詳細Huawei社のファイアウォールNATシミュレーション環境の設定（現在は行うことができます）

今日は、我々はボーエンを参照することができNAT関連の作品やコンセプト、NAT技術に基づいたシミュレーション環境を実行するために主にしてくださいhttps://blog.51cto.com/14156658/2434477

環境は以下のとおりです。

次のような要件は以下のとおりです。

• ネットワーククライアントは、インターネットサーバーにアクセスすることができます（pingに渡すことができます）
• インターネットクライアントは、（FTP経由でアクセス可能）内部サーバにアクセスすることができます
• ネットワーク・サーバは、インターネットサーバーにアクセスすることができます（pingに渡すことができます）

コンフィギュレーションを開始します。

次のようにサーバーとクライアントの構成は次のとおりです。

次のようにファイアウォールの設定は次のとおりです。

[FW1]int g1/0/0    <!--进入接口-->
[FW1-GigabitEthernet1/0/0]ip add 202.96.10.10 24        <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/0]int g1/0/1          <!--进入接口-->
[FW1-GigabitEthernet1/0/1]ip add 192.168.1.1 24         <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/1]int g1/0/2           <!--进入接口-->
[FW1-GigabitEthernet1/0/2]ip add 192.168.2.1 24        <!--接口配置IP地址 -->
[FW1-GigabitEthernet1/0/2]quit         <!--保存退出-->

次のようにR1が設定注:(上述参照）

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 202.96.10.20 24
[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip add 202.96.20.10 24
[R1-GigabitEthernet0/0/1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip add 202.96.30.10 24
[R1-GigabitEthernet0/0/2]quit
[R1]ip route-static 0.0.0.0 0.0.0.0 202.96.10.10            <!--配置去外网的默认路由-->

セキュリティポリシーの設定：

[FW1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 202.96.10.20 <!--配置去外网的默认路由-->
[FW1]firewall zone trust              <!--进入trust区域-->
[FW1-zone-trust]add int g1/0/1            <!--接口加入区域-->
[FW1-zone-trust]add int g 1/0/2            <!--接口加入区域-->
[FW1-zone-trust]quit                 <!--保存退出-->
[FW1]firewall zone untrust        <!--进入untrust区域-->
[FW1-zone-untrust]add int g1/0/0           <!--接口加入区域-->
[FW1-zone-untrust]quit             <!--保存退出-->
[FW1]security-policy                 <!--配置安全策略-->
[FW1-policy-security]rule name 1             <!--策略名字为1-->
[FW1-policy-security-rule-1]source-zone trust            <!--定义源区域为trust-->
[FW1-policy-security-rule-1]destination-zone untrust        <!--定义目标区域为untrust区域-->
[FW1-policy-security-rule-1]source-address 192.168.1.0 24       <!--定义转换源网络-->
[FW1-policy-security-rule-1]action permit             <!--允许流量通过-->
[FW1-policy-security-rule-1]quit
[FW1-policy-security]quit
[FW1]nat address-group NAPT           <!--配置地址池名字为NAPT-->
[FW1-address-group-NAPT]section 0 202.96.10.30 202.96.10.30     <!--地址池范围-->
[FW1-address-group-NAPT]mode pat           <!--地址池为NAPT提供服务-->
[FW1-address-group-NAPT]quit 
[FW1]nat-policy           <!--配置NAT策略-->
[FW1-policy-nat]rule name pat             <!--名字为pat-->
[FW1-policy-nat-rule-pat]source-zone trust           <!--定义转换源区域trust-->
[FW1-policy-nat-rule-pat]destination-zone untrust   <!--定义转换目标区域untrust-->
[FW1-policy-nat-rule-pat]source-address 192.168.1.0 24     <!--定义转换源网络-->
[FW1-policy-nat-rule-pat]action nat address-group NAPT   <!--定义的转换源和地址池建立映射关系-->
[FW1-policy-nat-rule-pat]quit
[FW1-policy-nat]quit
<!--以下配置和上面基本相同，在这里就不注释了，可以参照上面注释-->
[FW1]security-policy             
[FW1-policy-security]rule name NATserver       
[FW1-policy-security-rule-NATserver]source-zone untrust           
[FW1-policy-security-rule-NATserver]destination-zone trust      
[FW1-policy-security-rule-NATserver]destination-address 192.168.2.0 24     
[FW1-policy-security-rule-NATserver]action permit        
[FW1-policy-security-rule-NATserver]quit
[FW1-policy-security]quit
[FW1]firewall interzone trust untrust            <!--检测区域为trust和untrust区域-->
[FW1-interzone-trust-untrust]detect ftp      <!--检测ftp协议-->
[FW1-interzone-trust-untrust]quit
[FW1]nat server ftp protocol tcp global 202.96.10.40 21 inside 192.168.2.2 21    <!--配置FTP的NAT server-->
[FW1]security-policy          
[FW1-policy-security]rule name NAPT1    
[FW1-policy-security-rule-NAPT1]source-zone trust     
[FW1-policy-security-rule-NAPT1]destination-zone untrust     
[FW1-policy-security-rule-NAPT1]source-address 192.168.2.0 24   
[FW1-policy-security-rule-NAPT1]action permit    
[FW1-policy-security-rule-NAPT1]quit
[FW1-policy-security]quit
[FW1]nat address-group NAPT1      
[FW1-address-group-napt1]section 0 202.96.10.50 202.96.10.50   
[FW1-address-group-napt1]mode pat   
[FW1-address-group-napt1]quit    
[FW1]nat-policy     
[FW1-policy-nat]rule name pat1   
[FW1-policy-nat-rule-pat1]source-zone trust     
[FW1-policy-nat-rule-pat1]destination-zone untrust     
[FW1-policy-nat-rule-pat1]source-address 192.168.2.0 24   
[FW1-policy-nat-rule-pat1]action nat address-group NAPT1    
[FW1-policy-nat-rule-pat1]quit
[FW1-policy-nat]quit
[FW1]ip route-static 202.96.10.30 32 null 0     <!--配置路由黑洞-->
[FW1]ip route-static 202.96.10.40 32 null 0      <!--配置路由黑洞-->
[FW1]ip route-static 202.96.10.50 32 null 0    <!--配置路由黑洞-->

上記の構成を完了した後、スタートの需要があまりにも真の証明に従うことができます。

• ネットワーククライアントは、インターネットサーバーにアクセスすることができます（pingに渡すことができます）

• インターネットクライアントは、（FTP経由でアクセス可能）内部サーバにアクセスすることができます

ネットワーク内の1）のオープンFTPサーバ

2）を確認します

• ネットワーク・サーバは、インターネットサーバーにアクセスすることができます（pingに渡すことができます）

これは、読書のためのおかげで、このブログの終わりです！