防火墙配置ENSP实验-USG6000V_ensp 防火墙napt配置

   内网互联地址10.10.34.1通过防火墙接入，通过200.1.1.X接入INTERNET，组网图如下
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.10.34.1 255.255.255.252
 service-manage ping permit     /端口可以被PING通
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 200.1.1.2 255.255.255.252
 service-manage ping permit

接口加入安全组

firewall zone trust
 set priority 85
 add interface GigabitEthernet0/0/0
 add interface GigabitEthernet1/0/0
#
firewall zone untrust
 set priority 5
 add interface GigabitEthernet1/0/1

配置安全策略

security-policy
 rule name in_out
  source-zone trust
  destination-zone untrust
  service icmp
  action permit
 rule name local_trust     //本地能与trust和untrust区域相通
  source-zone local
  destination-zone trust
  action permit
 rule name local_untr       //本地能与trust和untrust区域相通
  source-zone local
  destination-zone untrust   
  service icmp
  action permit

配置到公网和内网的静态路由

ip route-static 0.0.0.0 0.0.0.0 200.1.1.1
ip route-static 192.168.2.0 255.255.255.0 10.10.34.2
ip route-static 192.168.3.0 255.255.255.0 10.10.34.2
ip route-static 192.168.4.0 255.255.255.0 10.10.34.2
ip route-static 192.168.5.0 255.255.255.0 10.10.34.2

配置往下路由策略

ospf 1
 default-route-advertise    //允许默认路由向OSPF内传递
 import-route direct     //将静态路由和直连路由都引入OSPF
 import-route static
 area 0.0.0.0
  network 10.10.34.0 0.0.0.3

必须在边界设备配置NAT的原因是运营商设备没有内网地址回程路由。

配置NAT策略

nat-policy
 rule name Easy_ip
  source-zone trust
  egress-interface GigabitEthernet1/0/1
  source-address 192.168.2.0 mask 255.255.255.0
  source-address 192.168.3.0 mask 255.255.255.0
  source-address 192.168.4.0 mask 255.255.255.0
  source-address 192.168.5.0 mask 255.255.255.0
  action source-nat easy-ip

************************************************************************

NAT
（1）动态NAT :多对多
（2）静态nat ：一对一 （内部服务器发布到网络 ）
（3）PAT ：多对一
（4）Nat no-pat：多对多
（5）Napt ：多对一（IP地址不能是接口地址）
（6）EASY-IP ：多对一（IP地址是接口地址）
（7）SMART NAT智能转换：多对多 多对一
（8）三元组NAT：内部服务器发布到网络 IP对应IP 端口对端口 一对一

• 对外呈现端口一致性：内网PC转换后的地址和端口号一直不变。
• 支持外网主动访问 ，不依赖于 安全策略(Server-map优先于安全策略)

nat address-group addgroup1 
 mode full-cone local    //  定义地址池形式为三元组NAT   保证 源IP、源端口号、协议 对外一致性   local ---> 控制外部网络的发起者身份
 section 0 198.51.100.10 198.51.100.11

类似：
192.168.1.1：80 200.0.0.1:80
192.168.1.2:443 200.0.0.1:443
EASY-IP配置 ：
192.168.3.0-(接口)100.0.0.1

No-PAT配置思路：
第一步： 配置地址池
 nat address-group no_pat
 section 0 202.100.1.100 202.100.1.101
 nat-mode no-pat   ----------------------默认是PAT

第二步：配置NAT策略
nat-policy
 rule name no_pat
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action nat address-group no_pat 

第三步：配置黑洞路由

第四步：放行安全策略
security-policy
 rule name trust_untrust
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 0.0.0.255 
  action permit

注意: 源NAT策略放行转换之前的源地址，因为先匹配安全策略，再匹配NAT策略

第五步：测试检查

 配置黑洞路由的原因：
如果地址池地址和出接口不在同一段，会发现环路

解决方案： 必须配置黑洞路由
ip route-static 1.1.1.2 255.255.255.255 NULL0

如果地址池地址和出接口在同一个网段，不会发生环路，但会多一个ARP请求

NAPT：
NAPT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。
FW根据源IP Hash算法从NAT地址池中选择一个公网IP地址，替换报文的源IP地址。一个源IP会固定使用那个地址。
NAPT方式不会生成Server-map表，这一点也与NAT No-PAT方式不同。

NAPT配置思路：
第一步：配置地址池
 nat address-group NAPT
 section 0 202.100.1.20 202.100.1.200 
 nat-mode  pat -----------------------------已经默认了，不显示

第二步：配置NAT策略
nat-policy
 rule name NAPT
  source-zone trust
  destination-zone untrust
  source-address 10.1.1.0 mask 255.255.255.0
  action nat address-group NAPT

第三步：放行安全策略

第四步：测试检查
natp需要配置黑洞路由不？
两种情况：

第一种情况：地址池地址与出接口在不同网段，会形成环路
解决方案：配置路由黑洞

Easy ip配置思路：
nat-policy
 rule name Easy_ip
  source-zone trust
  egress-interface GigabitEthernet0/0/3
  source-address 10.1.1.0 mask 255.255.255.0
  action nat easy-ip
Easy ip不会产生Server-map不需要配置黑洞路由。

************************************************************************