当前位置: 首页 > news >正文

eNSP 防火墙 Smart NAT配置实战 | 附完整拓扑 + 命令 + 验证

一、实验背景与需求

本实验通过华为 eNSP 搭建防火墙源 NAT 场景,模拟企业内网用户访问公网服务器的真实业务:

  • 内网 PC1~PC5(10.1.1.0/24)需要访问公网服务器 Server1(1.1.1.1)
  • 公网地址池:ISP 分配了 3 个公网 IP1.1.1.10~1.1.1.12
  • 核心需求:
    1. 优先使用No-PAT 模式(一对一地址转换),节省端口资源
    2. 地址池耗尽时,启用NAPT 模式(多对一地址 + 端口转换),应对突发用户增长
    3. 配置安全策略,允许内网用户访问公网业务

二、实验拓扑与地址规划

2.1 网络拓扑

  • 内网 Trust 区域:交换机 LSW1 连接 PC1~PC5,网段10.1.1.0/24,网关为防火墙 GE1/0/1 接口(IP:10.1.1.254/24
  • 公网 Untrust 区域:防火墙 GE1/0/2 接口(IP:1.1.1.254/24)直连公网服务器 Server1(IP:1.1.1.1/24
  • 地址池规划:1.1.1.10~1.1.1.11用于 No-PAT,1.1.1.12用于 NAPT

三、基础配置(设备 IP + 安全区域)

3.1 PC 端基础配置(PC1~PC5)

PC1 配置示例(其余 PC 仅修改 IP 地址,子网掩码和网关保持一致):

设备

IP 地址

子网掩码

默认网关

PC1

10.1.1.1/24

255.255.255.0

10.1.1.254

PC2

10.1.1.2/24

255.255.255.0

10.1.1.254

PC3

10.1.1.3/24

255.255.255.0

10.1.1.254

PC4

10.1.1.4/24

255.255.255.0

10.1.1.254

PC5

10.1.1.5/24

255.255.255.0

10.1.1.254

3.2 公网服务器 Server1 配置

设备

IP 地址

子网掩码

默认网关

Server1

1.1.1.1/24

255.255.255.0

1.1.1.254

3.3 防火墙接口 IP 配置

# 配置内网Trust接口GE1/0/1 <FW1> system-view [FW1] sysname FW1 [FW1] interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1] ip address 10.1.1.254 255.255.255.0 [FW1-GigabitEthernet1/0/1] undo shutdown [FW1-GigabitEthernet1/0/1] quit # 配置公网Untrust接口GE1/0/2 [FW1] interface GigabitEthernet 1/0/2 [FW1-GigabitEthernet1/0/2] ip address 1.1.1.254 255.255.255.0 [FW1-GigabitEthernet1/0/2] undo shutdown [FW1-GigabitEthernet1/0/2] quit

3.4 防火墙安全区域划分

# 配置Trust区域,加入内网接口 [FW1] firewall zone trust [FW1-zone-trust] add interface GigabitEthernet 1/0/1 [FW1-zone-trust] quit # 配置Untrust区域,加入公网接口 [FW1] firewall zone untrust [FW1-zone-untrust] add interface GigabitEthernet 1/0/2 [FW1-zone-untrust] quit

四、核心配置:安全策略 + Smart NAT

4.1 配置安全策略(允许内网访问公网)

# 进入安全策略视图,创建策略 [FW1] security-policy [FW1-security-policy] rule name trust_to_untrust [FW1-security-policy-rule-trust_to_untrust] source-zone trust [FW1-security-policy-rule-trust_to_untrust] destination-zone untrust [FW1-security-policy-rule-trust_to_untrust] source-address 10.1.1.0 255.255.255.0 [FW1-security-policy-rule-trust_to_untrust] action permit [FW1-security-policy-rule-trust_to_untrust] quit [FW1-security-policy] quit

4.2 配置 NAT 地址池

# 创建地址池group1,包含No-PAT和NAPT地址段 [FW1] nat address-group group1 0 [FW1-address-group-group0] mode no-pat local [FW1-address-group-group0] route enable [FW1-address-group-group0] smart-nopat 1.1.1.12 [FW1-address-group-group0] section 0 1.1.1.10 1.1.1.11

4.3 配置源 NAT 策略

# 进入NAT策略视图,绑定地址池和业务流 [FW1] nat-policy [FW1-nat-policy] rule name policy_nat [FW1-nat-policy-rule-policy_nat] source-zone trust [FW1-nat-policy-rule-policy_nat] destination-zone untrust [FW1-nat-policy-rule-policy_nat] source-address 10.1.1.0 255.255.255.0 [FW1-nat-policy-rule-policy_nat] action source-nat address-group group1 [FW1-nat-policy-rule-policy_nat] quit [FW1-nat-policy] quit

五、业务验证与结果分析

5.1 基础连通性验证

  1. 用 PC1 ping Server1,ping 1.1.1.1 -t,能正常收到回复,说明基础网络和安全策略生效。
  2. 查看防火墙会话表:display firewall session table,可以看到 PC1 的会话被转换为地址池中的1.1.1.10,端口未变化(No-PAT 模式)。

5.2 多用户场景验证(No-PAT+NAPT 切换)

  1. 同时用 PC1、PC2 ping Server1,会话表中 PC1 对应1.1.1.10、PC2 对应1.1.1.11,均为一对一转换。
  2. 再用 PC3~PC5 同时访问 Server1,此时地址池1.1.1.10~1.1.1.11已耗尽,PC3~PC5 的会话会被转换为1.1.1.12,通过不同端口区分(NAPT 模式)。
  3. 查看会话表:display firewall session table,可以看到 PC3~PC5 的源 IP 均为1.1.1.12,但端口号不同,验证 NAPT 模式生效。


六、常见问题与排错思路

  1. PC ping 不通 Server1
    • 排查方向:安全策略是否允许 trust→untrust 的流量;PC 和 Server1 的网关是否配置正确;防火墙接口是否加入对应安全区域。
  1. NAT 转换不生效,会话表还是内网 IP
    • 排查方向:NAT 策略是否绑定了正确的地址池;地址池是否包含公网接口的网段;nat-policy的规则顺序是否正确(无冲突规则)。
  1. No-PAT 模式不生效,所有用户都走 NAPT
    • 排查方向:地址池是否配置了mode no-pat local;No-PAT 地址段是否足够(本实验中 1.1.1.10~1.1.1.11 可容纳 2 个用户)。

七、实验总结

Smart NAT 是企业内网访问公网的高效方案,结合了 No-PAT 和 NAPT 的优势:

  • No-PAT 模式:一对一地址转换,不占用端口资源,适合固定用户访问,便于日志溯源
  • NAPT 模式:多对一地址 + 端口转换,节省公网 IP 地址,适合突发用户增长场景本实验完整复现了从基础配置到业务验证的全流程,亲测可直接在 eNSP 中复刻,有问题可以评论区交流~

#华为 eNSP #防火墙配置 #NAT 技术 #网络工程师 #计算机网络 #网络配置

http://www.cnnetsun.cn/news/2108583.html

相关文章:

  • Phi-4-mini-reasoning实战:解析Java面试高频算法题与设计模式
  • 如何使用Material Design Lite构建高效文件上传功能:拖拽上传与进度显示完整指南
  • Cogito v1 3B模型问题排查:内存不足、下载失败等常见问题解决
  • React Boilerplate 单元测试完整指南:组件测试与集成测试策略
  • 终极指南:Black代码格式化工具的完整生态系统与插件集成方案
  • 对称多处理器好非对称处理器内容和比较总结
  • 突破JavaScript性能瓶颈:Deno并发编程实战指南
  • 【2026唯一认证AI容器化白皮书】:Gartner实测对比TensorFlow/PyTorch/Mistral在v26.1.0中的冷启延迟、显存碎片率与CVE修复SLA
  • 扩散大语言模型内存优化:从理论到系统设计
  • GSIL配置详解:5个关键步骤打造高效泄露检测系统
  • Pixel Language Portal 数据处理流水线:Anaconda环境配置与科学计算
  • 如何利用Consul事件系统实现分布式集群的实时通信机制
  • 如何卸载Oracle 11g_Deinstall工具与注册表清理指南
  • Transformer文本生成参数详解与调优指南
  • 迁移学习在计算机视觉中的实践与优化
  • 本地GPU预训练Llama模型:技术与优化实践
  • Python实现经验分布函数(EDF)的完整指南
  • Qwen3.5-2B开源大模型教程:模型权重分片加载、显存峰值控制技巧详解
  • 《Windows Sysinternals 从入门到精通》读书笔记 2.5:应用程序隔离,同一台机器上的一个个安全小盒子
  • nli-MiniLM2-L6-H768与相似度模型的区别:何时该用推理而非检索
  • RWKV7-1.5B-world保姆级实战教程:PyTorch 2.6+Triton 3.2环境一键配置
  • Obsidian 同步项目到 Gitee
  • 机器学习数据预处理网格搜索优化实战
  • YOLO26 双 Backbone 设计全解析:四种融合结构 + 实验对比(附最优方案),轻松解决双模态难做的问题
  • 第76篇:AI+物流与仓储自动化——分拣机器人、无人配送与智能调度系统(项目实战)
  • 告别报销烦恼!金蝶AI星辰费用报销实操指南,让企业效率飞起来
  • SystemC Export API参数管理机制与硬件仿真实践
  • 阿里小云KWS模型与VSCode开发环境配置:调试技巧大全
  • python multiprocessing
  • 多智能体系统在网络安全中的协同防御实践