eNSP 防火墙 Smart NAT配置实战 | 附完整拓扑 + 命令 + 验证
一、实验背景与需求
本实验通过华为 eNSP 搭建防火墙源 NAT 场景,模拟企业内网用户访问公网服务器的真实业务:
- 内网 PC1~PC5(10.1.1.0/24)需要访问公网服务器 Server1(1.1.1.1)
- 公网地址池:ISP 分配了 3 个公网 IP
1.1.1.10~1.1.1.12 - 核心需求:
- 优先使用No-PAT 模式(一对一地址转换),节省端口资源
- 地址池耗尽时,启用NAPT 模式(多对一地址 + 端口转换),应对突发用户增长
- 配置安全策略,允许内网用户访问公网业务
二、实验拓扑与地址规划
2.1 网络拓扑
- 内网 Trust 区域:交换机 LSW1 连接 PC1~PC5,网段
10.1.1.0/24,网关为防火墙 GE1/0/1 接口(IP:10.1.1.254/24) - 公网 Untrust 区域:防火墙 GE1/0/2 接口(IP:
1.1.1.254/24)直连公网服务器 Server1(IP:1.1.1.1/24) - 地址池规划:
1.1.1.10~1.1.1.11用于 No-PAT,1.1.1.12用于 NAPT
三、基础配置(设备 IP + 安全区域)
3.1 PC 端基础配置(PC1~PC5)
PC1 配置示例(其余 PC 仅修改 IP 地址,子网掩码和网关保持一致):
设备 | IP 地址 | 子网掩码 | 默认网关 |
PC1 | 10.1.1.1/24 | 255.255.255.0 | 10.1.1.254 |
PC2 | 10.1.1.2/24 | 255.255.255.0 | 10.1.1.254 |
PC3 | 10.1.1.3/24 | 255.255.255.0 | 10.1.1.254 |
PC4 | 10.1.1.4/24 | 255.255.255.0 | 10.1.1.254 |
PC5 | 10.1.1.5/24 | 255.255.255.0 | 10.1.1.254 |
3.2 公网服务器 Server1 配置
设备 | IP 地址 | 子网掩码 | 默认网关 |
Server1 | 1.1.1.1/24 | 255.255.255.0 | 1.1.1.254 |
3.3 防火墙接口 IP 配置
# 配置内网Trust接口GE1/0/1 <FW1> system-view [FW1] sysname FW1 [FW1] interface GigabitEthernet 1/0/1 [FW1-GigabitEthernet1/0/1] ip address 10.1.1.254 255.255.255.0 [FW1-GigabitEthernet1/0/1] undo shutdown [FW1-GigabitEthernet1/0/1] quit # 配置公网Untrust接口GE1/0/2 [FW1] interface GigabitEthernet 1/0/2 [FW1-GigabitEthernet1/0/2] ip address 1.1.1.254 255.255.255.0 [FW1-GigabitEthernet1/0/2] undo shutdown [FW1-GigabitEthernet1/0/2] quit3.4 防火墙安全区域划分
# 配置Trust区域,加入内网接口 [FW1] firewall zone trust [FW1-zone-trust] add interface GigabitEthernet 1/0/1 [FW1-zone-trust] quit # 配置Untrust区域,加入公网接口 [FW1] firewall zone untrust [FW1-zone-untrust] add interface GigabitEthernet 1/0/2 [FW1-zone-untrust] quit四、核心配置:安全策略 + Smart NAT
4.1 配置安全策略(允许内网访问公网)
# 进入安全策略视图,创建策略 [FW1] security-policy [FW1-security-policy] rule name trust_to_untrust [FW1-security-policy-rule-trust_to_untrust] source-zone trust [FW1-security-policy-rule-trust_to_untrust] destination-zone untrust [FW1-security-policy-rule-trust_to_untrust] source-address 10.1.1.0 255.255.255.0 [FW1-security-policy-rule-trust_to_untrust] action permit [FW1-security-policy-rule-trust_to_untrust] quit [FW1-security-policy] quit4.2 配置 NAT 地址池
# 创建地址池group1,包含No-PAT和NAPT地址段 [FW1] nat address-group group1 0 [FW1-address-group-group0] mode no-pat local [FW1-address-group-group0] route enable [FW1-address-group-group0] smart-nopat 1.1.1.12 [FW1-address-group-group0] section 0 1.1.1.10 1.1.1.114.3 配置源 NAT 策略
# 进入NAT策略视图,绑定地址池和业务流 [FW1] nat-policy [FW1-nat-policy] rule name policy_nat [FW1-nat-policy-rule-policy_nat] source-zone trust [FW1-nat-policy-rule-policy_nat] destination-zone untrust [FW1-nat-policy-rule-policy_nat] source-address 10.1.1.0 255.255.255.0 [FW1-nat-policy-rule-policy_nat] action source-nat address-group group1 [FW1-nat-policy-rule-policy_nat] quit [FW1-nat-policy] quit五、业务验证与结果分析
5.1 基础连通性验证
- 用 PC1 ping Server1,
ping 1.1.1.1 -t,能正常收到回复,说明基础网络和安全策略生效。 - 查看防火墙会话表:
display firewall session table,可以看到 PC1 的会话被转换为地址池中的1.1.1.10,端口未变化(No-PAT 模式)。
5.2 多用户场景验证(No-PAT+NAPT 切换)
- 同时用 PC1、PC2 ping Server1,会话表中 PC1 对应
1.1.1.10、PC2 对应1.1.1.11,均为一对一转换。 - 再用 PC3~PC5 同时访问 Server1,此时地址池
1.1.1.10~1.1.1.11已耗尽,PC3~PC5 的会话会被转换为1.1.1.12,通过不同端口区分(NAPT 模式)。 - 查看会话表:
display firewall session table,可以看到 PC3~PC5 的源 IP 均为1.1.1.12,但端口号不同,验证 NAPT 模式生效。
六、常见问题与排错思路
- PC ping 不通 Server1
- 排查方向:安全策略是否允许 trust→untrust 的流量;PC 和 Server1 的网关是否配置正确;防火墙接口是否加入对应安全区域。
- NAT 转换不生效,会话表还是内网 IP
- 排查方向:NAT 策略是否绑定了正确的地址池;地址池是否包含公网接口的网段;
nat-policy的规则顺序是否正确(无冲突规则)。
- 排查方向:NAT 策略是否绑定了正确的地址池;地址池是否包含公网接口的网段;
- No-PAT 模式不生效,所有用户都走 NAPT
- 排查方向:地址池是否配置了
mode no-pat local;No-PAT 地址段是否足够(本实验中 1.1.1.10~1.1.1.11 可容纳 2 个用户)。
- 排查方向:地址池是否配置了
七、实验总结
Smart NAT 是企业内网访问公网的高效方案,结合了 No-PAT 和 NAPT 的优势:
- No-PAT 模式:一对一地址转换,不占用端口资源,适合固定用户访问,便于日志溯源
- NAPT 模式:多对一地址 + 端口转换,节省公网 IP 地址,适合突发用户增长场景本实验完整复现了从基础配置到业务验证的全流程,亲测可直接在 eNSP 中复刻,有问题可以评论区交流~
#华为 eNSP #防火墙配置 #NAT 技术 #网络工程师 #计算机网络 #网络配置
