网络

实战:企业实战NAT_单向访问

作者ericwong,发布于 留下评论

实战:企业实战NAT_单向访问

1.项目要求

某企业的网络如图所示,研发部的网络为了安全,没有和其他网络进行连接,生产部的网络允许访问Internet。现在研发部的计算机需要访问生产部的计算机上的资源,又不想让生产部的计算机访问研发部的计算机上的资源。如何实现?
image-20250612094047782

2.基础环境搭建

AR1

<Huawei>sys

[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.2.1 24

[Huawei-GigabitEthernet0/0/0]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 10.1.2.1 24

[Huawei-GigabitEthernet0/0/1]

[Huawei]ip route-static 20.1.2.0 24 10.1.2.2
[Huawei]ip route-static 192.168.1.0 24 192.168.2.5  #--加路由也不能访问1.0网段

AR2

<Huawei>SYS
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.1.2.2 24
[Huawei-GigabitEthernet0/0/0]quit

[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 20.1.2.1 24

[Huawei]ip route-static 192.168.2.0 24 10.1.2.1

AR3

<Huawei>sys
[Huawei]interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.1 24
[Huawei-GigabitEthernet0/0/0]quit

[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 192.168.2.5 24
[Huawei-GigabitEthernet0/0/1]quit

3.方法一:动态NAT+ACL

AR3

[Huawei]nat address-group 1 192.168.2.2 192.168.2.3
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]rule 10 deny
[Huawei-acl-basic-2000]quit
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
[Huawei-GigabitEthernet0/0/1]quit

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule 5 deny ip source 192.168.2.0 0.0.0.255 destination 192
.168.1.0 0.0.0.255
[Huawei-acl-adv-3000]rule 10 permit ip
[Huawei]interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000
image-20250612110053823

image-20250612110534692

image-20250612110627097

image-20250612110708670

image-20250612110725368

WIN2016能访问WIN7

image-20250612095249882

image-20250612095317540

4.方法二:ACL

AR3

<Huawei>sys
[Huawei]acl 3000
[Huawei-acl-adv-3000]display this
[V200R003C00]
#
acl number 3000  
 rule 5 permit tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.25
5 tcp-flag ack  
 rule 10 deny tcp source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
 tcp-flag syn  
 rule 15 deny icmp icmp-type echo 
#
return
[Huawei-GigabitEthernet0/0/1]traffic-filter inbound acl 3000

测试

image-20250612094642464

image-20250612094712015

image-20250612095415160WIN7不能远程登录WIN11

image-20250612094743514

WIN11可以登录WIN7

image-20250612094820721

5.关于NAT的补充

为什么动态NAT无法实现单向访问?

文档中明确指出,动态NAT方法“仅能防止研发部的电脑不能访问互联网,不能实现单向通讯,安全性不够高”。原因如下:
 
NAT的作用有限:
 
动态NAT主要解决研发部访问生产部时的IP隐藏问题,但它不阻止生产部发起的新连接。
 
在您的测试中,WIN2016(研发部)能访问WIN7(生产部),这是因为NAT转换了研发部的源IP。但生产部(WIN7)也可以尝试访问研发部(如WIN11),并且由于路由存在,访问会成功(除非有额外控制)。
 
研发部不能访问互联网:NAT配置在AR3的生产部接口,只允许研发部访问生产部网络,但未配置到Internet的路由或NAT,因此研发部无法访问Internet。但这与生产部访问研发部的问题无关。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注