NAT配置

配置内部用户访问外网的NAT举例

通过配置内部用户访问外网，实现私有网络访问外部网络的功能，并且转换源地址。本例中是以地址池方式提供的访问外部网络的公有IP地址范围。

组网需求

不同用途的网络属于USG不同安全级别的安全区域。网络规划如下：

∙需要保护的网段地址为10.1.1.0/24和10.1.2.0/24，分别与USG的Ethernet 1/0/0和Ethernet 1/0/1接口相连，部署在Trust区域。

∙外部网络与USG的Ethernet 0/0/0接口相连，部署在Untrust区域。

需要实现的功能是：Trust安全区域的10.1.1.0/24网段用户可以访问外部网络的FTP服务，其他网段的用户不能访问外部网络的FTP服务。提供的访问外部网络的公有IP地址范围为

202.38.10.5～202.38.10.10。

组网图如图1所示。

图1 内部用户访问外网的NAT配置举例组网图

数据规划

内部用户访问外网的NAT配置举例数据规划如表1所示。

操作步骤

1.配置接口的IP地址，并将接口加入安全区域。

说明：

交换LAN口不能配置IP地址。如果需要通过交换LAN口进行三层通信，需要把交换

LAN口加入VLAN，在VLAN对应的Vlanif接口上配置IP地址。

缺省情况下，任何一个LAN接口都已加入VLAN 1，且Vlanif 1接口IP地址为

192.168.0.1/24。修改Vlanif 1接口IP地址将会导致Telnet和Web用户通信中断，

需要使用新的IP地址重新登录。建议使用其他Vlanif接口。

a.在“菜单”导航树中选择“系统 > 网络”。选择“VLAN”页签。

b.单击，在“新建VLAN”界面，在“VLAN ID”中输入2。

c.单击“应用”。

d.在“二层接口列表”中单击，显示“加入接口”界面，配置如下：

接口名称：Ethernet 1/0/0

∙链路类型：Access

e.单击“确定”。

f.选择“接口”页签。

g.在“三层接口列表”界面中，单击，显示“新建接口”界面，配置如下：

∙接口类型：Vlanif

∙接口名称：2

h.单击“应用”，显示“修改Vlanif”界面。配置如下：

∙安全区域：trust

∙寻址模式：配置自身IP

∙IP地址/掩码：10.1.1.1 255.255.255.0

i.单击“应用”。

j.用同样的方法新建VLAN 3，并将Ethernet 1/0/1加入到VLAN 3。新建Vlanif 3，配置如下：

∙安全区域：trust

∙寻址模式：配置自身IP

∙IP地址/掩码：10.1.2.1 255.255.255.0

k.单击“应用”。

l.在“三层接口列表”区域框中单击以太网接口Ethernet 0/0/0对应的，显示“修改Ethernet”界面。配置如下：

∙安全区域：untrust

∙寻址模式：配置自身IP

∙IP地址/掩码：202.38.10.2 255.255.255.0

m.单击“应用”。

2.配置地址。

a.选择“防火墙 > 地址”，显示“地址”界面。

b.单击，创建地址，配置如下：

∙地址名称：test0

∙子网/IP范围：10.1.1.0/24

c.单击“应用”。

3.对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，

不需要执行此步骤。

a.选择“防火墙 > 策略”。

b.在“转发策略”界面中，单击，创建转发策略，参数配置如图2所示。

图2 配置转发策略

c.单击“应用”。

4.配置Trust区域到Untrust区域的域间开启FTP协议的ASPF功能。

a.选择“防火墙 > 策略”。

b.在“转发策略”界面中，分别单击选择“trust”和“untrust”。

c.单击，显示Trust区域到Untrust区域的域间转发策略。

d.单击，显示“ASPF”界面，参数配置如图3所示。

图3 开启FTP协议的ASPF功能

e.单击“应用”。

5.配置NAT地址池。

a.选择“防火墙 > NAT > NAT地址池”，显示“新建NAT地址池”界面。

b.单击，创建NAT地址池0，参数配置如图4所示。

图4 配置NAT地址池0

说明：

USG2110-X/2100和USG2100BSR/HSR最多可以创建32个地址池，USG2200/5100、

USG2200BSR/HSR和USG5100BSR/HSR最多可以创建1024个地址池。

c.单击“应用”。

6.配置源NAT。

a.选择“防火墙 > NAT”。

b.在“源NAT”界面中，单击，创建NAT策略，参数配置如图5所示。

图5 配置源NAT

c.单击“应用”。

7.配置PC1和外部网络之间路由可达。

结果验证

1.在PC3上开启FTP Server。

2.PC2与PC3无法建立FTP连接。

3.PC1与PC3可以建立FTP连接，在USG上进行以下操作，检查会话表。

a.选择“系统 > 信息”。

b.选择“会话表”页签，查看会话表项信息。

显示FTP协议类型的会话表项，其中源IP地址为PC1的IP地址、目的地址为

PC3的IP地址、NAT源地址为202.38.10.5～202.38.10.10地址池的IP地址。父主题：配置NAT