H3C路由器NAT典型配置案例

H3C路由器NAT典型配置案列(史上最詳神馬CCIE,H3CIE,HCIE等網(wǎng)絡(luò)工程師日常實(shí)施運(yùn)維必備,您明白的。1、11NAT典型配置舉例1、11、1內(nèi)網(wǎng)用戶通過NAT地址訪問外網(wǎng)(靜態(tài)地址轉(zhuǎn)換)內(nèi)部網(wǎng)絡(luò)用戶10、110、10、8／24使用外網(wǎng)地址202、38、1、100訪問Internet、圖1-5靜態(tài)地址轉(zhuǎn)換典型配置組網(wǎng)圖#依照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。#配置內(nèi)網(wǎng)IP地址10、110、10、8到外網(wǎng)地址202、38、1、100之間的一對(duì)一靜態(tài)<Router>system-view[Router]natstaticoutbound10、110、10、8202、38、1、100#使配置的靜態(tài)地址轉(zhuǎn)換在接口GigabitEthernet1/2［Router]interfacegigabitethernet1/2[Router—GigabitEthernet1／2]natstaticenable[Router—GigabitEthernet1/2]quit#以上配置完成后,內(nèi)網(wǎng)主機(jī)能夠訪問外網(wǎng)服務(wù)器。通過查看如下顯示信息,能夠驗(yàn)證以上配置成功、［Router]displaynatstaticStaticNATmappings:Thereare1outboundstaticNATmappings、LocalIP:10、110、10、8GlobalIP:202、38、1、100InterfacesenabledwithstaticNAT:Thereare1interfacesenabledwithstaticNAT、Interface:GigabitEthernet1/2#通過以下顯示命令,能夠看到Host訪問某外網(wǎng)服務(wù)器時(shí)生成NAT會(huì)話信息。［Router]displaynatsessionverboseInitiator:SourceIP/port:10、110、10、8/42496DestinationIP/port:202、38、1、111/2048VPNinstance/VLANID/VLLID:-/-/?Protocol:ICMP(1)Responder:SourceIP／port:202、38、1、111/42496DestinationIP/port:202、38、1、100／0VPNinstance/VLANProtocol:ICMP(1)State:ICMP__REPLYApplication:INVALIDStarttime:2012-08—1609:30:49TTL:27sInterface(in):GigabitEthernet1/1Interface(out):GigabitEthernet1/2Initiator->Responder:5packets420bytesResponder-〉Initiator:5packets420bytesTotalsessionsfound:11、11、2內(nèi)網(wǎng)用戶通過NAT地址訪問外網(wǎng)(地址不重疊)·某公司內(nèi)網(wǎng)使用的IP地址為192、168、0、0/16、·該公司擁有202、38、1、2與202、38、1、3兩個(gè)外網(wǎng)IP地址、需要實(shí)現(xiàn),內(nèi)部網(wǎng)絡(luò)中192、168、1、0/24網(wǎng)段的用戶能夠訪問Internet,其它網(wǎng)段的用戶不能訪問Internet。使用的外網(wǎng)地址為202、38、1、2與202、38、1、3、圖1-6內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)(地址不重疊)#配置地址組0,包羅兩個(gè)外網(wǎng)地址202、38、1、2與202、38、1、3、＜Router>system-view［Router］nataddress—group0[Router-nat-address—group—0]address202、38、1、2202、38、1、3［Router-nat-address—group-0]quit#配置ACL2000,僅允許對(duì)內(nèi)部網(wǎng)絡(luò)中192、168、1、0/24網(wǎng)段的用戶報(bào)文進(jìn)行地址轉(zhuǎn)換。[Router］aclnumber2000［Router—acl—basic-2000]rulepermitsource192、168、1、00、0、0、［Router—acl—basic-2000]quit#在接口GigabitEthernet1/2上配置出方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組0中的地址對(duì)匹配ACL2000的報(bào)文進(jìn)行源地址轉(zhuǎn)換,并在轉(zhuǎn)換過程中使用端口信息。［Router]interfacegigabitethernet1/2[Router—GigabitEthernet1/2]natoutbound2000address-group0[Router—GigabitEthernet1/2］quit以上配置完成后,HostA能夠訪問,HostB與HostC無(wú)法訪問、通過查看如下顯示信息,能夠驗(yàn)證以上配置成功。[Router]displaynatallNATaddressgroupinformation:Thereare1NATaddressgroups、GroupNumberStartAddressEndAddress0202、38、1、2202、38、1、3NAToutboundinformation:Thereare1NAToutboundrules、Interface:GigabitEthernet1/2ACL:2000Addressgroup:0Port-preserved:NNO－PAT:NReversible:Nlogging:Logenable:DisabledFlow-end:DisabledFlow—active:DisabledNATmappingMappingmode:AddressandPort—DependentACL:———NATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP—ERROR:Enabled#通過以下顯示命令,能夠看到HostA訪問時(shí)生成NAT會(huì)話信息。[Router］displaynatsessionverboseInitiator:SourceIP/port:192、168、1、10/52992DestinationIP/port:200、1、1、10/2048VPNinstance/VLANID/VLLID:-/－/-Protocol:ICMP(1)Responder:SourceIP/port:200、1、1、10/4DestinationIP/port:202、38、1、3/0VLLID:-／-/-Protocol:ICMP(1)CMP_REPLYApplication:INVALIDStarttime:2012-08—1514:53:29TTL:12sInterface(in):GigabitEthernet1/1Interface(out):GigabitEthernet1/2Initiator->Responder:1packets84bytesResponder->Initiator:1packets84bytesTotalsessionsfound:11、11、3內(nèi)網(wǎng)用戶通過NAT地址訪問外網(wǎng)(地址重疊)·某公司內(nèi)網(wǎng)網(wǎng)段地址為192、168、1、0/24,該網(wǎng)段與要訪問的外網(wǎng)Web服務(wù)器所在網(wǎng)·該公司擁有202、38、1、2與202、38、1、3兩個(gè)外網(wǎng)IP地址。需要實(shí)現(xiàn),內(nèi)網(wǎng)用戶能夠通過域名訪問外網(wǎng)的Web服務(wù)器。圖1-7內(nèi)網(wǎng)用戶通過NAT訪問外網(wǎng)(地址重疊)這是一個(gè)典型的雙向NAT應(yīng)用,具體配置思路如下?！?nèi)網(wǎng)主機(jī)通過域名訪問外網(wǎng)Web服務(wù)器時(shí),首先需要向外網(wǎng)的DNS服務(wù)器發(fā)起DNS查詢請(qǐng)求。由于外網(wǎng)DNS服務(wù)器回復(fù)給內(nèi)網(wǎng)主機(jī)的DNS應(yīng)答報(bào)文載荷中的攜帶的Web服務(wù)器地址與內(nèi)網(wǎng)主機(jī)地址重疊,因此NAT設(shè)備需要將載荷中的Web服務(wù)器地址轉(zhuǎn)換為動(dòng)態(tài)分配的一個(gè)NAT地址、動(dòng)態(tài)地址分配能夠通過入方向動(dòng)態(tài)地址轉(zhuǎn)換實(shí)現(xiàn),載荷中的地址轉(zhuǎn)換需要通過DNSALG功能實(shí)現(xiàn)。·內(nèi)網(wǎng)主機(jī)得到外網(wǎng)Web服務(wù)器的IP地址之后(該地址為臨時(shí)分配的NAT地址),通過該地址訪問外網(wǎng)Web服務(wù)器。由于內(nèi)網(wǎng)主機(jī)的地址與外網(wǎng)Web服務(wù)器的真實(shí)地址重疊,因此也需要為其動(dòng)態(tài)分配一個(gè)的NAT地址,能夠通過出方向動(dòng)態(tài)地址轉(zhuǎn)換實(shí)現(xiàn)、·外網(wǎng)Web服務(wù)器對(duì)應(yīng)的NAT地址在NAT設(shè)備上沒有路由,因此需要手工添加靜態(tài)路由,使得目的地址為外網(wǎng)服務(wù)器NAT地址的報(bào)文出接口為GigabitEthernet1/2。#依照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。#開啟DNS的NATALG功能、<Router〉system-view［Router]natalgdns#配置ACL2000,僅允許對(duì)192、168、1、0/24網(wǎng)段的用戶報(bào)文進(jìn)行地址轉(zhuǎn)換。[Router］aclnumber2000［Router—acl—basic—2000]rulepermitsource192、168、1、00、0、0、255[Router－acl-basic—2000］quit#創(chuàng)建地址組1。[Router]nataddress-group1#添加地址組成員202、38、1、2。［Router-nat-address-group-1]address202、38、1、2202、38、1、2[Router-nat－address—group-1］quit#創(chuàng)建地址組2。[Router]nataddress－group2［Router-nat—address-group-2］address202、38、1、3202、38、1、3[Router-nat-address-group-2］quit#在接口GigabitEthernet1/2上配置入方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組1中的地址對(duì)DNS應(yīng)答報(bào)文載荷中的外網(wǎng)地址進(jìn)行轉(zhuǎn)換,并在轉(zhuǎn)換過程中不使用端口信息,以及允許［Router]interfacegigabitethernet1/2［Router-GigabitEthernet1／2］natinbound2000address—group1no—pa#在接口GigabitEthernet1/2上配置出方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組2中的地址對(duì)內(nèi)網(wǎng)訪問外網(wǎng)的報(bào)文進(jìn)行源地址轉(zhuǎn)換,并在轉(zhuǎn)換過程中使用端口信息。[Router－GigabitEthernet1/2]natoutbound2000address-grou[Router-GigabitEthernet1/2］quit#配置靜態(tài)路由,目的地址為外網(wǎng)服務(wù)器NAT地址202、38、1、2,出接口為GigabitEthernet1/2,下一跳地址為20、2、2、2(20、2、2、2為本例中的直連下一跳地址,實(shí)際使用中請(qǐng)以具體組網(wǎng)情況為準(zhǔn))。[Router]iproute—static202、38、1、232gigabitethernet1/220、2、2、2以上配置完成后,HostA能夠通過域名訪問Webserver。通過查看如下顯示信息,能夠驗(yàn)［Router]displaynatallNATaddressgroupinformation:Thereare2NATaddressgroups、GroupNumberStartAddressEndAddress1202、38、1、2202、38、1、22202、38、1、3202、38、1、3NATinboundinformation:Thereare1NATinboundrules、Interface:GigabitEthernet1/2ACL:2000Addressgroup:1Addroute:NNO－PAT:YReversible:YNAToutboundinformation:Thereare1NAToutboundrules、Interface:GigabitEthernet1/2ACL:2000Addressgroup:2Port－preserved:NNO-PAT:NReversible:NNATlogging:Logenable:DisabledFlow—begin:DisabledFlow－end:DisabledFlow-active:DisabledNATmappingbehavior:Mappingmode:AddressandPort－DependentACL:——-DNS:EnabledFTP:EnabledH323:EnabledICMP-ERROR:Enabled#通過以下顯示命令,能夠看到HostA訪問時(shí)生成NAT會(huì)話信息。[Router］displaynatsessionverboseInitiator:SourceIP/port:192、168、1、10/1694DestinationIP/port:202、38、1、2/8080VPNinstance/VLANID/VLLID:—/-/—Protocol:TCP(6)Responder:SourceIP/port:192、168、1、10/8080DestinationIP／port:202、38、1、3/1025VPNinstance/VLANID／VLLID:-/－/-Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:Starttime:2012-08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/1Interface(out):GigabitEthernet1/2Initiator-＞Responder:7packets308bytesResponder－〉Initiator:5packets312bytesTotalsessionsfound:11、11、4外網(wǎng)用戶通過外網(wǎng)地址訪某公司內(nèi)部對(duì)外提供Web、服務(wù),而且提供兩臺(tái)Web服務(wù)器。公司內(nèi)部網(wǎng)址為10、110、0、0/16。其中,內(nèi)部FTP服務(wù)器地址為10、110、10、3/16,內(nèi)部Web服務(wù)器1的IP地址為10、110、10、1/16,內(nèi)部Web服務(wù)器2的IP地址為10、110、10、2/16,內(nèi)部SMTP服務(wù)器IP地址為10、110、10、4/16。公司擁有202、38、1、1至202、38、1、3三個(gè)公網(wǎng)IP地址。需要實(shí)現(xiàn)如下功能:·外部的主機(jī)能夠訪問內(nèi)部的服務(wù)器、·選用202、38、1、1作為公司對(duì)外提供服務(wù)的IP地址,Web服務(wù)器2對(duì)外采納8080端圖1－8外網(wǎng)用戶通過外網(wǎng)地址訪問內(nèi)網(wǎng)服務(wù)器#依照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。#進(jìn)入接口GigabitEthernet1／2。<Router〉system-view［Router]interfacegigabitethernet1／2#配置內(nèi)部FTP服務(wù)器,允許外網(wǎng)主機(jī)使用地址202、38、1、1、端口號(hào)21訪問內(nèi)網(wǎng)F［Router-GigabitEthernet1/2]natserverprotocoltcpglobal202、38、1、121inside10、110、10、3ftp#配置內(nèi)部Web服務(wù)器1,允許外網(wǎng)主機(jī)使用地址202、38、1、1、端口號(hào)80訪問內(nèi)網(wǎng)Web服務(wù)器1、[Router－GigabitEthernet1/2］natserverprotocoltcpglobal202、38、1、180inside10、110、10、1#配置內(nèi)部Web服務(wù)器2,允許外網(wǎng)主機(jī)使用地址202、38、1、1、端口號(hào)8080訪問[Router－GigabitEthernet1/2］natserverprotocoltcpglobal202、38、1、18080inside10、110、10、2#配置內(nèi)部SMTP服務(wù)器,允許外網(wǎng)主機(jī)使用地址202、38、1、1以及SMTP協(xié)議定義的端口訪問內(nèi)網(wǎng)SMTP服務(wù)器、[Router-GigabitEthernet1/2］natserverprotocoltcpglobal202、38、1、1smtpinside10、110、10、4smtp[Router－GigabitEthernet1/2］quit以上配置完成后,外網(wǎng)Host能夠通過NAT地址訪問各內(nèi)網(wǎng)服務(wù)器。通過查看如下顯示信［Router］displaynatallNATinternalserverinformation:Thereare4internalservers、Interface:GigabitEthernet1/2Protocol:6(TCP)GlobalIP/port:202、38、1、1/21LocalIP／port:10、110、10、3/21Interface:GigabitEthernet1/2Protocol:6(TCP)GlobalIP/port:202、38、1、1／25LocalIP/port:10、110、10、4/25Interface:GigabitEthernet1/2Protocol:6(TCP)GlobalIP/port:202、38、1、1/80LocalIP/port:10、110、10、1/80Interface:GigabitEthernet1/2Protocol:6(TCP)GlobalIP/port:202、38、1、1/8080LocalIP／port:10、110、10、2/80NATlogging:Logenable:DisabledFlow—begin:DisabledFlow-end:DisabledFlow—active:DisabledNATmappingbehavior:Mappingmode:AddressandPort-DependentACL:－--NATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP－ERROR:Enabled#通過以下顯示命令,能夠看到Host訪問時(shí)生成NAT會(huì)話信息。［Router]displaynatsessionverboseInitiator:SourceIP/port:202、38、1、10/1694DestinationIP/port:202、38、1、1/21VPNinstance/VLANID/VLLID:—/—/—Protocol:TCP(6)Responder:SourceIP/port:10、110、10、3/21DestinationIP/port:202、38、1、10／1694VPNinstance／VLANID/VLLID:－／-/-Protocol:TCP(6)State:TCP_ESTABLISHEDStarttime:2012－08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/2Interface(out):GigabitEthernet1/1Initiator-＞Responder:7packets308bytesResponder—〉Initiator:5packets312bytesTotalsessionsfound:11、11、5外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器(地址不重疊)·某公司內(nèi)部對(duì)外提供Web服務(wù),Web服務(wù)器地址為10、110、10、2/24?！ぴ摴驹趦?nèi)網(wǎng)有一臺(tái)DNS服務(wù)器,IP地址為10、110、10、3／24,用于解析Web服·該公司擁有兩個(gè)外網(wǎng)IP地址:202、38、1、2與202、38、1、3。需要實(shí)現(xiàn),外網(wǎng)主機(jī)能夠通過域名訪問內(nèi)網(wǎng)的Web服務(wù)器。圖1-9外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器(地址不重疊)·外網(wǎng)主機(jī)通過域名訪問Web服務(wù)器,首先需要通過訪問內(nèi)網(wǎng)DNS服務(wù)器獲取Web服務(wù)器的IP地址,因此需要通過配置NAT內(nèi)部服務(wù)器將DNS服務(wù)器的內(nèi)網(wǎng)IP地址與DNS服務(wù)端口映射為一個(gè)外網(wǎng)地址與端口。·DNS服務(wù)器回應(yīng)給外網(wǎng)主機(jī)的DNS報(bào)文載荷中攜帶了Web服務(wù)器的內(nèi)網(wǎng)IP地址,因此需要將DNS報(bào)文載荷中的內(nèi)網(wǎng)IP地址轉(zhuǎn)換為一個(gè)外網(wǎng)IP地址、外網(wǎng)地址分配能夠通過出方向動(dòng)態(tài)地址轉(zhuǎn)換功能實(shí)現(xiàn),轉(zhuǎn)換載荷信息能夠通過DNSALG功能實(shí)現(xiàn)。#依照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。#開啟DNS協(xié)議的ALG功能?！碦outer>system—view［Router]natalgdns#配置ACL2000,允許對(duì)內(nèi)部網(wǎng)絡(luò)中10、110、10、2的報(bào)文進(jìn)行地址轉(zhuǎn)換。[Router］aclnumber2000[Router-acl-basic-2000］rulepermitsource10、110、10、20[Router—acl—basic－2000］quit#創(chuàng)建地址組1。［Router]nataddress-group1#添加地址組成員202、38、1、3。［Router—nat-address-group—1]address202、38、1、3202、38、1、3[Router-nat-address-group-1］quit#在接口GigabitEthernet1/2上配置NAT內(nèi)部服務(wù)器,允許外網(wǎng)主機(jī)使用地址202、38、[Router］interfacegigabitethernet1/2[Router—GigabitEthernet1/2]natserverprotocoludpglobal202、310、10、3domain#在接口GigabitEthernet1/2上配置出方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組1中的地址對(duì)DNS應(yīng)答報(bào)文載荷中的內(nèi)網(wǎng)地址進(jìn)行轉(zhuǎn)換,并在轉(zhuǎn)換過程中不使用端口信息,以及允許反向[Router－GigabitEthernet1/2]natoutbound2000address-group1no－patreversible[Router—GigabitEthernet1/2］quit以上配置完成后,外網(wǎng)Host能夠通過域名訪問內(nèi)網(wǎng)Webserver[Router]displaynatallNATaddressgroupinformation:Thereare1NATaddressgroups、GroupNumberStartAddressEndAddressNAToutboundinformation:Thereare1NAToutboundrules、Interface:GigabitEthernet1/2ACL:2000Addressgroup:1Port—preserved:NNO—PAT:YReversible:YNATinternalserverinformation:Thereare1internalservers、Interface:GigabitEthernet1/2Protocol:17(UDP)GlobalIP/port:202、38、1、2／53LocalIP/port:10、110、10、3/53NATlogging:Logenable:DisabledFlow－begin:DisabledFlow-end:DisabledFlow—active:DisabledNATmappingbehavior:Mappingmode:AddressandPort－DependentACL:－--NATALG:DNS:EnabledFTP:EnabledH323:EnabledICMP—ERROR:Enabled[Router］displaynatsessionverboseInitiator:SourceIP／port:202、1、1、2／1694DestinationIP/port:202、38、1、3/8080VPNinstance/VLANID／VLLID:-/-/-Protocol:TCP(6)Responder:SourceIP／port:10、110、10、2/8080DestinationIP/port:202、1、1、2／1694VPNinstance/VLANID/VLLID:-/-/-Protocol:TCP(6)State:TCP__ESTABLISHEDApplication:Starttime:2012—08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/2Interface(out):GigabitEthernet1/1Initiator—＞Responder:7packets308bytesResponder-〉Initiator:5packets312bytesTotalsessionsfound:11、11、6外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器(地址重疊)·某公司內(nèi)網(wǎng)使用的IP地址為192、168、1、0/24。·該公司內(nèi)部對(duì)外提供Web服務(wù),Web服務(wù)器地址為192、168、1、2/24?！ぴ摴驹趦?nèi)網(wǎng)有一臺(tái)DNS服務(wù)器,IP地址為192、168、1、3/24,用于解析Web服務(wù)·該公司擁有三個(gè)外網(wǎng)IP地址:202、38、1、2、202、38、1、3與202、38、1、4、需要實(shí)現(xiàn),外網(wǎng)主機(jī)能夠通過域名訪問與其地址重疊的內(nèi)網(wǎng)Web服務(wù)器。圖1-10外網(wǎng)用戶通過域名訪問內(nèi)網(wǎng)服務(wù)器(地址重疊)這是一個(gè)典型的雙向NAT應(yīng)用,具體配置思路如下?！ね饩W(wǎng)主機(jī)通過域名訪問Web服務(wù)器,首先需要訪問內(nèi)部的DNS服務(wù)器獲取Web服務(wù)器的IP地址,因此需要通過配置NAT內(nèi)部服務(wù)器將DNS服務(wù)器的內(nèi)網(wǎng)IP地址與DNS服務(wù)端·DNS服務(wù)器回應(yīng)給外網(wǎng)主機(jī)的DNS報(bào)文載荷中攜帶了Web服務(wù)器的內(nèi)網(wǎng)IP地址,該地址與外網(wǎng)主機(jī)地址重疊,因此在出方向上需要為內(nèi)網(wǎng)Web服務(wù)器動(dòng)態(tài)分配一個(gè)NAT地址,換載荷信息能夠通過DNSALG功能實(shí)現(xiàn)?！ね饩W(wǎng)主機(jī)得到內(nèi)網(wǎng)Web服務(wù)器的IP地址之后(該地址為NAT地址),使用該地址訪問內(nèi)網(wǎng)Web服務(wù)器,因?yàn)橥饩W(wǎng)主機(jī)的地址與內(nèi)網(wǎng)Web服務(wù)器的真實(shí)地址重疊,因此在入方向上也需要為外網(wǎng)主機(jī)動(dòng)態(tài)分配一個(gè)NAT地址,能夠通過入方向動(dòng)態(tài)地址轉(zhuǎn)換實(shí)現(xiàn)?！AT設(shè)備上沒有目的地址為外網(wǎng)主機(jī)對(duì)應(yīng)NAT地址的路由,因此需要手工添加靜態(tài)路由,使得目的地址為外網(wǎng)主機(jī)NAT地址的報(bào)文的出接口為GigabitEthernet1/2。#依照組網(wǎng)圖配置各接口的IP地址,具體配置過程略、〈Router＞system-view［Router]natalgdns#配置ACL2000,允許對(duì)內(nèi)部網(wǎng)絡(luò)中192、168、1、0／24網(wǎng)段的報(bào)文進(jìn)行地址轉(zhuǎn)換。［Router]aclnumber2000［Router—acl—basic—2000］rulepermitsource192、168、1、00、0、0、255[Router-acl-basic－2000]quit#創(chuàng)建地址組1。［Router]nataddress－group1#添加地址組成員202、38、1、2。[Router—nat—address—group-1]address202、38、1、2202、38、1、2[Router－nat-address—group-1]quit#創(chuàng)建地址組2、[Router]nataddress—group2#添加地址組成員202、38、1、3。[Router－nat－address—group—2]address202、38、1、3202、38、1、3［Router-nat-address—group—2]quit#在接口GigabitEthernet1/2上配置NAT內(nèi)部服務(wù)器,允許外網(wǎng)主機(jī)使用地址202、38、［Router]interfacegigabitethernet1/2［Router－GigabitEthernet1/2]natserverprotocoludpglobal202、38、1、4inside200、1、1、3domain#在接口GigabitEthernet1/2上配置出方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組1中的地址對(duì)DNS應(yīng)答報(bào)文載荷中的內(nèi)網(wǎng)地址進(jìn)行轉(zhuǎn)換,并在轉(zhuǎn)換過程中不使用端口信息,以及允許反向[Router—GigabitEthernet1／2］natoutbound2000address-group1no-patreversible#在接口GigabitEthernet1/2上配置入方向動(dòng)態(tài)地址轉(zhuǎn)換,允許使用地址組2中的地址對(duì)外網(wǎng)訪問內(nèi)網(wǎng)的報(bào)文進(jìn)行源地址轉(zhuǎn)換,并在轉(zhuǎn)換過程中使用端口信息。[Router-GigabitEthernet1/2］natinbound2000address-group2［Router－GigabitEthernet1/2］quit#配置到達(dá)202、38、1、3地址的靜態(tài)路由,出接口為GigabitEthernet1/2,下一跳地址為20、2、2、2(20、2、2、2為本例中的直連下一跳地址,實(shí)際使用中請(qǐng)以具體組網(wǎng)情況為準(zhǔn))。[Router］iproute—static202、38、1、332gigabitethernet1/220、2、2、2以上配置完成后,外網(wǎng)Host能夠通過域名訪問內(nèi)網(wǎng)相同IP地址的Webserver、通過查看如下顯示信息,能夠驗(yàn)證以上配置成功。[Router］displaynatallNATaddressgroupinformation:Thereare2NATaddressgroups、GroupNumberStartAddressEndAddress1202、38、1、2202、38、1、22202、38、1、3202、38、1、3NATinboundinformation:Thereare1NATinboundrules、Interface:GigabitEthernet1/2ACL:2000Addressgroup:2Addroute:NNO—PAT:NReversible:NNAToutboundinformation:Thereare1NAToutboundrules、Interface:GigabitEthernet1/2ACL:2000Addressgroup:1Port-preserved:NNO－PAT:YReversible:YNATinternalserverinformation:Thereare1internalservers、Interface:GigabitEthernet1/2Protocol:17(UDP)GlobalIP/port:202、38、1、4/53LocalIP/port:200、1、1、3／53NATlogging:Logenable:DisabledFlow-begin:DisabledFlow—end:DisabledFlow-active:DisabledNATmappingbehavior:Mappingmode:AddressandPort-DependentACL:－--NATALG:FTP:EnabledH323:EnabledICMP-ERROR:Enabled#通過以下顯示命令,能夠看到Host訪問Webserver時(shí)生成NAT會(huì)話信息。ssionverboseInitiator:SourceIP/port:192、168、1、2/1694DestinationIP/port:202、38、1、2/8080VPNinstance/VLANID/VLLID:－／-/?Protocol:TCP(6)Responder:SourceIP/port:192、168、1、2/8080DestinationIP/port:VPNinstance/VLANID/VLLID:—/—/—Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:Starttime:2012—08-1514:53:29TTL:3597sInterface(in):GigabitEthernet1/2Interface(out):GigabitEthernet1/1Initiator-〉Responder:7packets308bytesResponder->Initiator:5packets312bytesTotalsessionsfound:1·某公司內(nèi)部網(wǎng)絡(luò)中有一臺(tái)FTP服務(wù)器,地址為192、168、1、4/24?！ぴ摴緭碛袃蓚€(gè)外網(wǎng)IP地址:202、38、1、1與202、38、1、2。需要實(shí)現(xiàn)如下功能:·外網(wǎng)主機(jī)能夠通過202、38、1、2訪問內(nèi)網(wǎng)中的FTP服務(wù)器?！?nèi)網(wǎng)主機(jī)也能夠通過202、38、1、2訪問內(nèi)網(wǎng)中的FTP服務(wù)器。圖1-11內(nèi)網(wǎng)用戶通過NAT地址訪問內(nèi)網(wǎng)服務(wù)器該需求為典型的C－S模式的NAThairpin應(yīng)用,具體配置思路如下?！槭雇饩W(wǎng)主機(jī)能夠通過外網(wǎng)地址訪問內(nèi)網(wǎng)FTP服務(wù)器,需要在外網(wǎng)側(cè)接口配置NAT內(nèi)部·為使內(nèi)網(wǎng)主機(jī)通過外網(wǎng)地址訪問內(nèi)網(wǎng)FTP服務(wù)器,需要在內(nèi)網(wǎng)側(cè)接口使能NAThairpin功能、其中,目的IP地址轉(zhuǎn)換通過匹配外網(wǎng)側(cè)接口上的內(nèi)部服務(wù)器配置來(lái)完成,源地址轉(zhuǎn)換通過匹配內(nèi)部服務(wù)器所在接口上的出方向動(dòng)態(tài)地址轉(zhuǎn)換或出方向靜態(tài)地址轉(zhuǎn)換來(lái)完成,本例中采納出方向動(dòng)態(tài)地址轉(zhuǎn)換配置。#依照組網(wǎng)圖配置各接口的IP地址,具體配置過程略。#配置ACL2000,允許對(duì)內(nèi)部網(wǎng)絡(luò)中192、168、1、0／24網(wǎng)段的報(bào)文進(jìn)行地址轉(zhuǎn)換、〈Router＞system—view[Router］aclnumber2000［Router—acl-basic-2000]rulepermitsource192、168、1、00、0、0、255[Router-acl-basic－2000］quit#在接口GigabitEthernet1/2上配置NAT1、2訪問內(nèi)網(wǎng)FTP服務(wù)器,同時(shí)使得內(nèi)網(wǎng)主機(jī)訪問內(nèi)網(wǎng)FTP服務(wù)器的報(bào)文能夠進(jìn)行目的地址［Router］interfacegigabitethernet