防火墙的NAT和PAT
- 格式:ppt
- 大小:163.50 KB
- 文档页数:4


防火墙测试方案
测试项目
主要测试项目(必测)
NAT/PAT
Site-to-Site IPSec/VPN
Dynamic Remote-Access IPSec/VPN
IPSec/VPN的NAT穿透
Remote-Access PPTP VPN
H.323的穿透
ACL和会话数的限制
Syslog、SNMP、远程管理
辅助测试项目(选测)
认证功能
P2P流量限制
测试一、NAT/PAT
拓扑图
BJENETFTPWWWFTP ClientLoadRunnerLoadRunner测试防火墙192.168.1.0/24192.168.4.0/23192.168.2.0/23.254.1.254.254OutsideInsidePC1PC2PC3.1.1
测试要求 (如防火墙inside接口不够,则使用交换机连接内部三台pc并将内部网络合并为192.168.0.0/16)
1. 将192.168.1.1(pc1)静态翻译(地址翻译)为58.135.192.55
2. 将192.168.2.0-192.168.4.254动态翻译(端口翻译)为58.135.192.56
检查方法及检查项目
PC1通过FTP方式从教育网下载数据
PC2和PC3使用LoadRunner分别模拟500台电脑浏览网页
查看设备负载和网络延迟
测试二、Site-to-Site IPSec/VPN
拓扑图
Cisco ASA
5540测试防火墙192.168.0.0/24PC1.1.210.0.1.0/2410.0.2.0/24.254.254.1.2PC2OutsideInsideInside
测试要求
1. ISAKMP配置
Authenticastion Pre-Share
Encryption AES(256-bit)
Diffie-Hellman Group 2
Hash Sha
2. IPSec配置
NAT/NAPT:
IP地址资源的短缺。这促使了NAT/NAPT技术的产生,NAT/NAPT设计的最初目的是为了增加私有组织机构的可用地址空间,也为了解决网络地址资源的匮乏。NAT的英文全称是Network Address Translation,属接入广域网技术,是一种将私有地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。 NAT/NAPT是在局域网内部网络中使用内部地址,而当内部设备要与外部网络进行通讯时,就在网关处将内部地址替换成公用地址,从而在外部公网上正常使用,NAT可以使多台计算机共享Internet连接,这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法,可以只申请一个合法IP地址,就把整个局域网中的计算机接入Internet中。
NAT技术的产生使得私有网络中的多台计算机可以通过一个或几个IP地址来访问外部的Internet网络。 NAT可以动态改变通过路由器的IP报文的内容,使源目的地址的IP和目的地址的IP不同,从而达到网络地址转换的目的。 NAT将自动修改IP报文的源IP地址和目的IP地址,IP地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。
NAT技术有基本的四种实现类型:静态NAT,动态NAT,静态NAPT,动态NAPT。
NAPT(Network Address Port Translation),即网络端口地址转换,就是将多个内部地址映射为一个合法公网地址,但以不同的协议端口号与不同的内部地址相对应。也就是与之间的转换。NAPT普遍用于接入设备中,它可以将中小型的网络隐藏在一个合法的IP地址后面。NAPT也称"多对一"的NAT,PAT,NPAT,地址超载。NAT/NAPT都是以网络地址的转换为基础,将内部网络的私有地址转换为外部网络的公用地址。这样我们就可以将内部的多台设备通过一个外部的IP地址来访问外部的网络。内部设备在和外部通信的时候,地址的转换可以用软件实现也可以在路由器中实现。
文档供参考,可复制、编制,期待您的好评与关注!
1 / 6 应用场景:
在网络的边界,如出口区域,在内网和外网之间增加防火墙设备,采用路由模式对局域网的整网进行保护。路由模式一般不单独使用,一般会有以下功能的配合,如在内外网之间配置灵活的安全策略,或者是进行NAT内网地址转换。
功能原理:
简介
• 路由模式指的是交换机和防火墙卡之间采用互为下一跳指路由的方式通信
优点
• 能够支持三层网络设备的多种功能,NAT、动态路由、策略路由、VRRP等
• 能够通过VRRP多组的方式实现多张防火墙卡的冗余和负载分担
缺点
• 不能转发IPv6和组播包
• 部署到已实施网络中需要重新改动原有地址和路由规划
一、组网要求
1、在网络出口位置部署防火墙卡,插在核心交换机的3号槽位,通过防火墙卡区分内外网,外网接口有两个ISP出口;
2、在防火墙上做NAT配置,内网用户上外网使用私有地址段;
二、组网拓扑
三、配置要点
要点1,配置防火墙
• 创建互联的三层接口,并指定IP地址
• 配置动态路由或静态路由
• 创建作为NAT Outside的VLAN接口并指定IP 文档供参考,可复制、编制,期待您的好评与关注!
2 / 6 • 配置NAT转换关系
• 配置NAT日志
要点2,配置交换机
• 创建连接NAT Outside线路的VLAN并指定物理接口
• 创建互联到防火墙的三层接口
• 通过互联到防火墙的三层接口配置动态路由或静态路由
四、配置步骤
注意:
步骤一、将交换机按照客户的业务需要配置完成,并将防火墙卡和交换机联通,并对防火墙卡进行初始化配置。
1)配置防火墙模块与PC的连通性:
配置防火墙卡和交换机互联端口,可以用于防火墙的管理。
Firewall>enable ------>进入特权模式
Firewall#configure terminal ------>进入全局配置模式
Firewall(config)#interface vlan 4000 ------>进入vlan 4000接口
私网用户通过NAPT方式访问Internet
(备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。)
本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。
组网需求
如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。
图1 配置私网用户通过NAPT方式访问Internet组网图
配置思路
1. 完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。
2. 配置安全策略,允许私网指定网段访问Internet。
3. 配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP地址访问Internet。
4. 配置黑洞路由,防止产生路由环路。 操作步骤
1. 配置USG9000的接口IP地址,并将接口加入安全区域。
# 配置接口GigabitEthernet 1/0/1的IP地址。
system-view
[USG9000] interface GigabitEthernet 1/0/1
[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24
[USG9000-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet 1/0/2的IP地址。
[USG9000] interface GigabitEthernet 1/0/2
[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24