华为防火墙NAT配置命令.doc

私网用户通过NAPT方式访问Internet （备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。） 本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。 组网需求 如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图  配置思路 完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。 配置安全策略，允许私网指定网段访问Internet。 配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。 配置黑洞路由，防止产生路由环路。 操作步骤 配置USG9000的接口IP地址，并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。 USG9000 system-view [USG9000] interface GigabitEthernet 1/0/1 [USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24 [USG9000-GigabitEthernet1/0/1] quit # 配置接口GigabitEthernet 1/0/2的IP地址。 [USG9000] interface GigabitEthernet 1/0/2 [USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24 [USG9000-GigabitEthernet1/0/2] quit # 将接口GigabitEthernet 1/0/1加入Trust区域。 [USG9000] firewall zone trust [USG9000-zone-trust] add interface GigabitEthernet 1/0/1 [USG9000-zone-trust] quit # 将接口GigabitEthernet 1/0/2加入Untrust区域。 [USG9000] firewall zone untrust [USG9000-zone-untrust] add interface GigabitEthernet 1/0/2 [USG9000-zone-untrust] quit 配置安全策略，允许私网网段10.1.1.0/24的用户访问Internet。 [USG9000] policy interzone trust untrust outbound [USG9000-policy-interzone-trust-untrust-outbound] policy 1 [USG9000-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255 [USG9000-policy-interzone-trust-untrust-outbound-1] action permit [USG9000-policy-interzone-trust-untrust-outbound-1] quit [USG9000-policy-interzone-trust-untrust-outbound] quit 配置NAT地址池和NAT策略。 # 配置NAT地址池的模式为PAT，即采用NAPT功能复用公网IP地址，并指定可用于NAT转换的公网IP地址。 [USG9000] nat address-group 1 [USG9000-address-group-1] mode pat [USG9000-address-group-1] section 202.169.1.21 202.169.1.25 [USG9000-address-group-1] quit （注;有些低版本的防火墙不能这样配置，配置应为： [USG9000] nat address-group 1 起始地址 结束地址 [USG9000-address-group-1]quit ） # 配置NAT策略，限定只对源地址为10.1.1.0/24网段的流量进行NAT转换，并绑定NAT地址池1。 [U