求解:ENSP路由器配置ASPF+端口映射不成功
以下部署配置后,PC无法通过21端口访问FTP服务器(2121端口),抓包发现Port-mapping不生效。求解。一、组网需求如图1所示,Router的接口Eth2/0/0连接一个高安全优先级的内部网络,接口GE3/0/0连接低安全优先级的外部网络,需要对内部网络和外部网络之间的通信实施包过滤和ASPF检查。具体要求如下:[*]外部特定主机(10.39.2.3)允许访问内部网络中的服务器。
[*]其余的访问均不允许。
[*]对上述访问的连接进行FTP状态检查,过滤不符合状态的报文。
[*]对于外部主机访问FTP服务器的报文,识别2121端口为FTP协议。
图1 配置ASPF和端口映射组网图https://forum.huawei.com/enterprise/zh/data/attachment/forum/202210/12/110313c6kbe7xrrgd69u6h.png二、配置思路采用如下思路配置ASPF和端口映射:配置安全区域和安全域间。将接口加入安全区域。配置ACL。在安全域间配置基于ACL的包过滤。在安全域间配置ASPF。配置端口映射,将2121端口映射为FTP协议通信端口。
三、配置文件(关键部分)<AR1>dis cu
#
sysname AR1
#
snmp-agent local-engineid 800007DB03000000000000
snmp-agent
#
acl number 2102
rule 5 permit source 10.38.1.2 0
#
acl number 3102
rule 5 permit tcp source 10.39.2.3 0 destination 10.38.1.2 0
#
firewall zone trust
priority 14
#
firewall zone untrust
priority 1
#
firewall zone Local
priority 15
#
firewall interzone trust untrust
firewall enable
packet-filter 3102 inbound
detect aspf ftp
#
port-mapping ftp port 2121 acl 2102
#
interface GigabitEthernet0/0/0
ip address 10.38.1.1 255.255.255.0
zone trust
#
interface GigabitEthernet0/0/1
ip address 10.39.2.1 255.255.255.0
zone untrust
#
根据描述,可能是因为在Router上未配置好ASPF和端口映射导致Port-mapping不生效。因此,建议您检查Router上的ASPF和端口映射配置是否正确。
具体步骤如下:
在Router上配置ASPF,允许外部特定主机(10.39.2.3)访问内部网络中的服务器。
在Router上配置端口映射,识别2121端口为FTP协议,并对FTP状态进行检查过滤。
重启Router,重新进行测试,确保PC能够通过21端口访问FTP服务器(2121端口)。
具体配置方法可以参考Router的说明文档,或者在官网上查找相关信息。 Untrust到Trust访问,需要做NAT
interface GigabitEthernet0/0/1
ip address 10.39.2.1 255.255.255.0
nat static protocol tcp global 10.39.2.2 ftp inside 10.38.1.2 ftp
zone untrust {:6_267:}
页:
[1]