[资料最详细]H3C路由器NAT典型配置案例
![[资料最详细]H3C路由器NAT典型配置案例](https://img.360docs.net/img38/16kd2sff2k4kis623756uvtqt12sd3ix-81.webp)
![[资料最详细]H3C路由器NAT典型配置案例](https://img.360docs.net/img38/16kd2sff2k4kis623756uvtqt12sd3ix-32.webp)
H3C路由器NAT典型配置案列(史上最详细)
神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。
1.11 NAT典型配置举例
1.11.1 内网用户通过NAT地址访问外网(静态地址转换)
1. 组网需求
内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
2. 组网图
图1-5 静态地址转换典型配置组网图
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
[Router] nat static outbound 10.110.10.8 202.38.1.100
# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat static enable
[Router-GigabitEthernet1/2] quit
4. 验证配置
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat static
Static NAT mappings:
There are 1 outbound static NAT mappings.
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Interfaces enabled with static NAT:
There are 1 interfaces enabled with static NAT.
Interface: GigabitEthernet1/2
# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 10.110.10.8/42496
Destination IP/port: 202.38.1.111/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 202.38.1.111/42496
Destination IP/port: 202.38.1.100/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-16 09:30:49 TTL: 27s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 5 packets 420 bytes
Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1
1.11.2 内网用户通过NAT地址访问外网(地址不重叠)
1. 组网需求
·某公司内网使用的IP地址为192.168.0.0/16。
·该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。
2. 组网图
图1-6 内网用户通过NAT访问外网(地址不重叠)
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
[Router] nat address-group 0
[Router-nat-address-group-0] address 202.38.1.2 202.38.1.3
[Router-nat-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 0
[Router-GigabitEthernet1/2] quit
4. 验证配置
以上配置完成后,Host A能够访问WWW server,Host B和Host C无法访问WWW server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 1 NAT address groups.
Group Number Start Address End Address
0 202.38.1.2 202.38.1.3
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 0 Port-preserved: N
NO-PAT: N Reversible: N
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.10/52992
Destination IP/port: 200.1.1.10/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 200.1.1.10/4
Destination IP/port: 202.38.1.3/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-15 14:53:29 TTL: 12s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 1 packets 84 bytes
Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1
1.11.3 内网用户通过NAT地址访问外网(地址重叠)
1. 组网需求
·某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。
·该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。
需要实现,内网用户可以通过域名访问外网的Web服务器。
2. 组网图
图1-7 内网用户通过NAT访问外网(地址重叠)
3. 配置思路
这是一个典型的双向NAT应用,具体配置思路如下。
·内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。
·内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。
·外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS的NAT ALG功能。
[Router] nat alg dns
# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员202.38.1.2。
[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2
[Router-nat-address-group-1] quit
# 创建地址组2。
[Router] nat address-group 2
# 添加地址组成员202.38.1.3。
[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3
[Router-nat-address-group-2] quit
# 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS 应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2
[Router-GigabitEthernet1/2] quit
# 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
[Router] ip route-static 202.38.1.2 32 gigabitethernet 1/2 20.2.2.2
5. 验证配置
以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 2 NAT address groups.
Group Number Start Address End Address
1 202.38.1.
2 202.38.1.2
2 202.38.1.
3 202.38.1.3
NAT inbound information:
There are 1 NAT inbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 1 Add route: N
NO-PAT: Y Reversible: Y
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 2 Port-preserved: N
NO-PAT: N Reversible: N
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host A访问WWW server时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.10/1694
Destination IP/port: 202.38.1.2/8080
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.10/8080
Destination IP/port: 202.38.1.3/1025
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
1.11.4 外网用户通过外网地址访问内网服务器
1. 组网需求
某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP 地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能:
·外部的主机可以访问内部的服务器。
·选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
2. 组网图
图1-8 外网用户通过外网地址访问内网服务器
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 进入接口GigabitEthernet1/2。
[Router] interface gigabitethernet 1/2
# 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp # 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 www # 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web 服务器2。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www
# 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以及SMTP协议定义的端口访问内网SMTP服务器。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp
[Router-GigabitEthernet1/2] quit
4. 验证配置
以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT internal server information:
There are 4 internal servers.
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/21
Local IP/port: 10.110.10.3/21
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/25
Local IP/port: 10.110.10.4/25
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/80
Local IP/port: 10.110.10.1/80
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/8080
Local IP/port: 10.110.10.2/80
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host访问FTP server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 202.38.1.10/1694
Destination IP/port: 202.38.1.1/21
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.10.3/21
Destination IP/port: 202.38.1.10/1694
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: FTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/2
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
1.11.5 外网用户通过域名访问内网服务器(地址不重叠)
1. 组网需求
·某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。
·该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。
·该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。
需要实现,外网主机可以通过域名访问内网的Web服务器。
2. 组网图
图1-9 外网用户通过域名访问内网服务器(地址不重叠)
3. 配置思路
·外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS协议的ALG功能。
[Router] nat alg dns
# 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 10.110.10.2 0
[Router-acl-basic-2000] quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员202.38.1.3。
[Router-nat-address-group-1] address 202.38.1.3 202.38.1.3
[Router-nat-address-group-1] quit
# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS 应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible
[Router-GigabitEthernet1/2] quit
5. 验证配置
以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 1 NAT address groups.
Group Number Start Address End Address
1 202.38.1.3 202.38.1.3
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 1 Port-preserved: N
NO-PAT: Y Reversible: Y
NAT internal server information:
There are 1 internal servers.
Interface: GigabitEthernet1/2
Protocol: 17(UDP)
Global IP/port: 202.38.1.2/53
Local IP/port: 10.110.10.3/53
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 202.1.1.2/1694
Destination IP/port: 202.38.1.3/8080
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.10.2/8080
Destination IP/port: 202.1.1.2/1694
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/2
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
1.11.6 外网用户通过域名访问内网服务器(地址重叠)
1. 组网需求
·某公司内网使用的IP地址为192.168.1.0/24。
·该公司内部对外提供Web服务,Web服务器地址为192.168.1.2/24。
·该公司在内网有一台DNS服务器,IP地址为192.168.1.3/24,用于解析Web服务器的域名。
·该公司拥有三个外网IP地址:202.38.1.2、202.38.1.3和202.38.1.4。
需要实现,外网主机可以通过域名访问与其地址重叠的内网Web服务器。
2. 组网图
图1-10 外网用户通过域名访问内网服务器(地址重叠)
3. 配置思路
这是一个典型的双向NAT应用,具体配置思路如下。
·外网主机通过域名访问Web服务器,首先需要访问内部的DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
· DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地址,该地址与外网主机地址重叠,因此在出方向上需要为内网Web服务器动态分配一个NAT地址,并将载荷中的地址转换为该地址。NAT地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
·外网主机得到内网Web服务器的IP地址之后(该地址为NAT地址),使用该地址访问内网Web服务器,因为外网主机的地址与内网Web服务器的真实地址重叠,因此在入方向上也需要为外网主机动态分配一个NAT地址,可以通过入方向动态地址转换实现。
· NAT设备上没有目的地址为外网主机对应NAT地址的路由,因此需要手工添加静态路由,使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS协议的ALG功能。
[Router] nat alg dns
# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员202.38.1.2。
[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2
[Router-nat-address-group-1] quit
# 创建地址组2。
[Router] nat address-group 2
# 添加地址组成员202.38.1.3。
[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3
[Router-nat-address-group-2] quit
# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.4访问内网DNS服务器。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.4 inside 200.1.1.3 domain # 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS 应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible
# 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组2中的地址对外网访问内网的报文进行源地址转换,并在转换过程中使用端口信息。
[Router-GigabitEthernet1/2] nat inbound 2000 address-group 2
[Router-GigabitEthernet1/2] quit
# 配置到达202.38.1.3地址的静态路由,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。[Router] ip route-static 202.38.1.3 32 gigabitethernet1/2 20.2.2.2
5. 验证配置
以上配置完成后,外网Host能够通过域名访问内网相同IP地址的Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 2 NAT address groups.
Group Number Start Address End Address
1 202.38.1.
2 202.38.1.2
2 202.38.1.
3 202.38.1.3
NAT inbound information:
There are 1 NAT inbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 2 Add route: N
NO-PAT: N Reversible: N
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 1 Port-preserved: N
NO-PAT: Y Reversible: Y
NAT internal server information:
There are 1 internal servers.
Interface: GigabitEthernet1/2
Protocol: 17(UDP)
Global IP/port: 202.38.1.4/53
Local IP/port: 200.1.1.3/53
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host访问Web server时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.2/1694
Destination IP/port: 202.38.1.2/8080
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.2/8080
Destination IP/port: 202.38.1.3/1025
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/2
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
1.11.7 内网用户通过NAT地址访问内网服务器
1. 组网需求
·某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。
·该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。
需要实现如下功能:
·外网主机可以通过202.38.1.2访问内网中的FTP服务器。
·内网主机也可以通过202.38.1.2访问内网中的FTP服务器。
2. 组网图
图1-11 内网用户通过NAT地址访问内网服务器
3. 配置思路
该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。
·为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。
·为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp
# 在接口GigabitEthernet1/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/2的IP地址进行源地址转换。[Router-GigabitEthernet1/2] nat outbound 2000
[Router-GigabitEthernet1/2] quit
# 在接口GigabitEthernet1/1上使能NAT hairpin功能。
[Router] interface gigabitethernet 1/1
[Router-GigabitEthernet1/1] nat hairpin enable
[Router-GigabitEthernet1/1] quit
5. 验证配置
以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过查看如下显示信息,可以验证以上配置成功。
[Router]display nat all
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: --- Port-preserved: N
NO-PAT: N Reversible: N
NAT internal server information:
There are 1 internal servers.
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.2/21
Local IP/port: 192.168.1.4/21
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT hairpinning:
There are 1 interfaces enabled with NAT hairpinning.
Interface: GigabitEthernet1/1
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host A访问FTP server时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.2/1694
Destination IP/port: 202.38.1.2/21
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.4/21
Destination IP/port: 202.38.1.1/1025
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
H3C IRF堆叠典型配置举例
典型配置举例一IRF检测方式)1.1.1 IRF典型配置举例(LACP MAD 1. 组网需求现的接入需求。由于公司人员激增,接入层交换机提供的端口 数目已经不能满足PC 需要在保护现有投资的基础上扩展端口接入数量,并要求网络易管理、易维护。组网图2. 典型配置组网图(LACP MAD1-13 IRF检测方式)图 3. 配置思路 Device A提供的接入端口数目已经不能满足网络需求,需要另外增加一台设备?Device B。(本文以两台设备组成IRF为例,在实际组网中可以根据需要,将多台设备组成IRF,配置思路和配置步骤与本例类似) 鉴于第二代智能弹性架构IRF技术具有管理简便、网络扩展能力强、可靠性高等?优点,所以本例使用IRF技术构建接入层(即在Device A和Device B上配置IRF功能)。 为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF,需?要启用MAD 检测功能。因为接入层设备较多,我们采用LACP MAD检测。 4. 配置步骤 为便于区分,下文配置中假设IRF形成前Device A的系统名称为DeviceA,Device B的系统名称为Device B;中间设备Device C的系统名称为DeviceC。 (1)配置设备编号 # Device A保留缺省编号为1,不需要进行配置。 。2上将设备的成员编号修改为Device B在#
H3C S5600系列交换机典型配置举例
S5600系列交换机典型配置举例 2.1.1 静态路由典型配置 1. 组网需求 (1)需求分析 某小型公司办公网络需要任意两个节点之间能够互通,网络结构简单、稳定, 用户希望最大限度利用现有设备。用户现在拥有的设备不支持动态路由协议。 根据用户需求及用户网络环境,选择静态路由实现用户网络之间互通。 (2)网络规划 根据用户需求,设计如图2-1所示网络拓扑图。 图2-1 静态路由配置举例组网图 2. 配置步骤 交换机上的配置步骤: # 设置以太网交换机Switch A的静态路由。
[SwitchB] ip route-static 1.1.1.0 255.255.255.0 1.1.3.1 # 设置以太网交换机Switch C的静态路由。
H3C路由器配置实例
通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(E t h e r n e t0/0):[M S R20-20]i n t e r f a c e E t h e r n e t0/0 [M S R20-20 2、使用动态分配地址的方式为局域网中的P C分配地址[M S R20-20]d h c p s e r v e r i p-p o o l 1 [M S R20-20-d h c p-p o o l-1]n e t w o r k2 4 [M S R20-20 [M S R20-20 3、配置n a t [M S R20-20]n a t a d d r e s s-g r o u p1公网I P公网I P [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤:
史上最详细H3C路由器NAT典型配置案例
神马CCIE, H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问In ternet 。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
There are 1 in terfaces en abled with static NAT.
In terface: GigabitEthernet1/2 Total sessi ons found: 1 内网用户通过 NAT 地址访问外网(地址不重叠) 1. 组网需求 ? 某公司内网使用的IP 地址为。 ? 该公司拥有和两个外网 IP 地址。 需要实现,内部网络中网段的用户可以访问 In ternet ,其它网段的用户不能访问 In ternet 使用的外网地址为和。 2. 组网图 #通过以下显示命令,可以看到 [Router] display nat sessi on verbose In itiator: Source IP/port: ID: -/-/ Protocol: ICMP(1) Resp on der: Source IP/port: ID: -/-/ Protocol: ICMP(1) State: ICMP_REPLY Applicatio n: INVALID Start time: 2012-08-16 09:30:49 Interface(in): GigabitEthernet1/1 In terface(out): GigabitEthernet1/2 In itiator->Resp on der: Resp on der- >ln itiator: Host 访问某外网服务器时生成 Desti nati on IP/port: Desti nati on IP/port: TTL: 27s 5 packets 5 packets NAT 会话信息。 VPN in sta nce/VLAN ID/VLL VPN in sta nce/VLAN ID/VLL 420 bytes 420 bytes
H3C IPv6 静态路由配置
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
[史上完整]H3C路由器NAT典型配置案例解析
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 1.11 NAT典型配置举例 1.11.1 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
H3C路由器NAT典型配置案例
H3C路由器NAT典型配置案列(史上最详细) 神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,您明白的。 1、11 NAT典型配置举例 1、11、1 内网用户通过NAT地址访问外网(静态地址转换) 1、组网需求 内部网络用户10、110、10、8/24使用外网地址202、38、1、100访问Internet、2、组网图 图1-5 静态地址转换典型配置组网图 3、配置步骤 # 依照组网图配置各接口的IP地址,具体配置过程略。 #配置内网IP地址10、110、10、8到外网地址202、38、1、100之间的一对一静态地址转换映射。
H3C-三层技术-IP路由配置指导-静态路由配置
目录 1 静态路由配置.....................................................................................................................................1-1 1.1 简介...................................................................................................................................................1-1 1.1.1 静态路由.................................................................................................................................1-1 1.1.2 缺省路由.................................................................................................................................1-1 1.1.3 静态路由应用..........................................................................................................................1-1 1.2 配置静态路由.....................................................................................................................................1-2 1.2.1 配置准备.................................................................................................................................1-2 1.2.2 配置静态路由..........................................................................................................................1-2 1.3 配置静态路由与BFD联动..................................................................................................................1-3 1.3.1 双向检测.................................................................................................................................1-3 1.3.2 单跳检测.................................................................................................................................1-3 1.4 配置静态路由快速重路由功能...........................................................................................................1-4 1.5 静态路由显示和维护..........................................................................................................................1-5 1.6 静态路由典型配置举例......................................................................................................................1-6 1.6.1 静态路由基本功能配置举例....................................................................................................1-6 1.6.2 静态路由快速重路由配置举例.................................................................................................1-8 1.6.3 配置静态路由与BFD联动........................................................................................................1-9
ict企业网关h3c路由器配置实例
ICT企业网关H3C路由器配置实例 以下是拱墅检查院企业网关的配置实例。路由器是选H3C MRS20-10(ICG2000),具体配置的内容是: PPP+DHCP+NAT+WLAN [H3C-Ethernet0/2] # version 5.20, Beta 1605 # sysname H3C # domain default enable system # dialer-rule 1 ip permit # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable
# dhcp server ip-pool 1 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.1.1 dns-list 202.101.172.35 202.101.172.46 # acl number 2001 rule 1 permit source 192.168.1.0 0.0.0.255 # wlan service-template 1 crypto ssid h3c-gsjcy authentication-method open-system cipher-suite wep40 wep default-key 1 wep40 pass-phrase 23456 service-template enable # wlan rrm 11a mandatory-rate 6 12 24 11a supported-rate 9 18 36 48 54 11b mandatory-rate 1 2 11b supported-rate 5.5 11 11g mandatory-rate 1 2 5.5 11
h3c路由器典型配置案例
version 5.20, Release 2104P02, Basic # sysname H3C # nat address-group 27 122.100.84.202 122.100.84.202 # # domain default enable system # dns resolve dns proxy enable # telnet server enable # dar p2p signature-file cfa0:/p2p_default.mtd # port-security enable # # vlan 1 # domain system access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1 network 192.168.201.0 mask 255.255.255.0 gateway-list 192.168.201.1 dns-list 202.106.0.20 202.106.46.151 # # user-group system # local-user admin password cipher .]@USE=*8 authorization-attribute level 3 service-type telnet # interface Aux0 async mode flow link-protocol ppp
interface Cellular0/0 async mode protocol link-protocol ppp # interface Ethernet0/0 port link-mode route nat outbound address-group 27 ip address 122.100.84.202 255.255.255.202 # interface Ethernet0/1 port link-mode route ip address 192.168.201.1 255.255.255.0 # interface NULL0 # # ip route-static 0.0.0.0 0.0.0.0 122.100.84.201 # dhcp enable # load xml-configuration # user-interface con 0 user-interface tty 13 user-interface aux 0 user-interface vty 0 4 authentication-mode scheme user privilege level 3 set authentication password simple###¥¥¥# return [H3C]
H3C路由器配置命令
1、system-view 进入系统视图模式 2、sysname 为设备命名 3、display current-configuration 当前配置情况 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 1/0/1 进入以太网端口视图 6、 port link-type Access|Trunk|Hybrid 设置端口访问模式 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式 11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中 12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan 中 13、port trunk permit vlan all 允许所有的vlan通过 H3C路由器 ##################################################################### ################# 1、system-view 进入系统视图模式 2、sysname R1 为设备命名为R1 3、display ip routing-table 显示当前路由表 4、 language-mode Chinese|English 中英文切换 5、interface Ethernet 0/0 进入以太网端口视图 6、 ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码 7、 undo shutdown 打开以太网端口 8、 shutdown 关闭以太网端口 9、 quit 退出当前视图模式 10、 ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由 11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由 H3C S3100 Switch H3C S3600 Switch H3C MSR 20-20 Router ##################################################################### ##################### 1、调整超级终端的显示字号; 2、捕获超级终端操作命令行,以备日后查对; 3、 language-mode Chinese|English 中英文切换; 4、复制命令到超级终端命令行,粘贴到主机; 5、交换机清除配置 :
H3C路由器双出口NAT服务器的典型配置
H3C MSR路由器双出口NAT服务器的典型配置 一、需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.360docs.net/doc/349856280.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、拓扑图: 三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。 MSR关键配置(路由部分配置略) # //地址池0用于访问电信的NAT nat address-group 0 202.2.2.50 202.2.2.100 //地址池1用于访问教育网的NAT nat address-group 1 211.1.1.50 211.1.1.100 //静态NAT用于外部访问内部服务器https://www.360docs.net/doc/349856280.html, nat static 192.168.34.55 211.1.1.4 # //ACL 2000用于内网访问教育网和电信的NAT,允许192.168.0.0/0的源 acl number 2000 description "NAT" rule 10 permit source 192.168.0.0 0.0.255.255 //ACL 2222用于策略路由的允许节点,即内部服务器往外发的HTTP从G5/1出去 acl number 2222 description "policy-based-route permit node" rule 0 permit source 192.168.34.55 0 # //用于内部主机访问211.1.1.4的NAT映射 acl number 3000 description "192.168.0.0/24 access 211.1.1.4" rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.34.55 0 //ACL 3333用于策略路由拒绝节点,即内部服务器返回内部主机的不需要被策略 acl number 3333 description "policy-based-route deny node" rule 0 permit ip source 192.168.34.55 0 destination 192.168.0.0 0.0.255.255 # interface GigabitEthernet0/0
H3C-MSR系列路由器IPsec典型配置举例(V7)
7 相关资料
1 简介 本文档介绍IPsec的典型配置举例。 2 配置前提 本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解IPsec特性。 3 使用iNode客户端基于证书认证的L2TP over IPsec功能配置举例 3.1 组网需求 如图1所示,PPP用户Host与Device建立L2TP隧道,Windows server 2003作为CA服务器,要求: 通过L2TP隧道访问Corporate network。 用IPsec对L2TP隧道进行数据加密。 采用RSA证书认证方式建立IPsec隧道。 图1 基于证书认证的L2TP over IPsec配置组网图 3.2 配置思路 由于使用证书认证方式建立IPsec隧道,所以需要在ike profile中配置local-identity为dn,指定从本端证书中的主题字段取得本端身份。 3.3 使用版本 本举例是在R0106版本上进行配置和验证的。
3.4 配置步骤 3.4.1 Device的配置 (1) 配置各接口IP地址 # 配置接口GigabitEthernet2/0/1的IP地址。
H3C路由器配置实例
ip http enable 开启WEB 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 24 [MSR20-20-dhcp-pool-1]dns-list [MSR20-20-dhcp-pool-1] gateway-list 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置 关键词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图: 三、配置步骤: 设备和版本:MSR系列、version 5.20, R1508P02
最新H3C单臂路由配置实例
H3C单臂路由配置 H3c交换机配置
第一章 PLC的硬件与工作原理 5、手持式编程器可以为PLC编写语句表方式的程序。 6、PLC一般能(能,不能)为外部传感器提供24V直流电源。 7、PLC的输出接口类型有继电器,晶闸管与场效应晶体管。 8、PLC的软件系统可分为系统程序和用户程序两大部分。 10、PLC采用_循环扫描_工作方式,其过程可分为五个阶段:_自诊断检查__, 通信处理,输入采样,_执行用户程序_和_输出改写_,称为一个扫描周期。