标签:
目录
执行NAT-src时,安全设备将初始源IP地址转换成不同的地址,转换地址可以来自DIP池或安全设备的出口接口。若从DIP池中提取转换地址,安全设备可以随机提取或提取明确的地址。
入口接口处于路由或NAT模式时,可使用基于策略的NAT-src,若处于NAT模式,策略级的NAT-src参数将取代接口级的NAT参数。
1 //接口 2 set interface ethernet1 zone trust 3 set interface ethernet1 ip 10.1.1.1/24 4 set interface ethernet1 nat 5 set interface ethernet3 zone untrust 6 set interface ethernet3 ip 1.1.1.1/24 7 8 //DIP 9 set interface ethernet3 dip 5 1.1.1.30 1.1.1.30 10 11 //策略 12 set policy from trust to untrust any any http nat src dip-id 5 permit
1 //接口 2 set interface ethernet1 zone trust 3 set interface ethernet1 ip 10.1.1.1/24 4 set interface ethernet1 nat 5 set interface ethernet3 zone untrust 6 set interface ethernet3 ip 1.1.1.1/24 7 8 //DIP 9 set interface ethernet3 dip 6 1.1.1.50 1.1.1.150 fix-port 10 11 //策略 12 set policy from trust to untrust any any e-stock nat src dip-id 6 permit
可以将源IP地址转换为DIP池中的某个特定地址,甚至可以将一个子网转换为另一个子网,但需要这两个子网是一一对应的。
1 //接口 2 set interface ethernet1 zone trust 3 set interface ethernet1 ip 10.1.1.1/24 4 set interface ethernet1 nat 5 set interface ethernet3 zone untrust 6 set interface ethernet3 ip 1.1.1.1/24 7 8 //DIP 9 set interface ethernet3 dip 10 shift-from 1.1.1.101 1.1.1.105 10 11 //地址 12 set address trust host1 10.1.1.11/32 13 set address trust host2 10.1.1.12/32 14 set address trust host3 10.1.1.13/32 15 set address trust host3 10.1.1.14/32 16 set address trust host3 10.1.1.15/32 17 18 set group address trust group1 add host1 19 set group address trust group1 add host2 20 set group address trust group1 add host3 21 set group address trust group1 add host4 22 set group address trust group1 add host5 23 24 //策略 25 set policy from trust to untrust group1 any http nat src dip-id 10 permit 26 save
如果只在策略中应用NAT-src而不指定DIP池,安全设备会将IP地址转换成出口接口的地址,此时,安全设备始终应用PAT。
1 //接口 2 set interface ethernet1 zone trust 3 set interface ethernet1 ip 10.1.1.1/24 4 set interface ethernet1 nat 5 set interface3 zone trust 6 set interface3 ip 1.1.1.1/24 7 8 //策略 9 set policy from trust to untrust any any http nat src permit 10 save
基于策略的NAT-dst、MIP和VIP都会将IP封包包头中的初始目的IP地址转换成不同的地址,基于策略的NAT-dst和VIP还可以启用端口映射。
通过配置策略,可以将一个目标IP地址转换成另一个地址,将一个IP地址范围转换成单个IP地址,或将一个IP地址范围转换成另一个IP地址范围。初始目标地址与转换地址可以是一对一、多对一或多对多关系。
配置NAT-dst地址时,安全设备的路由表中必须同时存在指向封包包头中的初始目标地址和已转换目标地址的路由。安全设备使用初始目标地址执行路由查询,以此来确定出口接口,出口接口给出目标区段,以便安全设备执行策略查询。策略定义了初始目标地址到已转换目标地址的映射。随后,安全设备执行第二次路由查询,确定转发封包的接口,封包必须通过该接口才能到达新的目标地址。
1 //接口 2 set interface ethernet3 zone untrust 3 set interface ethernet3 ip 1.1.1.1/24 4 set interface ethernet2 zone dmz 5 set interface ethernet2 ip 10.2.1.1/24 6 7 //地址 8 set address dmz oda2 1.2.1.8/32 9 10 //服务组 11 set group service http-ftp 12 set group service http-ftp add http 13 set group service http-ftp add ftp 14 15 //路由 16 set vrouter trust-vr route 1.2.1.8/32 interface ethernet2 17 18 //策略 19 set policy from untrust to dmz any oda2 http-ftp nat dst ip 10.2.1.8 permit 20 save
1 //接口 2 set interface ethernet3 zone untrust 3 set interface ethernet3 ip 1.1.1.1/24 4 set interface ethernet2 zone dmz 5 set interface ethernet2 ip 10.2.1.1/24 6 7 //地址 8 set address dmz oda3 1.2.1.8/32 9 10 //路由 11 set vrouter trust-vr route 1.2.1.8/32 interface ethernet2 12 13 //策略 14 set policy from untrust to dmz any oda3 http nat dst ip 10.2.1.8 permit 15 set policy from untrust to dmz any oda3 ftp nat dst ip 10.2.1.9 permit 16 save
1 //接口 2 set interface ethernet3 zone untrust 3 set interface ethernet3 ip 1.1.1.1/24 4 set interface ethernet2 zone dmz 5 set interface ethernet2 ip 10.2.1.1/24 6 7 //地址 8 set address dmz oda4 1.2.1.10/32 9 set address dmz oda5 1.2.1.20/32 10 set group address dmz oda45 add oda4 11 set group address dmz oda45 add oda5 12 13 //路由 14 set vrouter trust-vr route 1.2.1.10/32 interface ethernet2 15 set vrouter trust-vr route 1.2.1.20/32 interface ethernet2 16 17 //策略 18 set policy from untrust to dmz any oda45 http nat dst ip 10.2.1.15 permit 19 save
1 //接口 2 set interface ethernet3 zone untrust 3 set interface ethernet3 ip 1.1.1.1/24 4 set interface ethernet2 zone dmz 5 set interface ethernet2 ip 10.2.1.1/24 6 7 //地址 8 set address dmz oda6 1.2.1.0/24 9 10 //路由 11 set vrouter trust-vr route 1.2.1.0/24 interface ethernet2 12 13 //策略 14 set policy from untrust to dmz any oda6 any nat dst ip 10.2.1.1 10.2.1.254 permit 15 save
1 //接口 2 set interface ethernet1 zone trust 3 set interface ethernet1 ip 10.1.1.1/24 4 set interface ethernet1 nat 5 set interface ethernet2 zone dmz 6 set interface ethernet2 ip 10.2.1.1/24 7 set interface ethernet3 zone untrust 8 set interface ethernet3 ip 1.1.1.1/24 9 10 //地址 11 set address dmz oda7 1.2.1.15/32 12 13 //路由 14 set vrouter trust-vr route 1.2.1.15/32 interface ethernet2 15 16 //策略 17 set policy from trust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200 permit 18 set policy from untrust to dmz any oda7 telnet nat dst ip 10.2.1.15 port 2200 permit 19 save
MIP是一个静态目标地址转换,是从一个IP地址到另一个IP地址的一对一映射。
无论设置哪个区段接口的MIP,都会在Global区段的通讯簿中生成该MIP的条目。可以将这些MIP地址用作两个区段间策略的目标地址,还可以用作定义全局策略时的目标地址。在策略中引用MIP时,既可以使用Global区段,也可以使用MIP指向的目标区段(以地址形式表示)。
1 //接口 2 set interface ethernet1 zone trust 3 set interface ethernet1 ip 10.1.1.1/24 4 set interface ethernet1 nat 5 set interface ethernet2 zone untrust 6 set interface ethernet2 ip 1.1.1.1.24 7 8 //MIP 9 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr 10 11 //策略 12 set policy from untrust to trust any mip(1.1.1.5) http permit 13 save
1 //接口和区段 2 set interface ethernet1 zone trust 3 set interface ethernet1 ip 10.1.1.1/24 4 set interface ethernet nat 5 set interface ethernet2 zone untrust 6 set interface ethernet2 ip 1.1.1.1/24 7 set zone name X-net 8 set interface ethernet3 zone X-net 9 set interface ethernet3 ip 1.3.3.1/24 10 11 //地址 12 set address untrust "1.1.1.5" 1.1.1.5/32 13 14 //MIP 15 set interface ethernet2 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr 16 17 //策略 18 set policy from X-net to untrust any "1.1.1.5" http permit 19 set policy from untrust to trust any mip(1.1.1.5) http permit 20 save
根据TCP或UDP片段包头的目标端口号,虚拟IP(VIP)地址将一个IP地址处接收到的信息流映射到另一个地址。只能在Untrust区段接口上配置VIP。
为Untrust区段中的接口设置VIP将在Global区段通讯簿中生成一条条目。不管接口属于哪个区段,Global区段通讯簿保留所有接口的全部VIP。可以将这些VIP地址用作任意两个区段间策略的目标地址,还可以用作Global策略中的目标地址。
1 1.配置VIP服务器 2 //接口 3 set interface ethernet1 zone trust 4 set interface ethernet1 ip 10.1.1.1/24 5 set interface ethernet1 nat 6 set interface ethernet3 zone untrust 7 set interface ethernet2 ip 1.1.1.1/24 8 9 //VIP 10 set interface ethernet3 vip 1.1.1.10 80 http 10.1.1.10 11 12 //策略 13 set policy from untrust to trust any vip(1.1.1.10) http permit 14 save 15 16 17 2.编辑VIP配置 18 unset interface ethernet3 vip 1.1.1.10 port 80 19 set interface ethernet3 vip 1.1.1.10 2211 http 10.1.1.10 20 save 21 22 23 3.移除VIP配置 24 unset policy id 5 25 unset interface ethernet3 vip 1.1.1.10 26 save
标签:
原文地址:http://www.cnblogs.com/xianglongsdu/p/4734721.html
