ImageVerifierCode 换一换
格式:DOCX , 页数:25 ,大小:202.34KB ,
资源ID:12947555      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bingdoc.com/d-12947555.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(史上最详细H3C路由器NAT典型配置案例.docx)为本站会员(b****6)主动上传,冰点文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰点文库(发送邮件至service@bingdoc.com或直接QQ联系客服),我们立即给予删除!

史上最详细H3C路由器NAT典型配置案例.docx

1、史上最详细H3C路由器NAT典型配置案例神马CCIE, H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。NAT典型配置举例内网用户通过 NAT地址访问外网(静态地址转换)1.组网需求内部网络用户使用外网地址访问 In ternet 。2.组网图图1-5 静态地址转换典型配置组网图3.配置步骤#按照组网图配置各接口的 IP地址,具体配置过程略。#配置内网IP地址到外网地址之间的一对一静态地址转换映射。 system-viewRouter nat static outbou nd 使配置的静态地址转换在接口 GigabitEthernet1/2生效。Router in terface g

2、igabitether net 1/2Router-GigabitEthernet1/2 nat static en ableRouter-GigabitEthernet1/2 quit4.验证配置#以上配置完成后,内网主机可以访问外网服务器。通过查看如下显示信息,可以验证以上配置成功。Router display nat staticStatic NAT mapp in gs:There are 1 outbo und static NAT mapp in gs.IP-to-IP:Local IP : Global IP :In terfaces en abled with static N

3、AT:There are 1 in terfaces en abled with static NAT.In terface: GigabitEthernet1/2Total sessi ons found: 1内网用户通过 NAT地址访问外网(地址不重叠)1.组网需求某公司内网使用的IP地址为。该公司拥有和两个外网 IP地址。需要实现,内部网络中网段的用户可以访问 In ternet ,其它网段的用户不能访问 In ternet使用的外网地址为和。2.组网图图1-6 内网用户通过 NAT访问外网(地址不重叠)3.配置步骤#按照组网图配置各接口的 IP地址,具体配置过程略。#配置地址组0,包含

4、两个外网地址和。 system-viewRouter nat address-group 0Router- nat-address-group-0 address quit#配置ACL 2000,仅允许对内部网络中网段的用户报文进行地址转换。Router acl number 2000Router-acl-basic-2000 rule permit source quit0中的地址对WWW serve。#在接口 GigabitEthernet1/2 上配置出方向动态地址转换,允许使用地址组匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。Router in terface

5、 gigabitether net 1/2Router-GigabitEthernet1/2 nat outbou nd 2000 address-group 0Router-GigabitEthernet1/2 quit4.验证配置以上配置完成后, Host A能够访问 WWW server, Host B和Host C无法访问通过查看如下显示信息,可以验证以上配置成功。Router display nat allNAT address group in formati on:There are 1 NAT address groups.Group Number Start Address

6、End Address0NAT outbo und in formati on:There are 1 NAT outbo und rules.In terface: GigabitEthernet1/2NO-PAT: N Reversible: NNAT loggi ng:Log en able : DisabledFlow-begin : DisabledFlow-e nd : DisabledFlow-active: DisabledNAT mapp ing behavior:Mapp ing mode: Address and Port-Depe ndentACL :-NAT ALG:

7、DNS: En abledFTP: En abledH323: En abledICMP-ERROR: En abled# 通过以下显示命令,可以看到 Host A访问 WWW server时生成NAT会话信息。Router display nat sessi on verboseIn itiator:SourceIP/po 比Dest in ati onIP/port:VPN in sta nce/VLANID/VLLID: -/-/Protocol: ICMP(1)Resp on der:SourceIP/po 比Dest in ati onIP/port:VPN in sta nce/V

8、LANID/VLLID: -/-/Protocol: ICMP(1)State: ICMP_REPLYApplicatio n: INVALIDStart time: 2012-08-15 14:53:29TTL: 12sInterface(in): GigabitEthernet1/1In terface(out): GigabitEthernet1/2In itiator-Resp on der:1 packets84 bytesResp onder-ln itiator:1 packets84 bytesTotal sessi ons found: 1内网用户通过NAT地址访问外网(地址

9、重叠)1.组网需求某公司内网网段地址为,该网段与要访问的外网 Web服务器所在网段地址重叠。该公司拥有和两个外网 IP地址。需要实现,内网用户可以通过域名访问外网的 Web服务器。2.组网图图1-7 内网用户通过NAT访问外网(地址重叠)3.配置思路这是一个典型的双向 NAT应用,具体配置思路如下。内网主机通过域名访问外网 Web服务器时,首先需要向外网的 DNS服务器发起DNS查询请求。由于外网DNS服务器回复给内网主机的 DNS应答报文载荷中的携带的 Web服务器地址与内网主机地址重叠, 因此NAT设备需要将载荷中的 Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方

10、向动态地址转换实现, 载荷中的地址转换需要通过DNS ALG功能实现。通过该地址访问外网 Web服务器。由于内网主机的地址与外网 Web服务器的真实地址重叠,因此也需要为其动态分配一个的 NAT地址,可以通过出方向动态地址转换实现。 外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由,使得目的地址为外网服务器 NAT地址的报文出接口为 GigabitEthernet1/2 。4.配置步骤#按照组网图配置各接口的 IP地址,具体配置过程略。#开启DNS的NAT ALG功能。 system-viewRouter nat alg dns#配置ACL 2000,仅允许对网

11、段的用户报文进行地址转换。Router acl number 2000Router-acl-basic-2000 rule permit source quit#创建地址组1。Router nat address-group 1#添加地址组成员。Router- nat-address-group-1 address quit#创建地址组2。Router nat address-group 2#添加地址组成员。Router- nat-address-group-2 address quit#在接口 GigabitEthernet1/2 上配置入方向动态地址转换, 允许使用地址组1中的地址对DNS

12、应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。Router in terface gigabitether net 1/2 Router-GigabitEther net1/2 nat inbound 2000 address-group 1 no-pat reversible#在接口 GigabitEthernet1/2 上配置出方向动态地址转换,允许使用地址组2中的地址对 内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。Router-GigabitEthernet1/2 nat outbou nd 2000 address-group

13、2 Router-GigabitEthernet1/2 quit# 配置静态路由,目的地址为外网服务器 NAT地址,出接口为 GigabitEthernet1/2 ,下一 跳地址为(为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。验证配置Router ip route-static 32 gigabitethernet 1/2以上配置完成后, Host A能够通过域名访问 Web server。通过查看如下显示信息,可以验证以上配置成功。Router display nat allNAT address group in formati on:There are 2 NAT add

14、ress groups.NAT outbo und in formatio n:There are 1 NAT outbo und rules.NAT loggi ng:Log en able : DisabledFlow-begin : DisabledFlow-e nd : DisabledFlow-active: DisabledNAT mapp ing behavior:Mapp ing mode: Address and Port-Depe ndentACL :-NAT ALG:DNS: En abledFTP: En abledH323: En abledICMP-ERROR: E

15、n abled# 通过以下显示命令,可以看到 Host A访问 WWW server时生成NAT会话信息。Router display nat sessi on verboseIn itiator:SourceIP/po 比Dest in ati onIP/port:VPN in sta nce/VLANID/VLLID: -/-/Protocol: TCP(6)Resp on der:SourceIP/po 比Dest in ati onIP/port:VPN in sta nce/VLANID/VLLID: -/-/Protocol: TCP(6)State: TCP_ESTABLISHE

16、DApplicati on: HTTPInterface(in): GigabitEthernet1/1In terface(out): GigabitEthernet1/2In itiator-Resp on der: 7 packets 308 bytesResp onder-ln itiator: 5 packets 312 bytesTotal sessi ons found: 1外网用户通过外网地址访问内网服务器1.组网需求某公司内部对外提供 Web FTP和SMTP服务,而且提供两台 Web服务器。公司内部网址为。其中,内部FTP服务器地址为,内部 Web服务器1的IP地址为,内部

17、 Web服务器2的IP地址为,内部SMTP服务器IP地址为。公司拥有至三个公网 IP地址。需要实现如下功能:外部的主机可以访问内部的服务器。选用作为公司对外提供服务的 IP地址,Web服务器2对外采用8080端口。2.组网图图1-8 外网用户通过外网地址访问内网服务器3.配置步骤#按照组网图配置各接口的 IP地址,具体配置过程略。#进入接口 GigabitEthernet1/2 。 system-viewRouter in terface gigabitether net 1/2#配置内部FTP服务器,允许外网主机使用地址、端口号 21访问内网FTP服务器。Router-GigabitEthe

18、r net1/2 nat server protocol tcp global 21 in side ftp#配置内部 Web服务器1,允许外网主机使用地址、端口号 80访问内网 Web服务器1。Router-GigabitEthernet1/2 nat server protocol tcp global 80 in side www#配置内部 Web服务器2,允许外网主机使用地址、端口号 8080访问内网 Web服务器2。Router-GigabitEthernet1/2 nat server protocol tcp global 8080 in side www#配置内部SMTP服务器

19、,允许外网主机使用地址以及 SMTP协议定义的端口访问内网 SMTP服务器。Router-GigabitEther net1/2 nat server protocol tcp global smtp in side smtpRouter-GigabitEthernet1/2 quit4. 验证配置以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。通过查看如下显示信息,可以验证以上配置成功。Router display nat allNAT in ternal server in formatio n: There are 4 internal servers.In terfac

20、e: GigabitEthernet1/2Protocol: 6(TCP)Global IP/po rt:In terface: GigabitEthernet1/2Protocol: 6(TCP)Global IP/po rt:In terface: GigabitEthernet1/2Protocol: 6(TCP)Global IP/po rt:In terface: GigabitEthernet1/2Protocol: 6(TCP)Global IP/po rt:NAT loggi ng:Log en able : DisabledFlow-begin : DisabledFlow-

21、e nd : DisabledFlow-active: DisabledLocal IP/port:Local IP/port:Local IP/port:Local IP/port:NAT mapp ing behavior:Mapp ing mode: Address and Port-Depe ndentACL :-NAT ALG:DNS: En abledFTP: En abledH323: En abledICMP-ERROR: En abled#通过以下显示命令,可以看到Router display nat sessi on verboseIn itiator:Source IP/

22、port:ID: -/-/Protocol: TCP(6)Resp on der:Source IP/port:ID: -/-/Protocol: TCP(6)State: TCP_ESTABLISHEDApplicatio n: FTPStart time: 2012-08-15 14:53:29In terface(i n) : GigabitEthernet1/2In terface(out): GigabitEthernet1/1In itiator-Resp on der:Resp on der- ln itiator:Host访问FTP server时生成Desti nati on

23、 IP/port:Desti nati on IP/port:TTL: 3597s7 packets5 packetsTotal sessi ons found: 1NAT会话信息。VPN in sta nce/VLAN ID/VLLVPN in sta nce/VLAN ID/VLL308 bytes312 bytes外网用户通过域名访问内网服务器(地址不重叠)1.组网需求2.3.组网图图1-9 外网用户通过域名访问内网服务器(地址不重叠)4.配置思路外网主机通过域名访问 Web服务器,首先需要通过访问内网 DNS服务器获取Web服务器的IP地址,因此需要通过配置 NAT内部服务器将DNS服

24、务器的内网IP地址和DNS 服务端口映射为一个外网地址和端口。DNS服务器回应给外网主机的 DNS报文载荷中携带了 Web服务器的内网IP地址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。外网地址分配可以 通过出方向动态地址转换功能实现,转换载荷信息可以通过 DNS ALG功能实现。5.配置步骤#按照组网图配置各接口的 IP地址,具体配置过程略。#开启DNS协议的ALG功能。 system-viewRouter nat alg dns#配置ACL 2000,允许对内部网络中的报文进行地址转换。Router acl number 2000Router-acl-basic-20

25、00 rule permit source 0Router-acl-basic-2000 quit #创建地址组1。Router nat address-group 1 #添加地址组成员。Router- nat-address-group-1 address quit# 在接口 GigabitEthernet1/2 上配置NAT内部服务器,允许外网主机使用地址访问内网 DNS服务器。Router in terface gigabitether net 1/2Router-GigabitEther net1/2 nat server protocol udp global in side dom

26、a in#在接口 GigabitEthernet1/2 上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向 地址转换。Router-GigabitEther net1/2 nat outbo und 2000 address-group 1 no-pat reversibleRouter-GigabitEthernet1/2 quit6.验证配置以上配置完成后,外网 Host能够通过域名访问内网 Web server。通过查看如下显示信息,可以验证以上配置成功。Router display nat allNAT

27、 address group in formati on:There are 1 NAT address groups.Group Number Start Address End Address1NAT outbo und in formati on:There are 1 NAT outbo und rules.In terface: GigabitEthernet1/2ACL: 2000 Address group: 1 Port-preserved: NNO-PAT: Y Reversible: YNAT in ternal server in formatio n:There are

28、 1 in ternal servers.In terface: GigabitEthernet1/2Protocol: 17(UDP)Global IP/port: Local IP/port:NAT loggi ng:Log en able : DisabledFlow-begin : DisabledFlow-e nd : DisabledFlow-active: DisabledNAT mapp ing behavior:Mapp ing mode: Address and Port-Depe ndentACL :-NAT ALG:DNS: En abledFTP: En abledH

29、323 : EnabledICMP-ERROR: En abled# 通过以下显示命令,可以看到 Host访问Web server时生成NAT会话信息。Router display nat sessi on verboseIn itiator:SourceIP/po 比Dest in ati onIP/port:VPN in sta nce/VLANID/VLLID: -/-/Protocol: TCP(6)Resp on der:SourceIP/po 比Dest in ati onIP/port:VPN in sta nce/VLANID/VLLID: -/-/-Protocol: TCP(6)State: TCP ESTABLISHEDApplicati on: HTTPTTL: 3597sStart time: 2012-08-15 14:53:29In terface(i n) : GigabitEthernet1/2In terface(out): GigabitEthernet1/1Total sessi ons found: 1外网用户通过域名访问内网服务器(地址重叠)1.组网需求2.某公司内网使用的IP地址为。1-10 外网用户通过域名访问内网服务器(地址重叠)这是一个典型

copyright@ 2008-2023 冰点文库 网站版权所有

经营许可证编号:鄂ICP备19020893号-2