NAT多实例的配置案例
NAT配置事例1
NAT配置事例(来源:港湾网络作者:)一、测试环境:软件版本:1.3以上路由器:NetHammerM/G系列路由器二、配置事例1、共享一公网IP如图所示,某公司内部网络通过一个公网IP访问INTERNET具体配置:Router1(config-if-bri1/0)# ip address negotiatedRouter1(config-if-bri1/0)# ip nat outsideRouter1(config-if-bri1/0)# encapsulation pppRouter1(config-if-bri1/0)# ppp pap sent-username 169 password 169Router1(config-if-bri1/0)# ppp multilinkRouter1(config-if-bri1/0)# dialer load-threshold 60Router1(config-if-bri1/0)# dialer in-bandRouter1(config-if-bri1/0)# dialer-group 1Router1(config-if-bri1/0)# dialer string 169Router1(config-if-bri1/0)# exit!Router1(config)# dialer-list 1 protocol ip permitRouter1(config)# access-list 1 permit anyRouter1(config)# ip route 0.0.0.0/0 interface bri2/0Router1(config)# ip nat onRouter1(config)# ip nat inside source list 1 interface bri 2/0!Router1(config)# interface eth 0/0Router1(config-if-eth0/0)# ip address 192.168.0.1/24Router1(config-if-eth0/0)# ip nat inside2、负载均衡如图所示路由器上有两个接口:以太网接口E0/0与内部网相连,使用私有地址192.168.0.1;以太网接口E0/1与因特网相连,地址为61.20.12.4;使用三台PC服务器来提供WEB服务,它们使用私有地址。
NAT配置实例
NAT 配置示例本节提供了以下配置配置例子: 1、动态内部源地址转换示例 2、内部全局地址复用示例 3、重叠地址转换示例 4、tcp负载均衡示例 5、nat多个outside口负载均衡示例 (1)动态内部源地址转换示例 在以下配置中,本地全局地址从nat地址池net200中分配,该地址池定义了地址范围为200.168.12.2 ̄200.168.12.100。
只有内部源地址匹配访问列表1的数据包才会建立nat转换记录。
! interface fastethernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface fastethernet 1/0 ip address 200.168.12.1 255.255.255.0 ip nat outside ! ip nat pool net200 200.168.12.2 200.168.12.100 netmask 255.255.255.0 ip nat inside source list 1 pool net200 ! access-list 1 permit 192.168.12.0 0.0.0.255 (2)内部全局地址复用示例 内部全局地址复用,其实就是napt。
rgnos8.1以上版本的软件对于动态nat自动实现napt。
在以下配置中,本地全局地址从nat地址池net200中分配,该地址池只定义200.168.12.200一个ip地址,但允许复用。
只有内部源地址匹配访问列表1的数据包才会建立该类型nat转换记录。
! interface fastethernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface fastethernet 1/0 ip address 200.168.12.200 255.255.255.0 ip nat outside ! ip nat pool net200 200.168.12.200 200.168.12.200 netmask 255.255.255.0 ip nat inside source list 1 pool net200 access-list 1 permit 192.168.12.0 0.0.0.255 通过显示nat 映射表,可以看到是否能够正确建立转换记录: red-giant#show ip nat translations pro inside global inside local outside local outside global tcp 200.168.12.200:2063 192.168.12.65:2063 168.168.12.1:23 168.168.12.1:23 (3)内部源地址静态napt示例 静态napt 可以用于构建虚拟服务器。
[史上最详细]H3C路由器NAT典型配置案例
![[史上最详细]H3C路由器NAT典型配置案例](https://img.taocdn.com/s3/m/882e4d6942323968011ca300a6c30c225801f060.png)
H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。
1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网(静态地址转换)1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。
[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后,内网主机可以访问外网服务器。
通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
配置NAT Server双出口举例
1配置NAT Server双出口举例本例给出一个同时接入两个运营商网络的企业配置内部服务器的案例。
这个企业从每个运营商处都获取到了一个公网IP地址,为了保证所有用户的访问速度,需要让不同运营商的用户通过访问相应的运营商的IP来访问公司提供的服务,而不需要经过运营商之间的中转。
组网需求如图1所示,某公司内部网络通过SRG与两个运营商网络连接。
公司内网有一台FTP Server同时对两个运营商网络提供服务器,其真实IP是10.1.1.2。
ISP1网络中的用户可以通过1.1.1.2访问FTP Server,ISP2网络中的用户可以通过2.2.2.2访问FTP Server。
要实现这一需求,只要将两个运营商网络划入不同的安全区域,使用nat server的zone参数对不同的安全区域发布不同的公网IP即可。
图1 配置多对一的内部服务器组网图操作步骤1.创建安全区域。
2.<SRG> system-view3.[SRG] firewall zone dmz4.[SRG-zone-dmz] quit5.[SRG] firewall zone name ISP16.[SRG-zone-isp1] set priority 107.[SRG-zone-isp1] quit8.[SRG] firewall zone name ISP29.[SRG-zone-isp2] set priority 2010.[SRG-zone-isp2] quit11.配置各接口的IP地址,并将其加入安全区域。
12.[SRG] interface GigabitEthernet 0/0/213.[SRG-GigabitEthernet0/0/2] ip address 10.1.1.1 2414.[SRG-GigabitEthernet0/0/2] quit15.[SRG] interface GigabitEthernet 0/0/316.[SRG-GigabitEthernet0/0/3] ip address 1.1.1.1 2417.[SRG-GigabitEthernet0/0/3] quit18.[SRG] interface GigabitEthernet 5/0/019.[SRG-GigabitEthernet5/0/0] ip address 2.2.2.1 2420.[SRG-GigabitEthernet5/0/0] quit21.[SRG] firewall zone dmz22.[SRG-zone-dmz] add interface GigabitEthernet 0/0/223.[SRG-zone-dmz] quit24.[SRG] firewall zone ISP125.[SRG-zone-isp1] add interface GigabitEthernet 0/0/326.[SRG-zone-isp1] quit27.[SRG] firewall zone ISP228.[SRG-zone-isp2] add interface GigabitEthernet 5/0/029.[SRG-zone-isp2] quit30.配置内部服务器,对不同的安全区域发布不同的公网IP地址。
NAT配置实例
Router(config)#interface f0/0
Router(config-if)#ip nat insice
二、 动态NAT配置
如图内部局域网使用的IP是172.16.100.1—172.16.255.254,路由器局域网端口(默认网关)的
Router(config)#interface f0/0
Router(config)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#no shutdown
(2) 定义内部访问列表:
Router(config)#access-list 99 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat inside source static 192.168.100.4 61.159.62.132
Router(config)#ip nat inside source static 192.168.100.5 61.159.62.133
(4)定义合法的IP地址池:
Router(config)#ip nat pool zhou 61.159.62130 61.159.62.190 netmask 255.255.255.192(定
义地址池的名字为zhou)
(5)实现网络地址转换:
Router(config)#ip nat inside source list 99 pool zhou 【overload】(overload:地址复用
(3) 设置复用动态IP:
Router(config)ip nat inside source list 99 interface s0/0 overload(由于直接使用路由器的
项目11-1NAT服务的应用案例
项目11-1NAT服务的应用案例项目13 NAT服务器的配置典型应用案例1.某小型企业有公办用计算机约50台,使用TP-Link470路由器共享上网,局域网中的客户端计算机使用的是手动指定的IP地址方式,IP地址的参数如下:IP地址:172.16.6.0/24默认网关:172.16.6.1首选DNS服务器:172.16.6.1有一天,TP-LINK470路由器突然损坏了,而商家需要两天时间才能更换回一台路由器,你作为这个企业的网络管理员,可以使用什么方法,能够尽快恢复企业的网络,保证用户能够正常接入Internet。
分析:TP-Link470路由器主要提供企业局域网中用户共享Internet的功能。
而对于小型网络,微软的操作系统提供的Internet 连接共享(ICS),完全可以满足小型企业50台计算机共享上网的要求。
另外,ICS服务器安装后,默认向192.168.0.0/24的局域网提供Internet连接共享服务,而企业内部专用网络使用是172.16.6.0/24网段,因此还要修改ICS服务器上与内部网络相连的网卡的IP地址。
解决方法:在一台安装了Windows 98 SE以上操作系统的计算机中安装双网卡,再安装ICS服务,然后将与内部企业专用网络相连的网卡IP设置修改为:IP地址:172.16.0.1默认网关:255.255.255.0即可解决企业共享上网问题。
2.某企业使用ADSL拨号上网,用户在服务器上安装了双网络,一块连接ADSL宽带猫,一块连接企业内部专用网络。
拨号上网后,在与ADSL相连的网卡设置属性的“高级”选项卡中,选择“允许其他网络用户通过此计算机的Internet连接来连接”复选框,希望为内部网络用户提供Internet共享服务。
此时提供ICS服务的计算机上网正常,而企业内部的客户端能够自动获得IP地址,但不能连接Internet网,是什么原因?怎样处理?分析与解决:使用ADSL或宽带拨号连接,在“网上邻居”属性窗口中,有两个本地连接,还有一个拨号网络连接。
NAT实例
1.14.2 私网访问公网典型配置举例(设备二)1. 组网需求一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16,需要实现如下功能:●内部网络中10.110.10.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。
使用的公网地址为202.38.1.2和202.38.1.3。
●对源地址为10.110.10.100的用户按目的地址进行统计,限制用户连接数的上限值为1000,下限值为200,即要求与外部服务器建立的连接数不超过1000,不少于200。
2. 组网图图1-6 私网访问公网典型配置组网3. 配置步骤# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
<Router> system-view[Router] nat address-group 1 202.38.1.2 202.38.1.3# 配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。
[Router] acl number 2001[Router-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255 [Router-acl-basic-2001] rule deny[Router-acl-basic-2001] quit# 在出接口GigabitEthernet1/2上配置ACL 2001与IP地址池1相关联。
[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat outbound 2001 address-group 1[Router-GigabitEthernet1/2] quit# 配置连接限制策略1,对源地址为10.110.10.100的用户按照目的地址进行统计,限制用户连接数的上限值为1000,下限值为200。
配置NAT_Server双出口举例讲解
出口网关双链路接入不同运营商举例一USG作为校园或大型企业出口网关可以实现内网用户通过两个运营商访问Internet,还可以实现外网用户访问内网服务器,并保护内网不受网络攻击。
组网需求某学校网络通过USG连接到Internet,校内组网情况如下:∙校内用户主要分布在教学楼和宿舍区,通过汇聚交换机连接到USG。
图书馆内部署的两台服务器是该校主页、招生及资源共享等网站。
∙学校分别通过两个不同运营商(ISP1和ISP2)连接到Internet,两个运营商分别为该校分配了5个IP地址。
ISP1分配的IP地址是200.1.1.1~200.1.1.5,ISP2分配的IP地址是202.1.1.1~202.1.1.5,掩码均为24位。
该学校网络需要实现以下需求:∙校内用户能够通过两个运营商访问Internet,且去往不同运营商的流量由USG上连接该运营商的对应的接口转发。
∙当一条链路出现故障时,流量可以被及时切换到另一条链路上,避免网络长时间中断。
∙校内用户和校外用户都可以访问图书馆中部署的2台服务器。
∙保护内部网络不受SYN Flood、UDP Flood和ICMP Flood的攻击。
图1 出口网关双链路接入不同运营商举例一组网图项目数据说明(1)接口号:GigabitEthernet 0/0/0IP地址:10.1.1.1/16安全区域:Trust 接口(1)是连接内网汇聚交换机的接口。
校内用户分配到网段为10.1.0.0/16的私网地址和DNS 服务器地址100.1.1.1/24,部署在Trust区域。
(2)接口号:GigabitEthernet 0/0/1IP地址:192.168.1.1/24安全区域:DMZ 接口(2)是连接图书馆内服务器的接口。
图书馆区部署在DMZ区域。
(3)接口号:GigabitEthernet 0/0/2IP地址:200.1.1.1/24安全区域:ISP1安全优先级:15 接口(3)是连接ISP1的接口,去往ISP1所属网段的数据通过接口(3)转发。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 简介本文档介绍使用NAT多实例的配置案例。
2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解NAT多实例的特性。
3 配置举例3.1 组网需求如图1所示,一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网络使用的网段地址网址为10.110.0.0/16。
10.110.10.0/24网段的用户属于私网VPN1,加入安全域Trust1;10.110.11.0/24网段的用户属于私网VPN2,加入安全域Trust2;公网的用户属于VPN3,加入安全域Untrust。
需要实现如下功能:∙ 内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。
∙ 内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。
∙ 公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP 服务。
图1 跨VPN转发典型配置组网图3.2 配置思路为了使内网主机能够访问公网,需要在出接口上配置NAT转换,并使对应的地址池和公网VPN实例相关联。
3.3 使用版本本文档基于U200-S R5135版本进行配置和验证。
3.4 配置步骤3.4.1 通过Web方式配置(1)创建VPN实例目前设备仅支持通过命令行方式创建VPN实例,配置方法请参见“3.4.2 (1)创建VPN 实例”。
(2)接口绑定VPN实例并加入安全域# 接口绑定VPN实例。
目前设备仅支持通过命令行方式配置接口绑定VPN实例,配置方法请参见“3.4.2 (2)接口绑定VPN实例”。
# 新建安全域Trust1。
在左侧导航栏中选择“设备管理> 安全域”,进入下图2所示的安全域显示页面。
图2 安全域显示页面# 单击<新建>按钮,新建一个安全域。
图3 安全域新建页面# 点击<确定>按钮完成操作。
# 同理新建安全域Trust2,完成配置后安全域页面显示如图4所示。
图4 安全域新建后的显示页面# 将接口加入安全域Trust1。
点击Trust1对应的编辑按钮,进入如图5所示的安全域编辑页面。
图5 安全域编辑页面# 勾选GigabitEthernet0/1前面的复选框,点击<确定>按钮完成操作。
# 同理配置将接口GigabitEthernet0/3加入安全域Trust2,接口GigabitEthernet0/2加入安全域Untrust。
# 完成配置后,在左侧导航栏中选择“设备管理> 接口管理”,进入接口列表显示页面,配置结果如图6所示:图6 接口列表显示页面(3)配置绑定VPN实例的NAT Outbound# 在左侧导航栏中选择“防火墙> ACL”,进入如图7所示的ACL列表页面。
配置访问控制列表2001,允许私网VPN1和私网VPN2的用户访问公网。
图7 ACL列表页面# 单击<新建>按钮,新建ACL。
图8 ACL新建页面# 点击<确定>按钮页面自动切换到ACL列表显示页面。
图9 ACL列表页面# 点击ACL 2001对应的按钮,添加规则。
图10 Basic ACL 2001页面# 点击<新建>按钮,进入新建ACL规则页面。
图11 新建ACL规则页面# 勾选源IP地址前的复选框,输入10.110.10.0,源地址通符为0.0.0.255,选择VPN 实例为VPN1,点击<确定>按钮,页面自动切换到基本ACL 2001页面。
图12 Basic ACL 2001页面# 点击<新建>按钮。
图13 新建ACL规则页面# 勾选源IP地址前的复选框,输入10.110.11.0,源地址通符为0.0.0.255,选择VPN 实例为VPN2,点击<确定>按钮,页面切换到基本ACL 2001页面。
图14 Basic ACL 2001页面# 在左侧导航栏中选择“防火墙> NAT > 动态地址转换”,进入如图15所示的动态地址转换页面;配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
图15 动态地址转换页面# 单击地址池页签里的<新建>按钮,进入新建地址池页面。
图16 新建地址池页面# 点击<确定>按钮完成地址池配置,页面自动切换到如图17所示的地址池显示页面。
图17 地址池显示页面# 点击图17中地址转换关联页签对应的<新建>按钮,进入新建动态NAT页面。
在出接口GigabitEthernet0/2上配置nat outbound并与公网的VPN实例相关联。
图18 新建动态地址转换策略页面# 点击<确定>按钮完成操作。
(4)配置绑定VPN实例的NAT Server# 在左侧导航栏中选择“防火墙> NAT > 内部服务器”,进入如图19所示的内部服务器转换页面。
设置内部FTP服务器并与公网的VPN实例相关联。
图19 内部服务器页面# 单击内部服务器转换页签对应的<新建>按钮。
图20 新建内部服务器页面# 单击<确定>按钮完成操作,页面自动切换到内部服务器转换页面。
图21 内部服务器页面# 点击图21中的<新建>按钮,进入新建内部服务器页面。
设置内部Web服务器并与公网的VPN实例相关联。
图22 新建内部服务器页面# 单击<确定>按钮完成操作,页面自动切换到内部服务器转换页面,配置结果如图23所示。
图23 内部服务器转换页面(5)配置域间策略# 在左侧导航栏中选择“资源管理> 时间段”,进入如图24所示的时间段页面。
配置时间范围周末时间段。
图24 时间段页面# 单击<新建>按钮;图25 新建时间段页面# 单击<确定>按钮完成操作。
# 在左侧导航栏中选择“防火墙> 安全策略> 域间策略”,进入如图26所示的域间策略页面。
配置域间策略,允许私网VPN2中的安全域Trust2的用户在周末时间访问公网。
图26 域间策略页面# 单击<新建>按钮,进入新建域间策略页面;图27 新建域间策略页面# 选择源域为Trust2,目的域为Untrust;# 选择源IP地址为any_address,目的IP地址为any_address,名称为any_service;# 选择过滤动作为Permit;# 选择时间段为weekend;# 选中开启Syslog日志功能后面的复选框;# 单击<确定>按钮,完成一条域间策略配置。
# 选择名称为any_service,选择过滤动作为deny,选中开启Syslog日志功能后面的复选框。
图28 新建域间策略页面# 点击<确定>按钮,完成另一条域间策略配置。
# 同理配置域间策略,允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务,允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务,完成所有域间策略配置后,域间策略列表显示如图29所示:图29 域间策略显示页面(6)配置跨VPN实例的静态路由目前设备仅支持通过命令行方式配置跨VPN实例的静态路由,配置方法请参见“3.4.2(7)配置跨VPN实例的静态路由”。
3.4.2 通过命令行方式配置(1)创建VPN实例# 创建VPN实例VPN1,并配置RD和VPN Target属性。
<Firewall> system-view[Firewall] ip vpn-instance VPN1[Firewall-vpn-instance-VPN1] route-distinguisher 100:1[Firewall-vpn-instance-VPN1] vpn-target 100:1[Firewall-vpn-instance-VPN1] quit# 创建VPN实例VPN2,并配置RD和VPN Target属性。
[Firewall] ip vpn-instance VPN2[Firewall-vpn-instance-VPN2] route-distinguisher 200:1[Firewall-vpn-instance-VPN2] vpn-target 200:1[Firewall-vpn-instance-VPN2] quit# 创建VPN实例VPN3,并配置RD和VPN Target属性。
[Firewall] ip vpn-instance VPN3[Firewall-vpn-instance-VPN3] route-distinguisher 300:1[Firewall-vpn-instance-VPN3] vpn-target 300:1[Firewall-vpn-instance-VPN3] quit(2)接口绑定VPN实例# 接口GigabitEthernet0/1绑定VPN实例VPN1,接口GigabitEthernet0/3绑定VPN 实例VPN2,接口GigabitEthernet0/2绑定VPN实例VPN3,并配置各接口的IP地址。
[Firewall] interface GigabitEthernet 0/1[Firewall-GigabitEthernet0/1] ip binding vpn-instance VPN1[Firewall-GigabitEthernet0/1] ip address 10.110.10.1 24[Firewall-GigabitEthernet0/1] quit[Firewall] interface GigabitEthernet 0/3[Firewall-GigabitEthernet0/3] ip binding vpn-instance VPN2[Firewall-GigabitEthernet0/3] ip address 10.110.11.1 24[Firewall-GigabitEthernet0/3] quit[Firewall] interface gigabitethernet 0/2[Firewall-GigabitEthernet0/2] ip binding vpn-instance VPN3[Firewall-GigabitEthernet0/2] ip address 202.38.1.1 24[Firewall-GigabitEthernet0/2] quit(3)创建安全域,并将接口加入安全域# 创建安全域Trust1,将接口GigabitEthernet0/1加入安全域Trust1。