史上最详细H3C路由器NAT典型配置案例.docx

史上最详细H3C路由器NAT典型配置案例.docx

《史上最详细H3C路由器NAT典型配置案例.docx》由会员分享，可在线阅读，更多相关《史上最详细H3C路由器NAT典型配置案例.docx（25页珍藏版）》请在冰点文库上搜索。

史上最详细H3C路由器NAT典型配置案例

神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

NAT典型配置举例

内网用户通过NAT地址访问外网（静态地址转换）

1.组网需求

内部网络用户使用外网地址访问Internet。

2.组网图

图1-5静态地址转换典型配置组网图

3.配置步骤

#按照组网图配置各接口的IP地址，具体配置过程略。

#配置内网IP地址到外网地址之间的一对一静态地址转换映射。

system-view

[Router]natstaticoutbound使配置的静态地址转换在接口GigabitEthernet1/2

生效。

[Router]interfacegigabitethernet1/2

[Router-GigabitEthernet1/2]natstaticenable

[Router-GigabitEthernet1/2]quit

4.验证配置

#以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以

上配置成功。

[Router]displaynatstatic

StaticNATmappings:

Thereare1outboundstaticNATmappings.

IP-to-IP:

LocalIP:

GlobalIP:

InterfacesenabledwithstaticNAT:

Thereare1interfacesenabledwithstaticNAT.

Interface:

GigabitEthernet1/2

Totalsessionsfound:

1

内网用户通过NAT地址访问外网（地址不重叠）

1.组网需求

•某公司内网使用的IP地址为。

•该公司拥有和两个外网IP地址。

需要实现，内部网络中网段的用户可以访问Internet,其它网段的用户不能访问Internet

使用的外网地址为和。

2.组网图

图1-6内网用户通过NAT访问外网（地址不重叠）

3.配置步骤

#按照组网图配置各接口的IP地址，具体配置过程略。

#配置地址组0，包含两个外网地址和。

system-view

[Router]nataddress-group0

[Router-nat-address-group-0]addressquit

#配置ACL2000，仅允许对内部网络中网段的用户报文进行地址转换。

[Router]aclnumber2000

[Router-acl-basic-2000]rulepermitsourcequit

0中的地址对

WWWserve。

#在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组

匹配ACL2000的报文进行源地址转换，并在转换过程中使用端口信息。

[Router]interfacegigabitethernet1/2

[Router-GigabitEthernet1/2]natoutbound2000address-group0

[Router-GigabitEthernet1/2]quit

4.验证配置

以上配置完成后，HostA能够访问WWWserver,HostB和HostC无法访问

通过查看如下显示信息，可以验证以上配置成功。

[Router]displaynatall

NATaddressgroupinformation:

Thereare1NATaddressgroups.

GroupNumberStartAddressEndAddress

0

NAToutboundinformation:

Thereare1NAToutboundrules.

Interface:

GigabitEthernet1/2

NO-PAT:

NReversible:

N

NATlogging:

Logenable:

Disabled

Flow-begin:

Disabled

Flow-end:

Disabled

Flow-active:

Disabled

NATmappingbehavior:

Mappingmode:

AddressandPort-Dependent

ACL:

---

NATALG:

DNS:

Enabled

FTP:

Enabled

H323:

Enabled

ICMP-ERROR:

Enabled

#通过以下显示命令，可以看到HostA访问WWWserver时生成NAT会话信息。

[Router]displaynatsessionverbose

Initiator:

Source

IP/po比

Destination

IP/port:

VPNinstance/VLAN

ID/VLL

ID:

-/-/

Protocol:

ICMP

（1）

Responder:

Source

IP/po比

Destination

IP/port:

VPNinstance/VLAN

ID/VLL

ID:

-/-/

Protocol:

ICMP

（1）

State:

ICMP_REPLY

Application:

INVALID

Starttime:

2012-08-1514:

53:

29

TTL:

12s

Interface（in）:

GigabitEthernet1/1

Interface（out）:

GigabitEthernet1/2

Initiator->Responder:

1packets

84bytes

Responder->lnitiator:

1packets

84bytes

Totalsessionsfound:

1

内网用户通过NAT地址访问外网

（地址重叠）

1.组网需求

•某公司内网网段地址为，该网段与要访问的外网Web服务器所在网段地址重

叠。

•该公司拥有和两个外网IP地址。

需要实现，内网用户可以通过域名访问外网的Web服务器。

2.组网图

图1-7内网用户通过NAT访问外网（地址重叠）

3.配置思路

这是一个典型的双向NAT应用，具体配置思路如下。

•内网主机通过域名访问外网Web服务器时，首先需要向外网的DNS服务器发起

DNS查询请求。

由于外网DNS服务器回复给内网主机的DNS应答报文载荷中的携带的Web服

务器地址与内网主机地址重叠，因此NAT设备需要将载荷中的Web服务器地址转换为动态分

配的一个NAT地址。

动态地址分配可以通过入方向动态地址转换实现，载荷中的地址转换需

要通过DNSALG功能实现。

通过该地址访问外网Web服务器。

由于内网主机的地址与外网Web服务器的真实地址重叠，

因此也需要为其动态分配一个的NAT地址，可以通过出方向动态地址转换实现。

•外网Web服务器对应的NAT地址在NAT设备上没有路由，因此需要手工添加静

态路由，使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。

4.配置步骤

#按照组网图配置各接口的IP地址，具体配置过程略。

#开启DNS的NATALG功能。

system-view

[Router]natalgdns

#配置ACL2000，仅允许对网段的用户报文进行地址转换。

[Router]aclnumber2000

[Router-acl-basic-2000]rulepermitsourcequit

#创建地址组1。

[Router]nataddress-group1

#添加地址组成员。

[Router-nat-address-group-1]addressquit

#创建地址组2。

[Router]nataddress-group2

#添加地址组成员。

[Router-nat-address-group-2]addressquit

#在接口GigabitEthernet1/2上配置入方向动态地址转换，允许使用地址组1中的地址对

DNS应答报文载荷中的外网地址进行转换，并在转换过程中不使用端口信息，以及允许反向

地址转换。

[Router]interfacegigabitethernet1/2[Router-GigabitEthernet1/2]natinbound2000address-group1no-patreversible

#在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组2中的地址对内网访问外网的报文进行源地址转换，并在转换过程中使用端口信息。

[Router-GigabitEthernet1/2]natoutbound2000address-group2[Router-GigabitEthernet1/2]quit

#配置静态路由，目的地址为外网服务器NAT地址，出接口为GigabitEthernet1/2，下一跳地址为（为本例中的直连下一跳地址，实际使用中请以具体组网情况为准）。

验证配置

[Router]iproute-static32gigabitethernet1/2

以上配置完成后，HostA能够通过域名访问Webserver。

通过查看如下显示信息，可以验

证以上配置成功。

[Router]displaynatall

NATaddressgroupinformation:

Thereare2NATaddressgroups.

NAToutboundinformation:

Thereare1NAToutboundrules.

NATlogging:

Logenable:

Disabled

Flow-begin:

Disabled

Flow-end:

Disabled

Flow-active:

Disabled

NATmappingbehavior:

Mappingmode:

AddressandPort-Dependent

ACL:

---

NATALG:

DNS:

Enabled

FTP:

Enabled

H323:

Enabled

ICMP-ERROR:

Enabled

#通过以下显示命令，可以看到HostA访问WWWserver时生成NAT会话信息。

[Router]displaynatsessionverbose

Initiator:

Source

IP/po比

Destination

IP/port:

VPNinstance/VLAN

ID/VLL

ID:

-/-/

Protocol:

TCP（6）

Responder:

Source

IP/po比

Destination

IP/port:

VPNinstance/VLAN

ID/VLL

ID:

-/-/

Protocol:

TCP（6）

State:

TCP_ESTABLISHED

Application:

HTTP

Interface（in）:

GigabitEthernet1/1

Interface（out）:

GigabitEthernet1/2

Initiator->Responder:

7packets308bytes

Responder->lnitiator:

5packets312bytes

Totalsessionsfound:

1

外网用户通过外网地址访问内网服务器

1.组网需求

某公司内部对外提供WebFTP和SMTP服务，而且提供两台Web服务器。

公司内部网址为。

其中，内部FTP服务器地址为，内部Web服务器1的IP地址为，内部Web服务器2的IP

地址为，内部SMTP服务器IP地址为。

公司拥有至三个公网IP地址。

需要实现如下功能：

•外部的主机可以访问内部的服务器。

•选用作为公司对外提供服务的IP地址，Web服务器2对外采用8080端口。

2.组网图

图1-8外网用户通过外网地址访问内网服务器

3.配置步骤

#按照组网图配置各接口的IP地址，具体配置过程略。

#进入接口GigabitEthernet1/2。

system-view

[Router]interfacegigabitethernet1/2

#配置内部FTP服务器，允许外网主机使用地址、端口号21访问内网FTP服务器。

[Router-GigabitEthernet1/2]natserverprotocoltcpglobal21insideftp

#配置内部Web服务器1,允许外网主机使用地址、端口号80访问内网Web服务器1。

[Router-GigabitEthernet1/2]natserverprotocoltcpglobal80insidewww

#配置内部Web服务器2,允许外网主机使用地址、端口号8080访问内网Web服务器2。

[Router-GigabitEthernet1/2]natserverprotocoltcpglobal8080insidewww

#配置内部SMTP服务器，允许外网主机使用地址以及SMTP协议定义的端口访问内网SMTP

服务器。

[Router-GigabitEthernet1/2]natserverprotocoltcpglobalsmtpinsidesmtp

[Router-GigabitEthernet1/2]quit

4.验证配置

以上配置完成后，外网Host能够通过NAT地址访问各内网服务器。

通过查看如下显示信息，

可以验证以上配置成功。

[Router]displaynatall

NATinternalserverinformation:

Thereare4internalservers.

Interface:

GigabitEthernet1/2

Protocol:

6（TCP）

GlobalIP/port:

Interface:

GigabitEthernet1/2

Protocol:

6（TCP）

GlobalIP/port:

Interface:

GigabitEthernet1/2

Protocol:

6（TCP）

GlobalIP/port:

Interface:

GigabitEthernet1/2

Protocol:

6（TCP）

GlobalIP/port:

NATlogging:

Logenable:

Disabled

Flow-begin:

Disabled

Flow-end:

Disabled

Flow-active:

Disabled

LocalIP/port:

LocalIP/port:

LocalIP/port:

LocalIP/port:

NATmappingbehavior:

Mappingmode:

AddressandPort-Dependent

ACL:

---

NATALG:

DNS:

Enabled

FTP:

Enabled

H323:

Enabled

ICMP-ERROR:

Enabled

#通过以下显示命令，可以看到

[Router]displaynatsessionverbose

Initiator:

SourceIP/port:

ID:

-/-/

Protocol:

TCP（6）

Responder:

SourceIP/port:

ID:

-/-/

Protocol:

TCP（6）

State:

TCP_ESTABLISHED

Application:

FTP

Starttime:

2012-08-1514:

53:

29

Interface（in）:

GigabitEthernet1/2

Interface（out）:

GigabitEthernet1/1

Initiator->Responder:

Responder->lnitiator:

Host访问FTPserver时生成

DestinationIP/port:

DestinationIP/port:

TTL:

3597s

7packets

5packets

Totalsessionsfound:

1

NAT会话信息。

VPNinstance/VLANID/VLL

VPNinstance/VLANID/VLL

308bytes

312bytes

外网用户通过域名访问内网服务器（地址不重叠）

1.

组网需求

2.

3.组网图

图1-9外网用户通过域名访问内网服务器（地址不重叠）

4.配置思路

•外网主机通过域名访问Web服务器，首先需要通过访问内网DNS服务器获取

Web服务器的IP地址，因此需要通过配置NAT内部服务器将DNS服务器的内网IP地址和DNS服务端口映射为一个外网地址和端口。

•DNS服务器回应给外网主机的DNS报文载荷中携带了Web服务器的内网IP地

址，因此需要将DNS报文载荷中的内网IP地址转换为一个外网IP地址。

外网地址分配可以通过出方向动态地址转换功能实现，转换载荷信息可以通过DNSALG功能实现。

5.配置步骤

#按照组网图配置各接口的IP地址，具体配置过程略。

#开启DNS协议的ALG功能。

system-view

[Router]natalgdns

#配置ACL2000,允许对内部网络中的报文进行地址转换。

[Router]aclnumber2000

[Router-acl-basic-2000]rulepermitsource0

[Router-acl-basic-2000]quit#创建地址组1。

[Router]nataddress-group1#添加地址组成员。

[Router-nat-address-group-1]addressquit

#在接口GigabitEthernet1/2上配置NAT内部服务器，允许外网主机使用地址访问内网DNS服务器。

[Router]interfacegigabitethernet1/2

[Router-GigabitEthernet1/2]natserverprotocoludpglobalinsidedomain

#在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组1中的地址对

DNS应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。

[Router-GigabitEthernet1/2]natoutbound2000address-group1no-patreversible

[Router-GigabitEthernet1/2]quit

6.验证配置

以上配置完成后，外网Host能够通过域名访问内网Webserver。

通过查看如下显示信息，

可以验证以上配置成功。

[Router]displaynatall

NATaddressgroupinformation:

Thereare1NATaddressgroups.

GroupNumberStartAddressEndAddress

1

NAToutboundinformation:

Thereare1NAToutboundrules.

Interface:

GigabitEthernet1/2

ACL:

2000Addressgroup:

1Port-preserved:

N

NO-PAT:

YReversible:

Y

NATinternalserverinformation:

Thereare1internalservers.

Interface:

GigabitEthernet1/2

Protocol:

17（UDP）

GlobalIP/port:

LocalIP/port:

NATlogging:

Logenable:

Disabled

Flow-begin:

Disabled

Flow-end:

Disabled

Flow-active:

Disabled

NATmappingbehavior:

Mappingmode:

AddressandPort-Dependent

ACL:

---

NATALG:

DNS:

Enabled

FTP:

Enabled

H323:

Enabled

ICMP-ERROR:

Enabled

#通过以下显示命令，可以看到Host访问Webserver时生成NAT会话信息。

[Router]displaynatsessionverbose

Initiator:

Source

IP/po比

Destination

IP/port:

VPNinstance/VLAN

ID/VLL

ID:

-/-/

Protocol:

TCP（6）

Responder:

Source

IP/po比

Destination

IP/port:

VPNinstance/VLAN

ID/VLL

ID:

-/-/-

Protocol:

TCP（6）

State:

TCPESTABLISHED

Application:

HTTP

TTL:

3597s

Starttime:

2012-08-1514:

53:

29

Interface（in）:

GigabitEthernet1/2

Interface（out）:

GigabitEthernet1/1

Totalsessionsfound:

1

外网用户通过域名访问内网服务器（地址重叠）

1.组网需求

2.

某公司内网使用的IP地址为。

1-10外网用户通过域名访问内网服务器（地址重叠）

这是一个典型