HCSCA104 HCNA-Security-CBSN 第四章 网络地址转换技术资料.ppt

配置各接口的IP地址，并将其加入安全区域。 配置命令参考： [USG] interface GigabitEthernet 1/0/3 [USG-GigabitEthernet0/0/3] ip address 24 [USG] interface GigabitEthernet 1/0/4 [USG-GigabitEthernet0/0/4] ip address 24 [USG-GigabitEthernet0/0/4] quit [USG] interface GigabitEthernet 1/0/5 [USG-GigabitEthernet0/0/5] ip address 24 [USG]firewall zone trust [USG-zone-trust] add interface gigabitetherent 1/0/3 [USG] firewall zone isp1 [USG-zone-isp1] add interface gigabitetherent 1/0/4 [USG] firewall zone isp2 [USG-zone-isp2] add interface gigabitetherent 1/0/5 * 静态路由配置命令参考： [USG] ip route-static [USG] ip route-static * 配置接口IP地址、接口加域配置命令参考： USG system-view [USG] interface GigabitEthernet 1/0/3 [USG-GigabitEthernet1/0/3] ip address 24 [USG-GigabitEthernet1/0/3] quit [USG] interface GigabitEthernet 1/0/4 [USG-GigabitEthernet1/0/4] ip address 24 [USG-GigabitEthernet1/0/4] quit [USG] interface GigabitEthernet 1/0/5 [USG-GigabitEthernet1/0/5] ip address 24 [USG-GigabitEthernet1/0/5] quit [USG] firewall zone dmz [USG-zone-dmz] add interface GigabitEthernet 1/0/3 [USG-zone-dmz] quit [USG] firewall zone untrust [USG-zone-untrust] add interface GigabitEthernet 1/0/4 [USG-zone-untrust] add interface GigabitEthernet 1/0/5 [USG-zone-untrust] quit * 在本例中，ISP1和ISP2可以划为同一安全区域也可以设置为不同的安全区域。在这种时候，需要采用nat server zone 方式可以使防火墙识别报文“来自”或者“去往”的域，对报文的目的地址和源地址通过nat server所创建的地址映射关系进行转换。 * 在Web配置界面中，创建安全区域的操作步骤为： 选择“网络 安全区域 ”。 单击“安全区域列表”中的“新建”。 依次输入各项参数。 安全区域名称和优先级一旦设定，便不允许更改，同时不能与系统已存在的安全区域名称和优先级相同。 * 在Web配置界面中，配置静态路由的步骤为： 选择“网络 路由 静态路由”。 在“静态路由列表”中，单击“新建”。 依次输入或选择各项参数。 * 在如图所示的配置中，设置了从内网用户到ISP1网段的源NAT策略，内网用户转换后的IP地址为到ISP1的接口G1/0/4的IP地址，此种转换方式相当于命令行中easy IP的方式。 * * * * NAT地址池中的地址可以是一个公网IP地址，也可以是多个公网IP地址。 在配置基于源IP地址的NAT与域内NAT时，需要首先配置NAT地址池，然后将NAT地址池与NAT policy绑定，通过选择不同的参数，实现不同功能的NAT。 当某地址池已经和NAT policy关联时，不允许删除这个地址池。 配置NAT地址池时，应将上网接口地址和地址池配置在同一网段，即和分配的公网IP地址在同一网段；如果地址池所在网段与上网接口不在同一个网段，注意需要在USG的下一跳路由器上配置到地址池的路由。 一个地址池只支持配置一个地址段。也支持将地址池配置为仅包含单个IP地址，以实现内部主机固定转换为特定的公网IP地址。 地址段配置完成后，可以