史上最詳細(xì)H3C路由器NAT典型配置案例

上傳人：j*** IP屬地：廣東上傳時間：2022-09-21 格式：DOC 頁數(shù)：15 大小：91.50KB 積分：20 舉報 版權(quán)申訴

已閱讀5頁，還剩10頁未讀，繼續(xù)免費閱讀

版權(quán)說明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請進行舉報或認(rèn)領(lǐng)

文檔簡介

1、H3C路由器NAT典型配置案列（史上最詳細(xì)）神馬CCIE，H3CIE,HCIE等網(wǎng)絡(luò)工程師日常實施運維必備，你懂的。1.11 NAT典型配置舉例1.11.1內(nèi)網(wǎng)用戶通過NAT地址訪問外網(wǎng)（靜態(tài)地址轉(zhuǎn)換）1.組網(wǎng)需求內(nèi)部網(wǎng)絡(luò)用戶/24使用外網(wǎng)地址00訪問Internet。2.組網(wǎng)圖圖1-5靜態(tài)地址轉(zhuǎn)換典型配置組網(wǎng)圖3.配置步驟#按照組網(wǎng)圖配置各接口的IP地址，具體配置過程略。#配置內(nèi)網(wǎng)IP地址到外網(wǎng)地址00之間的一對一靜態(tài)地址轉(zhuǎn)換映射。 system-viewRouter nat static outbound 00#使配置的靜態(tài)地址轉(zhuǎn)換在接口GigabitEthernet1/2上生效。Rout

2、er interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat static enableRouter-GigabitEthernet1/2 quit4.驗證配置#以上配置完成后，內(nèi)網(wǎng)主機可以訪問外網(wǎng)服務(wù)器。通過查看如下顯示信息，可以驗證以上配置成功。Router display nat staticStatic NAT mappings: There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : 00Interfaces enabled wi

3、th static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2#通過以下顯示命令，可以看到Host訪問某外網(wǎng)服務(wù)器時生成NAT會話信息。Router display nat session verboseInitiator: Source IP/port: /42496 Destination IP/port: 11/2048 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1)Responder: Source IP/p

4、ort: 11/42496 Destination IP/port: 00/0 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1)State: ICMP_REPLYApplication: INVALIDStart time: 2012-08-16 09:30:49 TTL: 27sInterface(in) : GigabitEthernet1/1Interface(out): GigabitEthernet1/2Initiator-Responder: 5 packets 420 bytesResponder-Initiator: 5

5、packets 420 bytesTotal sessions found: 11.11.2內(nèi)網(wǎng)用戶通過NAT地址訪問外網(wǎng)（地址不重疊）1.組網(wǎng)需求某公司內(nèi)網(wǎng)使用的IP地址為/16。該公司擁有和兩個外網(wǎng)IP地址。需要實現(xiàn)，內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的用戶可以訪問Internet，其它網(wǎng)段的用戶不能訪問Internet。使用的外網(wǎng)地址為和。2.組網(wǎng)圖圖1-6內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)（地址不重疊）3.配置步驟#按照組網(wǎng)圖配置各接口的IP地址，具體配置過程略。#配置地址組0，包含兩個外網(wǎng)地址和。 system-viewRouter nat address-group 0Router-nat-addres

6、s-group-0 address Router-nat-address-group-0 quit#配置ACL 2000，僅允許對內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的用戶報文進行地址轉(zhuǎn)換。Router acl number 2000Router-acl-basic-2000 rule permit source 55Router-acl-basic-2000 quit#在接口GigabitEthernet1/2上配置出方向動態(tài)地址轉(zhuǎn)換，允許使用地址組0中的地址對匹配ACL 2000的報文進行源地址轉(zhuǎn)換，并在轉(zhuǎn)換過程中使用端口信息。Router interface gigabitethernet 1/2Rou

7、ter-GigabitEthernet1/2 nat outbound 2000 address-group 0Router-GigabitEthernet1/2 quit4.驗證配置以上配置完成后，Host A能夠訪問WWW server，Host B和Host C無法訪問WWW server。通過查看如下顯示信息，可以驗證以上配置成功。Router display nat allNAT address group information: There are 1 NAT address groups. Group Number Start Address End Address 0 NAT

8、 outbound information: There are 1 NAT outbound rules. Interface: GigabitEthernet1/2 ACL: 2000 Address group: 0 Port-preserved: N NO-PAT: N Reversible: NNAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: DisabledNAT mapping behavior: Mapping mode: Address and P

9、ort-Dependent ACL : -NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled#通過以下顯示命令，可以看到Host A訪問WWW server時生成NAT會話信息。Routerdisplay nat session verboseInitiator: Source IP/port: 0/52992 Destination IP/port: 0/2048 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1)Responder: Source IP

10、/port: 0/4 Destination IP/port: /0 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1)State: ICMP_REPLYApplication: INVALIDStart time: 2012-08-15 14:53:29 TTL: 12sInterface(in) : GigabitEthernet1/1Interface(out): GigabitEthernet1/2Initiator-Responder: 1 packets 84 bytesResponder-Initiator: 1 packet

11、s 84 bytesTotal sessions found: 11.11.3內(nèi)網(wǎng)用戶通過NAT地址訪問外網(wǎng)（地址重疊）1.組網(wǎng)需求某公司內(nèi)網(wǎng)網(wǎng)段地址為/24，該網(wǎng)段與要訪問的外網(wǎng)Web服務(wù)器所在網(wǎng)段地址重疊。該公司擁有和兩個外網(wǎng)IP地址。需要實現(xiàn)，內(nèi)網(wǎng)用戶可以通過域名訪問外網(wǎng)的Web服務(wù)器。2.組網(wǎng)圖圖1-7內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)（地址重疊）3.配置思路這是一個典型的雙向NAT應(yīng)用，具體配置思路如下。內(nèi)網(wǎng)主機通過域名訪問外網(wǎng)Web服務(wù)器時，首先需要向外網(wǎng)的DNS服務(wù)器發(fā)起DNS查詢請求。由于外網(wǎng)DNS服務(wù)器回復(fù)給內(nèi)網(wǎng)主機的DNS應(yīng)答報文載荷中的攜帶的Web服務(wù)器地址與內(nèi)網(wǎng)主機地址重疊，因

12、此NAT設(shè)備需要將載荷中的Web服務(wù)器地址轉(zhuǎn)換為動態(tài)分配的一個NAT地址。動態(tài)地址分配可以通過入方向動態(tài)地址轉(zhuǎn)換實現(xiàn)，載荷中的地址轉(zhuǎn)換需要通過DNS ALG功能實現(xiàn)。內(nèi)網(wǎng)主機得到外網(wǎng)Web服務(wù)器的IP地址之后（該地址為臨時分配的NAT地址），通過該地址訪問外網(wǎng)Web服務(wù)器。由于內(nèi)網(wǎng)主機的地址與外網(wǎng)Web服務(wù)器的真實地址重疊，因此也需要為其動態(tài)分配一個的NAT地址，可以通過出方向動態(tài)地址轉(zhuǎn)換實現(xiàn)。外網(wǎng)Web服務(wù)器對應(yīng)的NAT地址在NAT設(shè)備上沒有路由，因此需要手工添加靜態(tài)路由，使得目的地址為外網(wǎng)服務(wù)器NAT地址的報文出接口為GigabitEthernet1/2。4.配置步驟#按照組網(wǎng)圖配置各接口

13、的IP地址，具體配置過程略。#開啟DNS的NAT ALG功能。 system-viewRouter nat alg dns#配置ACL 2000，僅允許對/24網(wǎng)段的用戶報文進行地址轉(zhuǎn)換。Router acl number 2000Router-acl-basic-2000 rule permit source 55Router-acl-basic-2000 quit#創(chuàng)建地址組1。Router nat address-group 1#添加地址組成員。Router-nat-address-group-1 address Router-nat-address-group-1 quit#創(chuàng)建地址組

14、2。Router nat address-group 2#添加地址組成員。Router-nat-address-group-2 address Router-nat-address-group-2 quit#在接口GigabitEthernet1/2上配置入方向動態(tài)地址轉(zhuǎn)換，允許使用地址組1中的地址對DNS應(yīng)答報文載荷中的外網(wǎng)地址進行轉(zhuǎn)換，并在轉(zhuǎn)換過程中不使用端口信息，以及允許反向地址轉(zhuǎn)換。Router interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat inbound 2000 address-group 1 no-pat r

15、eversible#在接口GigabitEthernet1/2上配置出方向動態(tài)地址轉(zhuǎn)換，允許使用地址組2中的地址對內(nèi)網(wǎng)訪問外網(wǎng)的報文進行源地址轉(zhuǎn)換，并在轉(zhuǎn)換過程中使用端口信息。Router-GigabitEthernet1/2 nat outbound 2000 address-group 2Router-GigabitEthernet1/2 quit#配置靜態(tài)路由，目的地址為外網(wǎng)服務(wù)器NAT地址，出接口為GigabitEthernet1/2，下一跳地址為（為本例中的直連下一跳地址，實際使用中請以具體組網(wǎng)情況為準(zhǔn)）。Router ip route-static 32 gigabitethern

16、et 1/2 5.驗證配置以上配置完成后，Host A能夠通過域名訪問Web server。通過查看如下顯示信息，可以驗證以上配置成功。Router display nat allNAT address group information: There are 2 NAT address groups. Group Number Start Address End Address 1 2 NAT inbound information: There are 1 NAT inbound rules. Interface: GigabitEthernet1/2 ACL: 2000 Address

17、group: 1 Add route: N NO-PAT: Y Reversible: YNAT outbound information: There are 1 NAT outbound rules. Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: NNAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: DisabledN

18、AT mapping behavior: Mapping mode: Address and Port-Dependent ACL : -NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled#通過以下顯示命令，可以看到Host A訪問WWW server時生成NAT會話信息。Router display nat session verboseInitiator: Source IP/port: 0/1694 Destination IP/port: /8080 VPN instance/VLAN ID/VLL

19、ID: -/-/- Protocol: TCP(6)Responder: Source IP/port: 0/8080 Destination IP/port: /1025 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)State: TCP_ESTABLISHEDApplication: HTTPStart time: 2012-08-15 14:53:29 TTL: 3597sInterface(in) : GigabitEthernet1/1Interface(out): GigabitEthernet1/2Initiator-Res

20、ponder: 7 packets 308 bytesResponder-Initiator: 5 packets 312 bytesTotal sessions found: 11.11.4外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器1.組網(wǎng)需求某公司內(nèi)部對外提供Web、FTP和SMTP服務(wù)，而且提供兩臺Web服務(wù)器。公司內(nèi)部網(wǎng)址為/16。其中，內(nèi)部FTP服務(wù)器地址為/16，內(nèi)部Web服務(wù)器1的IP地址為/16，內(nèi)部Web服務(wù)器2的IP地址為/16，內(nèi)部SMTP服務(wù)器IP地址為/16。公司擁有至三個公網(wǎng)IP地址。需要實現(xiàn)如下功能：外部的主機可以訪問內(nèi)部的服務(wù)器。選用作為公司對外提供服務(wù)的IP地址，We

21、b服務(wù)器2對外采用8080端口。2.組網(wǎng)圖圖1-8外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器3.配置步驟#按照組網(wǎng)圖配置各接口的IP地址，具體配置過程略。#進入接口GigabitEthernet1/2。 system-viewRouter interface gigabitethernet 1/2#配置內(nèi)部FTP服務(wù)器，允許外網(wǎng)主機使用地址、端口號21訪問內(nèi)網(wǎng)FTP服務(wù)器。Router-GigabitEthernet1/2 nat server protocol tcp global 21 inside ftp#配置內(nèi)部Web服務(wù)器1，允許外網(wǎng)主機使用地址、端口號80訪問內(nèi)網(wǎng)Web服務(wù)器1。Route

22、r-GigabitEthernet1/2 nat server protocol tcp global 80 inside www#配置內(nèi)部Web服務(wù)器2，允許外網(wǎng)主機使用地址、端口號8080訪問內(nèi)網(wǎng)Web服務(wù)器2。Router-GigabitEthernet1/2 nat server protocol tcp global 8080 inside www#配置內(nèi)部SMTP服務(wù)器，允許外網(wǎng)主機使用地址以及SMTP協(xié)議定義的端口訪問內(nèi)網(wǎng)SMTP服務(wù)器。Router-GigabitEthernet1/2 nat server protocol tcp global smtp inside smt

23、pRouter-GigabitEthernet1/2 quit4.驗證配置以上配置完成后，外網(wǎng)Host能夠通過NAT地址訪問各內(nèi)網(wǎng)服務(wù)器。通過查看如下顯示信息，可以驗證以上配置成功。Router display nat allNAT internal server information: There are 4 internal servers. Interface: GigabitEthernet1/2 Protocol: 6(TCP) Global IP/port: /21 Local IP/port: /21 Interface: GigabitEthernet1/2 Protocol

24、: 6(TCP) Global IP/port: /25 Local IP/port: /25 Interface: GigabitEthernet1/2 Protocol: 6(TCP) Global IP/port: /80 Local IP/port: /80 Interface: GigabitEthernet1/2 Protocol: 6(TCP) Global IP/port: /8080 Local IP/port: /80NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Fl

25、ow-active: DisabledNAT mapping behavior: Mapping mode: Address and Port-Dependent ACL : -NAT ALG: DNS: Enabled FTP: Enabled H323: Enabled ICMP-ERROR: Enabled#通過以下顯示命令，可以看到Host訪問FTP server時生成NAT會話信息。Router display nat session verboseInitiator: Source IP/port: 0/1694 Destination IP/port: /21 VPN insta

26、nce/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)Responder: Source IP/port: /21 Destination IP/port: 0/1694 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)State: TCP_ESTABLISHEDApplication: FTPStart time: 2012-08-15 14:53:29 TTL: 3597sInterface(in) : GigabitEthernet1/2Interface(out): GigabitEthernet1/1

27、Initiator-Responder: 7 packets 308 bytesResponder-Initiator: 5 packets 312 bytesTotal sessions found: 11.11.5外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器（地址不重疊）1.組網(wǎng)需求某公司內(nèi)部對外提供Web服務(wù)，Web服務(wù)器地址為/24。該公司在內(nèi)網(wǎng)有一臺DNS服務(wù)器，IP地址為/24，用于解析Web服務(wù)器的域名。該公司擁有兩個外網(wǎng)IP地址：和。需要實現(xiàn)，外網(wǎng)主機可以通過域名訪問內(nèi)網(wǎng)的Web服務(wù)器。2.組網(wǎng)圖圖1-9外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器（地址不重疊）3.配置思路外網(wǎng)主機通過域名訪問Web服務(wù)器

28、，首先需要通過訪問內(nèi)網(wǎng)DNS服務(wù)器獲取Web服務(wù)器的IP地址，因此需要通過配置NAT內(nèi)部服務(wù)器將DNS服務(wù)器的內(nèi)網(wǎng)IP地址和DNS服務(wù)端口映射為一個外網(wǎng)地址和端口。DNS服務(wù)器回應(yīng)給外網(wǎng)主機的DNS報文載荷中攜帶了Web服務(wù)器的內(nèi)網(wǎng)IP地址，因此需要將DNS報文載荷中的內(nèi)網(wǎng)IP地址轉(zhuǎn)換為一個外網(wǎng)IP地址。外網(wǎng)地址分配可以通過出方向動態(tài)地址轉(zhuǎn)換功能實現(xiàn)，轉(zhuǎn)換載荷信息可以通過DNS ALG功能實現(xiàn)。4.配置步驟#按照組網(wǎng)圖配置各接口的IP地址，具體配置過程略。#開啟DNS協(xié)議的ALG功能。 system-viewRouter nat alg dns#配置ACL 2000，允許對內(nèi)部網(wǎng)絡(luò)中的報文進行

29、地址轉(zhuǎn)換。Router acl number 2000Router-acl-basic-2000 rule permit source 0Router-acl-basic-2000 quit#創(chuàng)建地址組1。Router nat address-group 1#添加地址組成員。Router-nat-address-group-1 address Router-nat-address-group-1 quit#在接口GigabitEthernet1/2上配置NAT內(nèi)部服務(wù)器，允許外網(wǎng)主機使用地址訪問內(nèi)網(wǎng)DNS服務(wù)器。Router interface gigabitethernet 1/2Route

30、r-GigabitEthernet1/2 nat server protocol udp global inside domain#在接口GigabitEthernet1/2上配置出方向動態(tài)地址轉(zhuǎn)換，允許使用地址組1中的地址對DNS應(yīng)答報文載荷中的內(nèi)網(wǎng)地址進行轉(zhuǎn)換，并在轉(zhuǎn)換過程中不使用端口信息，以及允許反向地址轉(zhuǎn)換。Router-GigabitEthernet1/2 nat outbound 2000 address-group 1 no-pat reversibleRouter-GigabitEthernet1/2 quit5.驗證配置以上配置完成后，外網(wǎng)Host能夠通過域名訪問內(nèi)網(wǎng)Web

31、server。通過查看如下顯示信息，可以驗證以上配置成功。Router display nat allNAT address group information: There are 1 NAT address groups. Group Number Start Address End Address 1 NAT outbound information: There are 1 NAT outbound rules. Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Re

32、versible: YNAT internal server information: There are 1 internal servers. Interface: GigabitEthernet1/2 Protocol: 17(UDP) Global IP/port: /53 Local IP/port: /53NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: DisabledNAT mapping behavior: Mapping mode: Addres

33、s and Port-Dependent ACL : -NAT ALG: DNS: Enabled FTP: Enabled H323：Enabled ICMP-ERROR: Enabled#通過以下顯示命令，可以看到Host訪問Web server時生成NAT會話信息。Router display nat session verboseInitiator: Source IP/port: /1694 Destination IP/port: /8080 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)Responder: Source I

34、P/port: /8080 Destination IP/port: /1694 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)State: TCP_ESTABLISHEDApplication: HTTPStart time: 2012-08-15 14:53:29 TTL: 3597sInterface(in) : GigabitEthernet1/2Interface(out): GigabitEthernet1/1Initiator-Responder: 7 packets 308 bytesResponder-Initiator

35、: 5 packets 312 bytesTotal sessions found: 11.11.6外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器（地址重疊）1.組網(wǎng)需求某公司內(nèi)網(wǎng)使用的IP地址為/24。該公司內(nèi)部對外提供Web服務(wù)，Web服務(wù)器地址為/24。該公司在內(nèi)網(wǎng)有一臺DNS服務(wù)器，IP地址為/24，用于解析Web服務(wù)器的域名。該公司擁有三個外網(wǎng)IP地址：、和。需要實現(xiàn)，外網(wǎng)主機可以通過域名訪問與其地址重疊的內(nèi)網(wǎng)Web服務(wù)器。2.組網(wǎng)圖圖1-10外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器（地址重疊）3.配置思路這是一個典型的雙向NAT應(yīng)用，具體配置思路如下。外網(wǎng)主機通過域名訪問Web服務(wù)器，首先需要訪問內(nèi)部的DN

36、S服務(wù)器獲取Web服務(wù)器的IP地址，因此需要通過配置NAT內(nèi)部服務(wù)器將DNS服務(wù)器的內(nèi)網(wǎng)IP地址和DNS服務(wù)端口映射為一個外網(wǎng)地址和端口。DNS服務(wù)器回應(yīng)給外網(wǎng)主機的DNS報文載荷中攜帶了Web服務(wù)器的內(nèi)網(wǎng)IP地址，該地址與外網(wǎng)主機地址重疊，因此在出方向上需要為內(nèi)網(wǎng)Web服務(wù)器動態(tài)分配一個NAT地址，并將載荷中的地址轉(zhuǎn)換為該地址。NAT地址分配可以通過出方向動態(tài)地址轉(zhuǎn)換功能實現(xiàn)，轉(zhuǎn)換載荷信息可以通過DNS ALG功能實現(xiàn)。外網(wǎng)主機得到內(nèi)網(wǎng)Web服務(wù)器的IP地址之后（該地址為NAT地址），使用該地址訪問內(nèi)網(wǎng)Web服務(wù)器，因為外網(wǎng)主機的地址與內(nèi)網(wǎng)Web服務(wù)器的真實地址重疊，因此在入方向上也需要為外

37、網(wǎng)主機動態(tài)分配一個NAT地址，可以通過入方向動態(tài)地址轉(zhuǎn)換實現(xiàn)。NAT設(shè)備上沒有目的地址為外網(wǎng)主機對應(yīng)NAT地址的路由，因此需要手工添加靜態(tài)路由，使得目的地址為外網(wǎng)主機NAT地址的報文的出接口為GigabitEthernet1/2。4.配置步驟#按照組網(wǎng)圖配置各接口的IP地址，具體配置過程略。#開啟DNS協(xié)議的ALG功能。 system-viewRouter nat alg dns#配置ACL 2000，允許對內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的報文進行地址轉(zhuǎn)換。Router acl number 2000Router-acl-basic-2000 rule permit source 55Router-ac

38、l-basic-2000 quit#創(chuàng)建地址組1。Router nat address-group 1#添加地址組成員。Router-nat-address-group-1 address Router-nat-address-group-1 quit#創(chuàng)建地址組2。Router nat address-group 2#添加地址組成員。Router-nat-address-group-2 address Router-nat-address-group-2 quit#在接口GigabitEthernet1/2上配置NAT內(nèi)部服務(wù)器，允許外網(wǎng)主機使用地址訪問內(nèi)網(wǎng)DNS服務(wù)器。Router int

39、erface gigabitethernet 1/2Router-GigabitEthernet1/2 nat server protocol udp global inside domain#在接口GigabitEthernet1/2上配置出方向動態(tài)地址轉(zhuǎn)換，允許使用地址組1中的地址對DNS應(yīng)答報文載荷中的內(nèi)網(wǎng)地址進行轉(zhuǎn)換，并在轉(zhuǎn)換過程中不使用端口信息，以及允許反向地址轉(zhuǎn)換。Router-GigabitEthernet1/2 nat outbound 2000 address-group 1 no-pat reversible#在接口GigabitEthernet1/2上配置入方向動態(tài)地址轉(zhuǎn)

40、換，允許使用地址組2中的地址對外網(wǎng)訪問內(nèi)網(wǎng)的報文進行源地址轉(zhuǎn)換，并在轉(zhuǎn)換過程中使用端口信息。Router-GigabitEthernet1/2 nat inbound 2000 address-group 2Router-GigabitEthernet1/2 quit#配置到達地址的靜態(tài)路由，出接口為GigabitEthernet1/2，下一跳地址為（為本例中的直連下一跳地址，實際使用中請以具體組網(wǎng)情況為準(zhǔn)）。Router ip route-static 32 gigabitethernet1/2 5.驗證配置以上配置完成后，外網(wǎng)Host能夠通過域名訪問內(nèi)網(wǎng)相同IP地址的Web server。

41、通過查看如下顯示信息，可以驗證以上配置成功。Router display nat allNAT address group information: There are 2 NAT address groups. Group Number Start Address End Address 1 2 NAT inbound information: There are 1 NAT inbound rules. Interface: GigabitEthernet1/2 ACL: 2000 Address group: 2 Add route: N NO-PAT: N Reversible: NN

42、AT outbound information: There are 1 NAT outbound rules. Interface: GigabitEthernet1/2 ACL: 2000 Address group: 1 Port-preserved: N NO-PAT: Y Reversible: YNAT internal server information: There are 1 internal servers. Interface: GigabitEthernet1/2 Protocol: 17(UDP) Global IP/port: /53 Local IP/port:

43、 /53NAT logging: Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: DisabledNAT mapping behavior: Mapping mode: Address and Port-Dependent ACL : -NAT ALG: DNS: Enabled FTP: Enabled H323：Enabled ICMP-ERROR: Enabled#通過以下顯示命令，可以看到Host訪問Web server時生成NAT會話信息。Router display nat s

44、ession verboseInitiator: Source IP/port: /1694 Destination IP/port: /8080 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)Responder: Source IP/port: /8080 Destination IP/port: /1025 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)State: TCP_ESTABLISHEDApplication: HTTPStart time: 2012-08-15 14

45、:53:29 TTL: 3597sInterface(in) : GigabitEthernet1/2Interface(out): GigabitEthernet1/1Initiator-Responder: 7 packets 308 bytesResponder-Initiator: 5 packets 312 bytesTotal sessions found: 11.11.7內(nèi)網(wǎng)用戶通過NAT地址訪問內(nèi)網(wǎng)服務(wù)器1.組網(wǎng)需求某公司內(nèi)部網(wǎng)絡(luò)中有一臺FTP服務(wù)器，地址為/24。該公司擁有兩個外網(wǎng)IP地址：和。需要實現(xiàn)如下功能：外網(wǎng)主機可以通過訪問內(nèi)網(wǎng)中的FTP服務(wù)器。內(nèi)網(wǎng)主機也可以通過訪問

46、內(nèi)網(wǎng)中的FTP服務(wù)器。2.組網(wǎng)圖圖1-11內(nèi)網(wǎng)用戶通過NAT地址訪問內(nèi)網(wǎng)服務(wù)器3.配置思路該需求為典型的C-S模式的NAT hairpin應(yīng)用，具體配置思路如下。為使外網(wǎng)主機可以通過外網(wǎng)地址訪問內(nèi)網(wǎng)FTP服務(wù)器，需要在外網(wǎng)側(cè)接口配置NAT內(nèi)部服務(wù)器。為使內(nèi)網(wǎng)主機通過外網(wǎng)地址訪問內(nèi)網(wǎng)FTP服務(wù)器，需要在內(nèi)網(wǎng)側(cè)接口使能NAT hairpin功能。其中，目的IP地址轉(zhuǎn)換通過匹配外網(wǎng)側(cè)接口上的內(nèi)部服務(wù)器配置來完成，源地址轉(zhuǎn)換通過匹配內(nèi)部服務(wù)器所在接口上的出方向動態(tài)地址轉(zhuǎn)換或出方向靜態(tài)地址轉(zhuǎn)換來完成，本例中采用出方向動態(tài)地址轉(zhuǎn)換配置。4.配置步驟#按照組網(wǎng)圖配置各接口的IP地址，具體配置過程略。#配置A

47、CL 2000，允許對內(nèi)部網(wǎng)絡(luò)中/24網(wǎng)段的報文進行地址轉(zhuǎn)換。 system-viewRouter acl number 2000Router-acl-basic-2000 rule permit source 55Router-acl-basic-2000 quit#在接口GigabitEthernet1/2上配置NAT內(nèi)部服務(wù)器，允許外網(wǎng)主機使用地址訪問內(nèi)網(wǎng)FTP服務(wù)器，同時使得內(nèi)網(wǎng)主機訪問內(nèi)網(wǎng)FTP服務(wù)器的報文可以進行目的地址轉(zhuǎn)換。Router interface gigabitethernet 1/2Router-GigabitEthernet1/2 nat server protocol tcp global inside ftp#在接口Gi

人人文庫> 全部分類> 行業(yè)資料 > 各類標(biāo)準(zhǔn)

溫馨提示

1. 本站所有資源如無特殊說明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽，若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫網(wǎng)僅提供信息存儲空間，僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理，對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

史上最詳細(xì)H3C路由器NAT典型配置案例

文檔簡介

溫馨提示

最新文檔

評論

史上最詳細(xì)H3C路由器NAT典型配置案例

文檔簡介

溫馨提示

最新文檔

評論

相關(guān)文檔