史上最详细H3C路由器NAT典型配置案例.docx
《史上最详细H3C路由器NAT典型配置案例.docx》由会员分享,可在线阅读,更多相关《史上最详细H3C路由器NAT典型配置案例.docx(25页珍藏版)》请在冰点文库上搜索。
史上最详细H3C路由器NAT典型配置案例
神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。
NAT典型配置举例
内网用户通过NAT地址访问外网(静态地址转换)
1.组网需求
内部网络用户使用外网地址访问Internet。
2.组网图
图1-5静态地址转换典型配置组网图
3.配置步骤
#按照组网图配置各接口的IP地址,具体配置过程略。
#配置内网IP地址到外网地址之间的一对一静态地址转换映射。
system-view
[Router]natstaticoutbound使配置的静态地址转换在接口GigabitEthernet1/2
生效。
[Router]interfacegigabitethernet1/2
[Router-GigabitEthernet1/2]natstaticenable
[Router-GigabitEthernet1/2]quit
4.验证配置
#以上配置完成后,内网主机可以访问外网服务器。
通过查看如下显示信息,可以验证以
上配置成功。
[Router]displaynatstatic
StaticNATmappings:
Thereare1outboundstaticNATmappings.
IP-to-IP:
LocalIP:
GlobalIP:
InterfacesenabledwithstaticNAT:
Thereare1interfacesenabledwithstaticNAT.
Interface:
GigabitEthernet1/2
Totalsessionsfound:
1
内网用户通过NAT地址访问外网(地址不重叠)
1.组网需求
•某公司内网使用的IP地址为。
•该公司拥有和两个外网IP地址。
需要实现,内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet
使用的外网地址为和。
2.组网图
图1-6内网用户通过NAT访问外网(地址不重叠)
3.配置步骤
#按照组网图配置各接口的IP地址,具体配置过程略。
#配置地址组0,包含两个外网地址和。
system-view
[Router]nataddress-group0
[Router-nat-address-group-0]addressquit
#配置ACL2000,仅允许对内部网络中网段的用户报文进行地址转换。
[Router]aclnumber2000
[Router-acl-basic-2000]rulepermitsourcequit
0中的地址对
WWWserve。
#在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组
匹配ACL2000的报文进行源地址转换,并在转换过程中使用端口信息。
[Router]interfacegigabitethernet1/2
[Router-GigabitEthernet1/2]natoutbound2000address-group0
[Router-GigabitEthernet1/2]quit
4.验证配置
以上配置完成后,HostA能够访问WWWserver,HostB和HostC无法访问
通过查看如下显示信息,可以验证以上配置成功。
[Router]displaynatall
NATaddressgroupinformation:
Thereare1NATaddressgroups.
GroupNumberStartAddressEndAddress
0
NAToutboundinformation:
Thereare1NAToutboundrules.
Interface:
GigabitEthernet1/2
NO-PAT:
NReversible:
N
NATlogging:
Logenable:
Disabled
Flow-begin:
Disabled
Flow-end:
Disabled
Flow-active:
Disabled
NATmappingbehavior:
Mappingmode:
AddressandPort-Dependent
ACL:
---
NATALG:
DNS:
Enabled
FTP:
Enabled
H323:
Enabled
ICMP-ERROR:
Enabled
#通过以下显示命令,可以看到HostA访问WWWserver时生成NAT会话信息。
[Router]displaynatsessionverbose
Initiator:
Source
IP/po比
Destination
IP/port:
VPNinstance/VLAN
ID/VLL
ID:
-/-/
Protocol:
ICMP
(1)
Responder:
Source
IP/po比
Destination
IP/port:
VPNinstance/VLAN
ID/VLL
ID:
-/-/
Protocol:
ICMP
(1)
State:
ICMP_REPLY
Application:
INVALID
Starttime:
2012-08-1514:
53:
29
TTL:
12s
Interface(in):
GigabitEthernet1/1
Interface(out):
GigabitEthernet1/2
Initiator->Responder:
1packets
84bytes
Responder->lnitiator:
1packets
84bytes
Totalsessionsfound:
1
内网用户通过NAT地址访问外网
(地址重叠)
1.组网需求
•某公司内网网段地址为,该网段与要访问的外网Web服务器所在网段地址重
叠。
•该公司拥有和两个外网IP地址。
需要实现,内网用户可以通过域名访问外网的Web服务器。
2.组网图
图1-7内网用户通过NAT访问外网(地址重叠)
3.配置思路
这是一个典型的双向NAT应用,具体配置思路如下。
•内网主机通过域名访问外网Web服务器时,首先需要向外网的DNS服务器发起
DNS查询请求。
由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服
务器地址与内网主机地址重叠,因此NAT设备需要将载荷中的Web服务器地址转换为动态分
配的一个NAT地址。
动态地址分配可以通过入方向动态地址转换实现,载荷中的地址转换需
要通过DNSALG功能实现。
通过该地址访问外网Web服务器。
由于内网主机的地址与外网Web服务器的真实地址重叠,
因此也需要为其动态分配一个的NAT地址,可以通过出方向动态地址转换实现。
•外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静
态路由,使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。
4.配置步骤
#按照组网图配置各接口的IP地址,具体配置过程略。
#开启DNS的NATALG功能。
system-view
[Router]natalgdns
#配置ACL2000,仅允许对网段的用户报文进行地址转换。
[Router]aclnumber2000
[Router-acl-basic-2000]rulepermitsourcequit
#创建地址组1。
[Router]nataddress-group1
#添加地址组成员。
[Router-nat-address-group-1]addressquit
#创建地址组2。
[Router]nataddress-group2
#添加地址组成员。
[Router-nat-address-group-2]addressquit
#在接口GigabitEthernet1/2上配置入方向动态地址转换,允许使用地址组1中的地址对
DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向
地址转换。
[Router]interfacegigabitethernet1/2[Router-GigabitEthernet1/2]natinbound2000address-group1no-patreversible
#在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。
[Router-GigabitEthernet1/2]natoutbound2000address-group2[Router-GigabitEthernet1/2]quit
#配置静态路由,目的地址为外网服务器NAT地址,出接口为GigabitEthernet1/2,下一跳地址为(为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)。
验证配置
[Router]iproute-static32gigabitethernet1/2
以上配置完成后,HostA能够通过域名访问Webserver。
通过查看如下显示信息,可以验
证以上配置成功。
[Router]displaynatall
NATaddressgroupinformation:
Thereare2NATaddressgroups.
NAToutboundinformation:
Thereare1NAToutboundrules.
NATlogging:
Logenable:
Disabled
Flow-begin:
Disabled
Flow-end:
Disabled
Flow-active:
Disabled
NATmappingbehavior:
Mappingmode:
AddressandPort-Dependent
ACL:
---
NATALG:
DNS:
Enabled
FTP:
Enabled
H323:
Enabled
ICMP-ERROR:
Enabled
#通过以下显示命令,可以看到HostA访问WWWserver时生成NAT会话信息。
[Router]displaynatsessionverbose
Initiator:
Source
IP/po比
Destination
IP/port:
VPNinstance/VLAN
ID/VLL
ID:
-/-/
Protocol:
TCP(6)
Responder:
Source
IP/po比
Destination
IP/port:
VPNinstance/VLAN
ID/VLL
ID:
-/-/
Protocol:
TCP(6)
State:
TCP_ESTABLISHED
Application:
HTTP
Interface(in):
GigabitEthernet1/1
Interface(out):
GigabitEthernet1/2
Initiator->Responder:
7packets308bytes
Responder->lnitiator:
5packets312bytes
Totalsessionsfound:
1
外网用户通过外网地址访问内网服务器
1.组网需求
某公司内部对外提供WebFTP和SMTP服务,而且提供两台Web服务器。
公司内部网址为。
其中,内部FTP服务器地址为,内部Web服务器1的IP地址为,内部Web服务器2的IP
地址为,内部SMTP服务器IP地址为。
公司拥有至三个公网IP地址。
需要实现如下功能:
•外部的主机可以访问内部的服务器。
•选用作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
2.组网图
图1-8外网用户通过外网地址访问内网服务器
3.配置步骤
#按照组网图配置各接口的IP地址,具体配置过程略。
#进入接口GigabitEthernet1/2。
system-view
[Router]interfacegigabitethernet1/2
#配置内部FTP服务器,允许外网主机使用地址、端口号21访问内网FTP服务器。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal21insideftp
#配置内部Web服务器1,允许外网主机使用地址、端口号80访问内网Web服务器1。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal80insidewww
#配置内部Web服务器2,允许外网主机使用地址、端口号8080访问内网Web服务器2。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal8080insidewww
#配置内部SMTP服务器,允许外网主机使用地址以及SMTP协议定义的端口访问内网SMTP
服务器。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobalsmtpinsidesmtp
[Router-GigabitEthernet1/2]quit
4.验证配置
以上配置完成后,外网Host能够通过NAT地址访问各内网服务器。
通过查看如下显示信息,
可以验证以上配置成功。
[Router]displaynatall
NATinternalserverinformation:
Thereare4internalservers.
Interface:
GigabitEthernet1/2
Protocol:
6(TCP)
GlobalIP/port:
Interface:
GigabitEthernet1/2
Protocol:
6(TCP)
GlobalIP/port:
Interface:
GigabitEthernet1/2
Protocol:
6(TCP)
GlobalIP/port:
Interface:
GigabitEthernet1/2
Protocol:
6(TCP)
GlobalIP/port:
NATlogging:
Logenable:
Disabled
Flow-begin:
Disabled
Flow-end:
Disabled
Flow-active:
Disabled
LocalIP/port:
LocalIP/port:
LocalIP/port:
LocalIP/port:
NATmappingbehavior:
Mappingmode:
AddressandPort-Dependent
ACL:
---
NATALG:
DNS:
Enabled
FTP:
Enabled
H323:
Enabled
ICMP-ERROR:
Enabled
#通过以下显示命令,可以看到
[Router]displaynatsessionverbose
Initiator:
SourceIP/port:
ID:
-/-/
Protocol:
TCP(6)
Responder:
SourceIP/port:
ID:
-/-/
Protocol:
TCP(6)
State:
TCP_ESTABLISHED
Application:
FTP
Starttime:
2012-08-1514:
53:
29
Interface(in):
GigabitEthernet1/2
Interface(out):
GigabitEthernet1/1
Initiator->Responder:
Responder->lnitiator:
Host访问FTPserver时生成
DestinationIP/port:
DestinationIP/port:
TTL:
3597s
7packets
5packets
Totalsessionsfound:
1
NAT会话信息。
VPNinstance/VLANID/VLL
VPNinstance/VLANID/VLL
308bytes
312bytes
外网用户通过域名访问内网服务器(地址不重叠)
1.
组网需求
2.
3.组网图
图1-9外网用户通过域名访问内网服务器(地址不重叠)
4.配置思路
•外网主机通过域名访问Web服务器,首先需要通过访问内网DNS服务器获取
Web服务器的IP地址,因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。
•DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地
址,因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。
外网地址分配可以通过出方向动态地址转换功能实现,转换载荷信息可以通过DNSALG功能实现。
5.配置步骤
#按照组网图配置各接口的IP地址,具体配置过程略。
#开启DNS协议的ALG功能。
system-view
[Router]natalgdns
#配置ACL2000,允许对内部网络中的报文进行地址转换。
[Router]aclnumber2000
[Router-acl-basic-2000]rulepermitsource0
[Router-acl-basic-2000]quit#创建地址组1。
[Router]nataddress-group1#添加地址组成员。
[Router-nat-address-group-1]addressquit
#在接口GigabitEthernet1/2上配置NAT内部服务器,允许外网主机使用地址访问内网DNS服务器。
[Router]interfacegigabitethernet1/2
[Router-GigabitEthernet1/2]natserverprotocoludpglobalinsidedomain
#在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组1中的地址对
DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。
[Router-GigabitEthernet1/2]natoutbound2000address-group1no-patreversible
[Router-GigabitEthernet1/2]quit
6.验证配置
以上配置完成后,外网Host能够通过域名访问内网Webserver。
通过查看如下显示信息,
可以验证以上配置成功。
[Router]displaynatall
NATaddressgroupinformation:
Thereare1NATaddressgroups.
GroupNumberStartAddressEndAddress
1
NAToutboundinformation:
Thereare1NAToutboundrules.
Interface:
GigabitEthernet1/2
ACL:
2000Addressgroup:
1Port-preserved:
N
NO-PAT:
YReversible:
Y
NATinternalserverinformation:
Thereare1internalservers.
Interface:
GigabitEthernet1/2
Protocol:
17(UDP)
GlobalIP/port:
LocalIP/port:
NATlogging:
Logenable:
Disabled
Flow-begin:
Disabled
Flow-end:
Disabled
Flow-active:
Disabled
NATmappingbehavior:
Mappingmode:
AddressandPort-Dependent
ACL:
---
NATALG:
DNS:
Enabled
FTP:
Enabled
H323:
Enabled
ICMP-ERROR:
Enabled
#通过以下显示命令,可以看到Host访问Webserver时生成NAT会话信息。
[Router]displaynatsessionverbose
Initiator:
Source
IP/po比
Destination
IP/port:
VPNinstance/VLAN
ID/VLL
ID:
-/-/
Protocol:
TCP(6)
Responder:
Source
IP/po比
Destination
IP/port:
VPNinstance/VLAN
ID/VLL
ID:
-/-/-
Protocol:
TCP(6)
State:
TCPESTABLISHED
Application:
HTTP
TTL:
3597s
Starttime:
2012-08-1514:
53:
29
Interface(in):
GigabitEthernet1/2
Interface(out):
GigabitEthernet1/1
Totalsessionsfound:
1
外网用户通过域名访问内网服务器(地址重叠)
1.组网需求
2.
某公司内网使用的IP地址为。
1-10外网用户通过域名访问内网服务器(地址重叠)
这是一个典型