史上最详细H3C路由器NAT典型配置案例
H3C路由器NAT典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。
1.11 NAT典型配置举例
1.11.1 内网用户通过NAT地址访问外网(静态地址转换)
1. 组网需求
内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。
2. 组网图
图1-5 静态地址转换典型配置组网图
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。
[Router] nat static outbound 10.110.10.8 202.38.1.100
# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat static enable
[Router-GigabitEthernet1/2] quit
4. 验证配置
# 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat static
Static NAT mappings:
There are 1 outbound static NAT mappings.
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Interfaces enabled with static NAT:
There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2
# 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT 会话信息。
[Router] display nat session verbose
Initiator:
Source IP/port: 10.110.10.8/42496
Destination IP/port: 202.38.1.111/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 202.38.1.111/42496
Destination IP/port: 202.38.1.100/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-16 09:30:49 TTL: 27s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes
Total sessions found: 1
1.11.2 内网用户通过NAT地址访问外网(地址不重叠)
1. 组网需求
·某公司内网使用的IP地址为192.168.0.0/16。
·该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。需要实现,内部网络中192.168.1.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。
2. 组网图
图1-6 内网用户通过NAT访问外网(地址不重叠)
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 配置地址组0,包含两个外网地址202.38.1.2和202.38.1.3。
[Router] nat address-group 0
[Router-nat-address-group-0] address 202.38.1.2 202.38.1.3 [Router-nat-address-group-0] quit
# 配置ACL 2000,仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 0
[Router-GigabitEthernet1/2] quit
4. 验证配置
以上配置完成后,Host A能够访问,Host B和Host C无法访问。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 1 NAT address groups.
Group Number Start Address End Address
0 202.38.1.2 202.38.1.3
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 0 Port-preserved: N NO-PAT: N Reversible: N
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host A访问时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.10/52992
Destination IP/port: 200.1.1.10/2048
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
Responder:
Source IP/port: 200.1.1.10/4
Destination IP/port: 202.38.1.3/0
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: ICMP(1)
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-15 14:53:29 TTL: 12s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 1 packets 84 bytes Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1
1.11.3 内网用户通过NAT地址访问外网(地址重叠)
1. 组网需求
·某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。
·该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。需要实现,内网用户可以通过域名访问外网的Web服务器。
2. 组网图
图1-7 内网用户通过NAT访问外网(地址重叠)
3. 配置思路
这是一个典型的双向NAT应用,具体配置思路如下。
·内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需要通过DNS ALG功能实现。
·内网主机得到外网Web服务器的IP地址之后(该地址为临时分配的NAT地址),通过该地址访问外网Web服务器。由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。
·外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS的NAT ALG功能。
[Router] nat alg dns
# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员202.38.1.2。
[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2 [Router-nat-address-group-1] quit
# 创建地址组2。
[Router] nat address-group 2
# 添加地址组成员202.38.1.3。
[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-2] quit
# 在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以与允许反向地址转换。[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat inbound 2000 address-group 1 no-pat reversible
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。
[Router-GigabitEthernet1/2] nat outbound 2000 address-group 2
[Router-GigabitEthernet1/2] quit
# 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet1/2,下一跳地址为20.2.2.2(20.2.2.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。[Router] ip route-static 202.38.1.2 32 gigabitethernet 1/2 20.2.2.2
5. 验证配置
以上配置完成后,Host A能够通过域名访问Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 2 NAT address groups.
Group Number Start Address End Address
1 202.38.1.
2 202.38.1.2
2 202.38.1.
3 202.38.1.3
NAT inbound information:
There are 1 NAT inbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 1 Add route: N
NO-PAT: Y Reversible: Y
NAT outbound information:
There are 1 NAT outbound rules.
Interface: GigabitEthernet1/2
ACL: 2000 Address group: 2 Port-preserved: N NO-PAT: N Reversible: N
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host A访问时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: 192.168.1.10/1694
Destination IP/port: 202.38.1.2/8080
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 192.168.1.10/8080
Destination IP/port: 202.38.1.3/1025
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: HTTP
Start time: 2012-08-15 14:53:29 TTL: 3597s
Interface(in) : GigabitEthernet1/1
Interface(out): GigabitEthernet1/2
Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
1.11.4 外网用户通过外网地址访问内网服务器
1. 组网需求
某公司内部对外提供Web、服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1至202.38.1.3三个公网IP地址。需要实现如下功能:
·外部的主机可以访问内部的服务器。
·选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
2. 组网图
图1-8 外网用户通过外网地址访问内网服务器
3. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 进入接口GigabitEthernet1/2。
[Router] interface gigabitethernet 1/2
# 配置内部FTP服务器,允许外网主机使用地址202.38.1.1、端口号21访问内网FTP服务器。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 21 inside 10.110.10.3 ftp
# 配置内部Web服务器1,允许外网主机使用地址202.38.1.1、端口号80访问内网Web服务器1。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 80 inside 10.110.10.1 www
# 配置内部Web服务器2,允许外网主机使用地址202.38.1.1、端口号8080访问内网Web服务器2。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www
# 配置内部SMTP服务器,允许外网主机使用地址202.38.1.1以与SMTP协议定义的端口访问内网SMTP服务器。
[Router-GigabitEthernet1/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp
[Router-GigabitEthernet1/2] quit
4. 验证配置
以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT internal server information:
There are 4 internal servers.
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/21
Local IP/port: 10.110.10.3/21
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/25
Local IP/port: 10.110.10.4/25
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/80
Local IP/port: 10.110.10.1/80
Interface: GigabitEthernet1/2
Protocol: 6(TCP)
Global IP/port: 202.38.1.1/8080
Local IP/port: 10.110.10.2/80
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active: Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent ACL : ---
NAT ALG:
DNS: Enabled
FTP: Enabled
H323: Enabled
ICMP-ERROR: Enabled
# 通过以下显示命令,可以看到Host访问时生成NAT会话信息。[Router] display nat session verbose
Initiator:
Source IP/port: 202.38.1.10/1694
Destination IP/port: 202.38.1.1/21
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Responder:
Source IP/port: 10.110.10.3/21
Destination IP/port: 202.38.1.10/1694
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
State: TCP_ESTABLISHED
Application: time: 2012-08-15 14:53:29 TTL: 3597s Interface(in) : GigabitEthernet1/2
Interface(out): GigabitEthernet1/1
Initiator->Responder: 7 packets 308 bytes Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
1.11.5 外网用户通过域名访问内网服务器(地址不重叠)
1. 组网需求
·某公司内部对外提供Web服务,Web服务器地址为10.110.10.2/24。
·该公司在内网有一台DNS服务器,IP地址为10.110.10.3/24,用于解析Web服务器的域名。
·该公司拥有两个外网IP地址:202.38.1.2和202.38.1.3。需要实现,外网主机可以通过域名访问内网的Web服务器。
2. 组网图
图1-9 外网用户通过域名访问内网服务器(地址不重叠)
3. 配置思路
·外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取Web服务器的IP地址,因此需要通过配置NAT内
部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
· DNS服务器回应给外网主机的DNS报文载荷中携带了Web 服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNS ALG功能实现。
4. 配置步骤
# 按照组网图配置各接口的IP地址,具体配置过程略。
# 开启DNS协议的ALG功能。
[Router] nat alg dns
# 配置ACL 2000,允许对内部网络中10.110.10.2的报文进行地址转换。
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 10.110.10.2 0 [Router-acl-basic-2000] quit
# 创建地址组1。
[Router] nat address-group 1
# 添加地址组成员202.38.1.3。
[Router-nat-address-group-1] address 202.38.1.3 202.38.1.3 [Router-nat-address-group-1] quit
# 在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网DNS服务器。
[Router] interface gigabitethernet 1/2
[Router-GigabitEthernet1/2] nat server protocol udp global 202.38.1.2 inside 10.110.10.3 domain
# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以与允许反向地址转换。[Router-GigabitEthernet1/2] nat outbound 2000 address-group 1 no-pat reversible
[Router-GigabitEthernet1/2] quit
5. 验证配置
以上配置完成后,外网Host能够通过域名访问内网Web server。通过查看如下显示信息,可以验证以上配置成功。
[Router] display nat all
NAT address group information:
There are 1 NAT address groups.
Group Number Start Address End Address
1 202.38.1.3 202.38.1.3
NAT outbound information:
There are 1 NAT outbound rules.
H3C配置案例大全(内部分享)
光纤链路排错经验 一、组网: 用户采用4台S5500作为接入交换机、1台S5500作为核心交换机组网,4台接入交换机分别在三个仓库以及门卫处与核心机房都是通过2根八芯单模光纤走地井连接,在这5个机房再通过跳纤来连接到交换上。用户要求实现内网的用户主机访问公共服务器资源,并实现全网互通。组网如下图所示: 二、问题描述:
PC现无法访问server服务器,进一步发现S5500光纤端口灯不亮,端口信息显示down状态。在核心交换机端通过自环测试发现该端口以及光模块正常,接入交换机端也同样测试发现正常。监控网络正常使用,再将网络接口转接到监控主干链路上,发现网络同样无法正常使用。 三、过程分析: 想要恢复链路,首先要排查出故障点,根据故障点情况结合实际恢复链路通畅。在这里主要分析光纤通路,光信号从接入交换机光口出来通过跳线,转接到主干光纤,然后再通过核心跳线转接到核心交换上。由于该链路不通,首先要排除两端接口以及光模块问题,这里使用自环检测(如果是超远距离传输光纤线缆需要接光衰然后在自环,防止烧坏光模块)。当检测完成发现无问题,再测试接入端的光纤跳纤:如果是多模光纤可以将一端接到多模光纤模块的tx口,检测对端是否有光;单模光纤如果没有光功率计可以使用光电笔检测(该方法只能检测出中间无断路,并不能检测出线路光衰较大的情况)。最后再检测主线路部分,检测方式同跳线一样。光路走向流程如图所示:
四、解决方法: 从上述的分析可以看出,只要保证了光信号一出一收两条路径都能正常就可以解决用户无法访问服务器的问题。为了保证光路正常通路,最好的解决方法就是,通过使用光功率计来检测对端发射光在本端的光功率是否在光口可接受范围内。由于用户组网使用了一些监控设备来接入该主干光缆,并且该光路现正常使用,通过将网络光纤转接到该监控主干光缆,发现网络光路仍然不通;并且两端端口自环检测正常。由此可以判断出主要问题在两端的跳纤上。 如图所示:
H3C策略路由配置及实例
H3C策略路由配置及实例 2010-07-19 09:21 基于策略路由负载分担应用指导介绍 特性简介 目前网吧对网络的可靠性和稳定性要求越来越高,一般网吧与运营商都有两条线路保证一条线路出现故障时能够有另一条链路作为备份。当两条线路都正常时为了减少一条线路流量压力,将流量平均分配到另外一条线路,这样提高了网络速度。当一条链路出现故障接口DOWN掉时,系统自动将流量全部转到另一条线路转发,这样提高了网络的稳定性、可靠性。满足网吧对业务要求不能中断这种需求,确保承载的业务不受影响。 使用指南 使用场合 本特性可以用在双链路的组网环境内,两条链路分担流量。保证了网络的可靠性、稳定性。 配置指南 本指南以18-22-8产品为例,此产品有2个WAN接口。ethernet2/0、ethernet3/0互为备份。 可以通过以下几个配置步骤实现本特性: 1) 配置2个WAN接口是以太链路,本案例中以以太网直连连接方式为例; 2) 配置静态路由,并设置相同的优先级; 3) 配置策略路由将流量平均分配到2条链路上。 2 注意事项 两条路由的优先级相同。 配置策略路由地址为偶数走wan1,地址为奇数走wan2。 策略路由的优先级高于路由表中的优先级。只有策略路由所使用的接口出现down后,路由比表中配置的路由才起作用。 3 配置举例 组网需求 图1为2条链路负载分担的典型组网。 路由器以太网口ETH2/0连接到ISP1,网络地址为142.1.1.0/30,以太网口ETH3/0连接到ISP2,网络地址为162.1.1.0/30;以太网口ETH1/0连接到网吧局域网,私网IP网络地址为192.168.1.0/24。
H3C路由NAT配置
[H3C路由]H3C路由NAT配置 1. 配置地址池 定义一个地址池 nat address-group start-addr end-addr pool-name 删除一个地址池 undo nat address-group pool-name 每个地址池中的地址必须是连续的,每个地址池内最多可定义64 个地址。 需要注意的是:当某个地址池已经和某个访问控制列表关联进行地址转换,是不允 许删除这个地址池的。 2. 配置访问控制列表和地址池关联 增加访问控制列表和地址池关联 nat outbound acl-number address-group pool-name 删除访问控制列表和地址池关联 undo nat outbound acl-number address-group pool-name 缺省情况下,访问控制列表不与任何地址池关联。 3. 配置访问控制列表和接口关联(EASY IP 特性) 增加访问控制列表和接口关联 nat outbound acl-number interface 删除访问控制列表和接口关联 undo nat outbound acl-number interface 缺省情况下,访问控制列表不与任何接口关联。 4. 配置内部服务器 增加一个内部服务器 nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp } 删除一个内部服务器 undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp } 需要注意的是: global-port 和inside-port 只要有一个定义了any,则另一个要么不定义,要么是any。 (1) inside-port 是必须的,可为0 或取值在1~65535 之间的整数。 (2) 若未定义global-port,global-port 的值就等于inside-port 的值。 (3) 在删除某个内部服务器时,若使用global 关键字,还需提供外部地址、端口、 协议信息;若使用了inside 关键字,只需提供内部地址、端口号就可以了。 (4) protocol 目前可为TCP、UDP 和ICMP。 5. 配置地址转换的有效时间 配置地址转换的有效时间
H3C+NAT+配置方法
4.3 NAT的配置 NAT配置包括: 配置地址池 配置Easy IP 配置静态地址转换 配置多对多地址转换 配置NAPT 配置内部服务器 配置地址转换应用层网关 配置内部主机通过域名区分并访问其对应的内部服务器 配置地址转换有效时间 配置最大连接数限制 配置报文匹配方式 配置地址转换表项的老化刷新速度 4.3.1 配置地址池 地址池是一些连续的IP地址集合,当内部数据包通过地址转换到达外部网络时,将会选择地址池中的某个地址作为转换后的源地址。 表4-1 配置地址池 说明: NAT地址池中的地址不应包含公网主机已使用的地址,否则会造成地址冲突。 如果防火墙仅提供Easy IP功能,则不需要配置NAT地址池,直接使用接口地 址作为转换后的IP地址。 当某个地址池已经和某个访问控制列表关联进行地址转换,是不允许删除这个 地址池的。 地址池长度(地址池中包含的所有地址个数)不能超过255个地址。 4.3.2 配置地址转换 将访问控制列表和地址池关联(或接口地址)后,即可实现地址转换。这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址(或接口地址)”。当内部网络有数据包要发往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换关联找到与之对应的地址池(或接口地址)进行转换。不同形式的地址转换,配置方法稍有不同。
1. Easy IP 如果地址转换命令不带address-group 参数,即仅使用nat outbound acl-number 命令,则实现了easy-ip 的特性。地址转换时,直接使用接口的IP 地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。 表4-2 配置Easy IP 2. 使用指定loopback 接口进行地址转换 表4-3 使用指定loopback 接口进行地址转换 匹配访问控制列表的数据报文的源地址将转换为指定的loopback 接口的IP 地址。 3. 配置静态地址转换表 (1) 配置一对一静态地址转换表 表4-4 配置一对一地址转换 (2) 配置静态网段地址转换表 使用静态网段地址转换时,只进行网段地址的转换,而保持主机地址不变。 请在系统视图下进行下列配置。
h3c 路由器nat配置
假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 192.168.1.1 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 192.168.1.0 24 [MSR20-20-dhcp-pool-1]dns-list 202.96.134.133 [MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok! Console登陆认证功能的配置
h3c路由器双出口nat服务器的典型配置
H3C MSR路由器双出口NAT服务器的典型配置 一、需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址()从G5/0访问电信网络,会被电信过滤。该校内网服务器需要对外提供访问,其域名是3c,对应DNS解析结果是。先要求电信主机和校园网内部主机都可以通过域名或正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、拓扑图: 三、配置步骤: 适用设备和版本:MSR系列、Version , Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现;
2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策略; 4) 在G0/0应用2个NAT的作用是使内网可以通过访问访问内部服务器3c,如果只使用NAT Outbound Static,那么内部主机发送HTTP请求的源、目的地址对< 会变成< 然后发送给内部服务器,那么内部服务器会把HTTP响应以源、目的地址对< 直接返回给内部主机(可以经过内部路由不需要经过MSR到达)因此对于内部主机来说始终没有接收到返回的HTTP响应,因此打开网页失败。解决问题的办法就是让内部服务器返回时经过MSR路由器,让MSR 把HTTP响应< 变成< ,方法就是再做一次NAT,通过NAT Outbound ACL 3000使HTTP请求变成MSR发送的< ,这样HTTP响应就会变成< 发送到MSR,MSR再变成< 返回给内部主机。
H3C路由器NAT配置实例
H3C路由器NAT配置实例 H3C路由器NAT配置实例 NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址,而在内部互联时则使用私网地址。当访问Internet 的报文经过NAT网关时,NAT网关会用一个合法的公网地址替换原报文中的源IP地址,并对这种转换进行记录;之后,当报文从Internet侧返回时,NAT网关查找原有的记录,将报文的'目的地址再替换回原来的私网地址,并送回发出请求的主机。这样,在私网侧或公网侧设备看来,这个过程与普通的网络访问并没有任何的区别。 H3C NAT配置: 1、配置静态地址转换: 一对一静态地址转换:[system] nat static ip-addr1 ip-addr2 静态网段地址转换:[system] nat static net-to-net inside-start-address inside-end-address global global-address mask 应用到接口: [interface]nat outbound static 2、多对多地址转换:[interface]nat outbound acl-number address-group group-number no-pat 3、配置NAPT:[interface]nat outbound acl-number [ address-group group-number ] 两个特殊的NAPT: Easy IP: [interface]nat outbound acl-number (转化为接口地址) Lookback:[interface]nat outbound acl-number interface loopback interface-number (转化为loopback地址) 4、双向地址转换:[system]nat overlapaddress number overlappool-startaddress temppool-startaddress { pool-length pool-length | address-mask mask } (需要结合outbound命令) 5、配置内部服务器:[interface]nat server 6、地址转换应用层网关:[system]nat alg (专门针对ftp之类对
史上最详细H3C路由器NAT典型配置案例
神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。
Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网(地址不重叠) 1. 组网需求 ·某公司内网使用的IP地址为。 ·该公司拥有和两个外网IP地址。 需要实现,内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的外网地址为和。 2. 组网图
H3C NAT配置
NAT配置 一、实验目的 掌握Basic NAT的配置方法 掌握NAPT的配置方法 掌握Easy IP的配置方法 掌握NAT Server的配置方法 二、实验描述及组网图 网络迅速发展,IPv4地址不敷使用,为了解决IPv4地址短缺的问题,IETF提出了NAT解决方案。 NAT技术主要作用是将私有地址转换成公有地址。Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及,NAPT采用端口号更能提高公网IP的利用效率,适用与私网作为客户端访问公网服务器的场合;Easy IP配置最为简单,一般用于拨号接入Internet或动态获得IP地址的场合;NAT Server则用于私网对外提供服务,由公网主动向私网设备发起连接的场合。 实验组网如图所示,实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。 PC_A,PC_B位于私网,网关为jiance1。jiance2为NAT设备,有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连,地址池范围是:200.1.1.11~200.1.1.11。公网jiance3上loopback 0是一个公网接口地址,作为公网服务器测试。 三、实验过程 实验任务一:配置Basic NAT 本实验中,实现私网主机PC_A和PC_B访问公网服务器220.1.1.1,通过在jiance2上配置在Basic NAT,动态的为私网主机分配公网地址。 步骤一:搭建实验环境 依照拓扑图搭建实验环境。
步骤二:基本配置 为PC_A配置IP地址为192.168.1.100/24,网关为192.168.1.1;配置PC_B的IP 地址为192.168.2.100/24,网关为192.168.2.1;为jiance1,jiance2,jiance3各接口配置IP地址,并且确认各设备间直连网络能相互ping通。IP地址配完后在jiance1, jiance2静态配置私网内各网段的路由及默认路由,确保PC_A,PC_B能ping通200.1.1.1。为了对去往服务器的数据包提供路由,还需要在出口路由器jiance2上配置一条静态路由,指向JIANCE3。配置如下: jiance1: [jiance1]interface Ethernet 0/0 [jiance1-Ethernet0/0]ip address 192.168.1.1 24 [jiance1]interface Ethernet 0/1 [jiance1-Ethernet0/1]ip address 192.168.2.1 24 [jiance1]interface Serial 1/0 [jiance1-Serial1/0]ip address 10.2.1.1 24 [jiance1]ip route-static 0.0.0.0 0 10.2.1.2 jiance2: [jiance2]interface Serial 1/0 [jiance2-Serial1/0]ip address 10.2.1.2 24 [jiance2]interface Ethernet 0/0 [jiance2-Ethernet0/0]ip address 200.1.1.1 24 [jiance2]ip route-static 192.168.0.0 16 10.2.1.1 [jiance2]ip route-static 0.0.0.0 0 200.1.1.2 jiance3: [jiance3]interface Ethernet 0/0 [jiance3-Ethernet0/0]ip address 200.1.1.2 24 [jiance3-Ethernet0/0]quit [jiance3]interface LoopBack 0 [jiance3-LoopBack0]ip address 220.1.1.1 32 [jiance3-LoopBack0]quit [jiance3]ip route-static 200.1.1.0 24 200.1.1.1 在PC_A上ping JIANCE2公网的出口地址200.1.1.1: C:\Documents and Settings\jiance_pca>ping 200.1.1.1 Pinging 200.1.1.1 with 32 bytes of data: Reply from 200.1.1.1: bytes=32 time=20ms TTL=254 Reply from 200.1.1.1: bytes=32 time=20ms TTL=254 Reply from 200.1.1.1: bytes=32 time=20ms TTL=254 Reply from 200.1.1.1: bytes=32 time=20ms TTL=254 Ping statistics for 200.1.1.1: Packets: Sent = 4, Received = 4, Lost = 0 (0% looss) Approximate round trip times in milli-seconds: Minimum = 20ms, Maximum = 20ms, Average = 20ms
H3C-路由器双出口NAT服务器的典型配置
H3C- 路由器双出口NAT服务器的典型配置 在公司或者组织中,我们通常需要一个网络管理工具,这个工具可以管理和监控网络中的所有设备,保证网络的安全和稳定性。其中,路由器双出口NAT服务器是一种非常常见的网络管理工具。本文将介绍 H3C 路由器双出口 NAT 服务器的典型配置方法。 前置条件 在进行配置之前,需要确保以下条件: •路由器需要复位为出厂设置状态。 •电脑需要连接到路由器的任意一口网卡上。 •管理员需要知道所需配置的类型和参数。 网络环境 在这里,我们假设 LAN 网段为 192.168.1.0/24,WAN1 网卡 IP 地址为 10.0.0.1/24,WAN2 网卡 IP 地址为 20.0.0.1/24。 配置步骤 步骤1 分别配置两个 WAN 口 •登录到 H3C 路由器上,使用管理员权限。 •分别进入 WAN1 和 WAN2 的配置页面,输入以下指令: interface GigabitEthernet 0/0/0 undo portswitch ip address 10.0.0.1 24 nat server protocol tcp global current-interface 80 inside 192.168. 1.10 80 region member CN interface GigabitEthernet 0/0/1 undo portswitch ip address 20.0.0.1 24 nat server protocol tcp global current-interface 80 inside 192.168. 1.10 80 region member CN 步骤2 配置路由策略 •在路由器上进入配置模式,输入以下指令:
H3C路由NAT地址转换典型配置举例
H3C路由NAT地址转换典型配置举例 地址转换典型配置举例 1. 公司内部服务器通过地址转换后访问Internet (1) 组网需求 一个公司通过路由器的地址转换后连接到广域网。要求该公司能够通过路由器的串口S0 访问Internet,公司内部对外提供WWW、FTP 和SMTP 服务,而且提供两台WWW服务器。公司内部网址为 10.110.0.0/16。公司有202.38.160.101~202.38.160.103 三个合法的公网IP 地址。内部FTP 服务器地址为10.110.10.1,使用202.38.160.101 的公网地址,内部WWW服务器1 地 址为10.110.10.2;内部WWW服务器2 的地址为10.110.10.3,采用8080 端口,两台WWW 服务器都使用202.38.160.102 的公网地址。内部SMTP 服务器地址为10.110.10.4,并希望可对外提供统一的服务器的IP 地址,使用202.38.160.103 的公网地址。公网地址内部10.110.10.0/24 网段的PC 机可访问Internet,其它网段的PC 机则不能访问Internet。外部PC 机可以访问内部的服务器。 (3) 配置步骤 # 配置地址池和地址列表 [Router] nat address-group 202.38.160.101 202.38.160.103 pool1 [Router] acl 2000 [Router-acl-2000]rule permit source 10.110.10.0 0.0.0.255 # 允许10.110.10.0/24 的网段进行地址转换
史上最详细H3C路由器NAT典型配置案例
史上最详细H3C路由器NAT典型配置案例 等网络工程师日常实施运维必备,你懂的。CCIE,H3CIE,HCIE神马 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址,具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 使配置的静态地址转换在接口GigabitEthernet1/2上生效。[Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4. 验证配置 # 以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。 [Router] display nat static Static NAT mappings: There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令,可以看到Host访问某外网服务器时生成
H3C路由器配置实例
[MSR20-20]aclnumber3000 [MSR20-20-acl-adv-3000]rule0permitip 4、配置外网接口( Ethernet0/1 ) [MSR20-20]interfaceEthernet0/1 [MSR20-20-Ethernet0/1]ipadd 公网IP [MSR20-20-Ethernet0/1]natoutbound3000address-group15.加默缺省路由 [MSR20-20]route-stac 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关.ok!
Console登陆认证功能的配置 要点词:MSR;console; 一、组网需求: 要求用户从console登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。 二、组网图:
三、配置步骤: 设备和版本:MSR系列、version,R1508P02 RTA要点配置脚本 # 3c3c 3c3c 3c3c
rule1deny # interfaceGigabitEthernet0/0 portlink-moderoute 四、配置要点点: 1)地址池要连续;
2)在出接口做变换; 3)默认路由一般要配置。 DHCPSERVER功能的配置 要点字:MSR;DHCP;基础配置 一、组网需求: MSR1作为DHCP服务器为网段中的客户端动向分配IP地址, 该地址池网段分为两个子网网段:和。路由器的两个以太网接口G0/0和G0/1 的地址分别为和。网段内的地址租用限时为10天12小时,域名为3c,DNS服务器地址为,NBNS 服务器地址为,出口网关的地址为。网段内的地址租用限时为5天,域名为3c,DNS服务器地址为,无NBNS服务器地址,出口网关的地址为。 设备清单:PC两台、MSR系列路由器1台 二、组网图: 三、配置步骤: 适用设备和版本:MSR系列、Version,Release1508P02 MSR1配置 # mask domain-name3c #
H3CMSR路由器PPPOENAT策略路由QOS配置实例
H3C MSR 路由器PPPOE+NAT+ 策略路由+QOS 配置实例[H3C]display current-configuration # version 5.20, Release 1719, Basic # sysname H3C # undo cryptoengine enable # firewall enable # domain default enable system # telnet server enable # qos carl 1 destination-ip-address range 192.168.3.2 to 192.168.3.254 per-addres s qos carl 2 source-ip-address range 192.168.3.2 to 192.168.3.254 per-address qos carl 3 destination-ip-address range 192.168.2.1 to 192.168.2.254 per-addres s qos carl 10 source-ip-address subnet 192.168.3.0 24 per-address qos carl 20 destination-ip-address subnet 192.168.3.0 24 per-address # acl number 2000 rule 0 permit source 192.168.3.0 0.0.0.255 acl number 2222 rule 0 permit source 192.168.3.0 0.0.0.255 rule 5 permit source 192.168.2.0 0.0.0.255 # acl number 3001 rule 0 permit ip source 192.168.3.1 0.0.0.254 acl number 3002 rule 0 permit ip source 10.0.1.1 0.0.0.254 acl number 3111 rule 0 permit ip source 192.168.3.0 0.0.0.254 acl number 3112 rule 0 permit ip source 192.168.3.1 0.0.0.254 acl number 3113 rule 0 permit ip destination 192.168.2.0 0.0.0.255 acl number 3114 rule 5 permit ip source 192.168.3.180 0.0.0.3 acl number 3333 # vlan 1
H3C-Secpath-1000F防火墙-IPsec-VPN-NAT穿越模板方式-典型配置
H3C-Secpath-1000F防火墙-IPsec-VPN-NAT穿越模板方式-典型配置
H3C Secpath 1000F防火墙 IPsec VPN NAT穿越模板 方式典型配置 一、组网需求 1. 实现武汉和北京两个私网的互通。 2. 北京总部必须是静 态地址,武汉分部可以是动态获得也可以是静态配置,为私网地址,去 Internet 需经过 ISP 的 NAT 网关。 3. 要求私网两个网段之间的数据流量采用 IPSEC 隧道加密传输。二、组网图三、典型配置防火墙 Secpath 100F最终配置 wuhan dis cu # sysname wuhan # ike local-name wuhan # firewall packet-fi 一、组网需求 1.实现武汉和北京两个私网的互通。 2.北京总部必须是静态地址,武汉分部可以是动态获得也可以是静态配置, 为私网地址,去Internet需经过ISP的NAT网关。 3.要求私网两个网段之间的数据流量采用IPSEC隧道加密传输。 二、组网图 三、典型配置 防火墙Secpath 100F最终配置
interface Ethernet1/0 # interface Ethernet1/1 # interface Ethernet1/2 # interface NULL0 # interface LoopBack0 ip address 10.1.2.1 255.255.255.0 # firewall zone local set priority 100 # firewall zone trust add interface Ethernet0/0 set priority 85 # firewall zone untrust set priority 5 # firewall zone DMZ set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local DMZ # firewall interzone trust untrust # firewall interzone trust DMZ # firewall interzone DMZ untrust # ip route-static 0.0.0.0 0.0.0.0 172.16.1.2 preference 60 # user-interface con 0 user-interface aux 0 user-interface vty 0 4 # return
史上最详细HC路由器NAT典型配置案例
史上最详细H C路由器 N A T典型配置案例 Last updated on the afternoon of January 3, 2021
H3C路由器N A T典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网(静态地址转换) 1.组网需求 内部网络用户使用外网地址访问Internet。 2.组网图 图1-5?静态地址转换典型配置组网图 3.配置步骤 #按照组网图配置各接口的IP地址,具体配置过程略。 #配置内网IP地址到外网地址之间的一对一静态地址转换映射。