当前位置: 首页 > ops >正文

华为防火墙NAPT配置

ops 2025/7/19 2:18:36

1.实验拓扑

2.实验配置

[SW1]dis cu
#
sysname SW1
#
vlan batch 10 20
#
interface Vlanif10ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20ip address 192.168.20.253 255.255.255.0
#
interface GigabitEthernet0/0/1port link-type accessport default vlan 20
#
interface GigabitEthernet0/0/2port link-type accessport default vlan 10
#
interface GigabitEthernet0/0/3port link-type accessport default vlan 10
#
ospf 1 router-id 1.1.1.1silent-interface Vlanif10area 0.0.0.0network 192.168.10.0 0.0.0.255network 192.168.20.0 0.0.0.255
#
[FW1]dis cu
2025-05-29 12:57:31.360 
!Software Version V500R005C10SPC300
#
sysname FW1
#
interface GigabitEthernet1/0/0undo shutdownip address 192.168.20.254 255.255.255.0
#
interface GigabitEthernet1/0/1undo shutdownip address 200.1.1.1 255.255.255.0
#
firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/0
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/1
#
ospf 1 router-id 2.2.2.2default-route-advertisearea 0.0.0.0network 192.168.20.0 0.0.0.255
#
ip route-static 0.0.0.0 0.0.0.0 200.1.1.2
#
nat address-group 1 0mode patsection 0 200.1.1.10 200.1.1.20
#
security-policyrule name trust->untrustsource-zone trustdestination-zone untrustsource-address range 192.168.10.1 192.168.10.2service httpservice httpsservice icmpaction permit
#
nat-policyrule name patsource-zone trustdestination-zone untrustsource-address 192.168.10.0 mask 255.255.255.0action source-nat address-group 1
#
[R1]dis cu
[V200R003C00]
#sysname R1
#
interface GigabitEthernet0/0/0ip address 200.1.1.2 255.255.255.0 
#
interface GigabitEthernet0/0/1ip address 100.1.1.254 255.255.255.0 
#
ip route-static 0.0.0.0 0.0.0.0 200.1.1.1

3.实验验证

4.配置源NAT注意事项

1、边界防火墙地址池配置的公网 IP 与公网接口在一个网段,如果外网节点频繁访问防火墙
上地址池中的公网 IP,触发大量的 ARP 解析报文,造成资源占用,引入 UNR(user network
route)路由,类似黑洞路由,把访问地址池中公网 IP 的数据本地终结。
[FW1-address-group-1] route  enable 
此时不再生成ARP请求
2、边界防火墙地址池配置的公网 IP 与公网接口在不一个网段,如果外网节点访问防火墙上
地址池中的公网 IP,会导致三层环路,消耗设备、链路资源,一定要配置 UNR 路由生成功
能,用本地终结方式,防止环路的发生。
[FW1]nat address-group  1
[FW1-address-group-1]undo route  enable 
[FW1-address-group-1]undo section  0
[FW1-address-group-1]section  4.4.4.4
[FW1-address-group-1]route  enable 
此时没有环路了
http://www.xdnf.cn/news/9815.html

相关文章:

  • 大模型是什么?
  • 金额高精度计算-BigDecimal
  • CSformer:结合通道独立性和混合的稳健多变量时间序列预测
  • 【QQ音乐】sign签名| data参数加密 | AES-GCM加密 | webpack (下)
  • 理解教材意图轻松积累常见数列
  • 外贸邮件营销推广怎么做才有效果?
  • 浏览器本地存储
  • 计算机图形学:(六)渲染管线
  • java24
  • 信创改造选择C86,相比于ARM架构有什么优势?
  • HOW - 简历和求职面试宝典(八)
  • 代理模式核心概念
  • 实时操作系统在脑机接口中的技术平衡:满足实时性与 AI 算力需求
  • 深入理解C#泛型:提升代码复用与类型安全的利器
  • STM32CUBE打印浮点数据-cmake配置
  • MySQL、PostgreSQL、Oracle 区别详解
  • 一个超简易的RMAN备份并保留到异地的方案,仅适用于小规模环境
  • 【大模型MCP】MCP 深度解析:AI 时代的「USB-C」接口——原理、对比、实战代码与行业落地
  • 国产三维CAD皇冠CAD(CrownCAD)在专用设备建模教程:液压升降机
  • qlora
  • 电网中三相不平衡治理的全面解析
  • 什么是范式?三大范式分别是什么?
  • JavaScript 中的 BigInt:当普通数字不够“大“时的救星
  • 企业级网络管理实战:Linux、云与容器的深度融合与优化
  • 苹果签名应用掉签频繁原因排查以及如何避免
  • 实测,大模型谁更懂数据可视化?
  • Linux应用开发之网络套接字编程
  • 基于 Arduino Uno R3 的温湿度控制风扇系统开发记录
  • Java ThreadLocal 应用指南:从用户会话到数据库连接的线程安全实践
  • 线程池上下文泄漏:跨线程池的ThreadLocal污染与防御之道