實驗拓撲【GitHub下載】
組網需求
A運營商公網IPv4地址比較匱乏,爲儘量節約公網地址,其內部城域網使用的是私網IPv4地址。爲滿足城域網下的私網用戶訪問Internet的需求,需要在CPE和CGN設備上兩次使用NAT,使IPv4私網用戶能夠訪問IPv4公網。
如下實驗拓撲:
實驗需求:
完成相關配置,實現客戶端可以訪問Server端
配置步驟:
- 如圖所示,完成基礎的IP地址配置
- 將CPE、CGN的接口加入相應的區域
- 在CPE、CGN上配置NAT策略
- 在CPE、CGN配置安全策略
- 配置默認路由
基礎配置
----------------------------------------
# CPE基礎配置
sys CPE
int g1/0/0
ip ad 192.168.0.1 24
int g1/0/1
ip ad 10.1.1.1 24
----------------------------------------
# CGN基礎配置
sys CGN
int g1/0/0
ip ad 10.1.2.1 24
int g1/0/1
ip ad 1.1.1.1 24
----------------------------------------
# AR1基礎配置
sysname AR1
#
interface GigabitEthernet0/0/0
ip address 10.1.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 10.1.2.2 255.255.255.0
----------------------------------------
# AR2基礎配置
sysname AR2
#
interface GigabitEthernet0/0/0
ip address 1.1.1.2 255.255.255.0
#
interface LoopBack0
ip address 2.2.2.2 255.255.255.255
接口加入相應的安全區域
- CPE配置
[CPE]firewall zone trust //進入trust區域
[CPE-zone-trust]add interface g1/0/0 //將接口加入區域
[CPE-zone-trust]q
[CPE]firewall zone untrust
[CPE-zone-untrust]add interface g1/0/1
- CGN配置
[CGN]firewall zone trust
[CGN-zone-trust]add interface g1/0/0
[CGN-zone-trust]q
[CGN]firewall zone untrust
[CGN-zone-untrust]add interface g1/0/1
- 對於CGN而言,PC、CPE、IPv4Network都爲信任區域
- IPv4Network對於CPE來說爲非信任區域,對於CGN來說爲信任區域
配置NAT策略
-
CPE配置NAT策略
使用Easy-IP的配置方式
[CPE]nat-policy
[CPE-policy-nat]rule name CPE //rule名字CPE
[CPE-policy-nat-rule-CPE]source-zone trust //源區域
[CPE-policy-nat-rule-CPE]destination-zone untrust //目標區域
[CPE-policy-nat-rule-CPE]source-address 192.168.0.0 24 //源IP
[CPE-policy-nat-rule-CPE]action source-nat easy-ip //配置Easy-IP
-
CGN配置NAT策略
使用動態地址池的配置方式
- 配置地址池
[CGN]nat address-group 1
[CGN-address-group-1]mode pat //NAT模式爲一對一轉換
[CGN-address-group-1]route enable //地址池自動生成
[CGN-address-group-1]section 0 1.1.1.11 1.1.1.20 //創建地址池
- 配置NAT策略
[CGN]nat-policy
[CGN-policy-nat]rule name CGN
[CGN-policy-nat-rule-CGN]source-zone trust
[CGN-policy-nat-rule-CGN]destination-zone untrust
[CGN-policy-nat-rule-CGN]source-address 10.1.1.0 24
[CGN-policy-nat-rule-CGN]action source-nat address-group 1 //配置動態地址池
防火牆配置安全策略
- CPE安全策略配置
- 配置安全策略
# 進入安全策略視圖
[CPE]security-policy
# 創建安全規則
[CPE-policy-security]rule name tr_to_un
# 設置安全規則的源安全地址爲trust
[CPE-policy-security-rule-tr_to_un]source-zone trust
# 設置安全規則的目的安全地址爲untrust
[CPE-policy-security-rule-tr_to_un]destination-zone untrust
# 設置安全規則源網段
[CPE-policy-security-rule-tr_to_un]source-address 192.168.0.0 24
# 設置安全規則的動作爲允許
[CPE-policy-security-rule-tr_to_un]action permit
- 接口放行所有服務,允許ping
[CPE-GigabitEthernet1/0/0]service-manage all permit
- CGN安全策略配置
- 配置安全策略
[CGN]security-policy
[CGN-policy-security]rule name tr_to_un
[CGN-policy-security-rule-tr_to_un]source-zone trust
[CGN-policy-security-rule-tr_to_un]destination-zone untrust
[CGN-policy-security-rule-tr_to_un]source-address 10.1.1.0 24
[CGN-policy-security-rule-tr_to_un]action permit
- 接口放行所有服務,允許ping
[CGN-GigabitEthernet1/0/0]service-manage all permit
配置默認路由
- CPE指定默認路由
[CPE]ip route-static 0.0.0.0 0 10.1.1.2
- AR1配置默認路由
[AR1]ip route-static 0.0.0.0 0.0.0.0 10.1.2.1
- CGN配置默認路由
[CGN]ip route-static 0.0.0.0 0 1.1.1.2 //去往Server的路由
[CGN]ip route-static 10.1.1.1 24 10.1.2.2 //回客戶端的路由
- AR2配置默認路由
[AR2]ip route-static 0.0.0.0 0 1.1.1.1
注意事項:
- 因爲是模擬的運營商網絡,所以必須配置默認路由,否則無法ping通
- 在防火牆的接口下,必須允許ping,不然無法ping通
- AR1(IPv4 Network)需要配置任意路由,否則無法ping通CGN右側的(untrust)區域
- 對於CGN而言,所有的數據流量都是從10.1.1.0網段發來的,所以安全策略的源IP直接是10.1.1.0
以上內容均屬原創,如有不詳或錯誤,敬請指出。