5 NAT配置

Quidway Eudemon 300/500/1000

配置指南 安全防范分册

址池地址与VRRP备份组的虚拟IP地址在同一网段，则需要配置相关命令，且virtual-router-ID为防火墙NAT出接口对应的VRRP备份组的ID。

步骤 8 执行命令detect protocol，配置NAT ALG（Application Level Gateway）（可选）。

----结束

5.2.3 检查配置结果

检查NAT配置结果的相关操作如表5-1所示。 表5-1 检查NAT配置结果 操作 查看地址池信息 查看所有NAT信息

命令 display nat address-group [ vpn-instance vpn-instance-name | public ] display nat all [ vpn-instance vpn-instance-name | public ] 5.3 配置内部服务器

5.3.1 建立配置任务

应用环境

当需要对外部用户提供访问服务时，可以将服务器放置于DMZ安全区域，并配置防火墙的内部服务器功能。

前置任务

在配置内部服务器功能前，需完成以下任务：

? ? ? ? ?

配置防火墙的工作模式（可选） 创建VPN实例（可选） 配置接口绑定VPN实例（可选） 配置接口IP地址（可选） 配置接口加入安全区域

? ?

当接口属于VPN实例时，需要配置接口绑定该VPN实例。 不能配置工作于透明模式下的接口的IP地址。

数据准备

在配置内部服务器功能前，需要准备以下数据：

5-4 华为技术有限公司 文档版本 02 (2007-12-15)

Quidway Eudemon 300/500/1000 配置指南 安全防范分册

? ? ? ? ? ? ?

5 NAT配置

提供给外部访问的IP地址 服务器在内部局域网的IP地址 VRRP备份组号 VPN实例名称 IP协议承载的协议类型 提供给外部访问的一个端口 服务器提供的服务端口号

5.3.2 配置内部服务器

Eudemon上同时配置NAT和内部服务器时，内部服务器优先级较高，首先起作用。 配置内部服务器，需要进行如下操作。

步骤 1 执行命令system-view，进入系统视图。

步骤 2 执行命令nat server [ zone zone-name ] global global-address inside host-address [ vrrp

virtual-router-ID | vpn-instance vpn-instance-name ] * [ no-reverse ]，配置内部服务器。

或执行命令nat server [ zone zone-name ] protocol protocol-type global global-address [ global-port ] inside host-address [ host-port ] [ vrrp virtual-router-ID | vpn-instance vpn-instance-name ] * [ no-reverse ]，配置内部服务器。

一个公有地址需要作为多个不同内部服务器的对外发布地址时，可以连续使用nat server命令进行配置。

配置参数zone，可以使该安全区域的用户通过指定IP地址访问内部服务器。多次配置该命令，可以使不同安全区域的用户采用不同的IP地址访问同一内部服务器。 当一个用户和内部服务器处于同一安全区域时，Eudemon防火墙不支持该用户使用内部服务器的公网地址访问该内部服务器。

允许外部网络访问的内部服务器通常置于Eudemon防火墙的DMZ安全区域。不建议配置允许这个安全区域中的设备主动向外发起连接。

当防火墙同时应用于双机热备组网时，如果转换后的NAT Server地址与VRRP备份组虚拟IP地址不在同一网段，则不必配置携带vrrp关键字的nat server命令；如果转换后的NAT Server地址与VRRP备份组的虚拟IP地址在同一网段，则需要配置相关命令，且virtual-router-ID为防火墙NAT Server出接口对应的VRRP备份组的ID。

步骤 3 执行命令firewall interzone [ vpn-instance vpn-instance-name ] zone-name1 zone-name2，

进入域间视图。 步骤 4 执行命令detect protocol，配置ASPF功能（可选）。

当防火墙需要支持FTP、HTTP、H.323、ILS、HWCC、MSN、PPTP、QQ、RTSP等协议的会话时，需要在域间使能ASPF功能。 ----结束

当需要对不同网段的外部用户进行监控时，可通过多次配置带no-reverse参数的nat server命令，为一个内部服务器配置多个公网地址。此时，外部的不同网段用户可以通

文档版本 02 (2007-12-15) 华为技术有限公司 5-5

5 NAT配置

Quidway Eudemon 300/500/1000

配置指南 安全防范分册

过分别访问不同的公网地址来访问此内部服务器。通过查看服务器的对外IP地址，可获悉访问该服务器的用户IP地址的网段，从而达到分类监控的目的。

以配置内部IP地址为1.1.1.1的服务器，其公网IP地址分别为2.2.2.2和3.3.3.3为例进行说明。

[Eudemon] nat server protocol tcp global 2.2.2.2 ftp inside 1.1.1.1 ftp no-reverse [Eudemon] nat server protocol tcp global 3.3.3.3 ftp inside 1.1.1.1 ftp no-reverse

两次使用带no-reverse参数的nat server命令，为该内部服务器配置两个外部IP地址。

[Eudemon] nat address-group 0 2.2.2.2 2.2.2.2 [Eudemon] nat address-group 1 3.3.3.3 3.3.3.3

需要为不同的公网地址配置各自所属的不同的地址池，各地址池中的地址要求为其中一个公网IP地址。

[Eudemon] acl number 2100

[Eudemon-acl-basic-2100] rule permit source 1.1.1.1 0.0.0.0 [Eudemon] firewall interzone trust untrust

[Eudemon-interzone-trust-untrust] nat outbound 2100 address-group 0 [Eudemon-zone-trust] firewall interzone trust dmz

[Eudemon-interzone-trust-dmz] nat outbound 2100 address-group 1

当不允许内部服务器访问外部网络时，可以如上配置。

[Eudemon] acl number 3100

[Eudemon-acl-adv-3100] rule permit ip source 1.1.1.1 0 destination 20.0.0.0 0.255.255.255

[Eudemon] acl number 3200

[Eudemon-acl-adv-3200] rule permit ip source 1.1.1.1 0 destination 30.0.0.0 0.255.255.255

[Eudemon-interzone-trust-untrust] nat outbound 3100 address-group 0 [Eudemon-interzone-trust-dmz] nat outbound 3200 address-group 1

允许内部服务器访问外部不同网段的用户群或不同的安全区域时，需要配置不同的ACL，使该内部服务器通过不同的公网IP地址访问。

内部服务器访问20.0.0.0网段时，匹配ACL 3100，内部服务器的私网地址转换为地址池0中的公网IP地址2.2.2.2。内部服务器访问30.0.0.0网段时，匹配ACL 3200，内部服务器的私网地址转换成地址池1中的公网IP地址3.3.3.3。由此可以配置内部服务器与用户群之间能相互访问。

5-6 华为技术有限公司 文档版本 02 (2007-12-15)