登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

H3C VSR1000虛擬路由器典型配置舉例-6W100

目錄

05-H3C VSR1000虛擬路由器內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例

本章節下載 05-H3C VSR1000虛擬路由器內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例  (123.39 KB)

05-H3C VSR1000虛擬路由器內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例

H3C VSR1000虛擬路由器內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2014 杭州華三通信技術有限公司 版權所有,保留一切權利。

非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,

並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。

H3C_彩色.emf

 

目  錄

1 簡介

2 配置前提

3 配置舉例

3.1 組網需求

3.2 配置思路

3.3 使用版本

3.4 配置步驟

3.5 驗證配置

3.6 配置文件

4 相關資料

 

1  簡介

本文檔介紹VSR1000虛擬路由器內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例。

2  配置前提

本文檔不嚴格與具體軟件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解NAT特性。

3  配置舉例

3.1  組網需求

圖1所示,Router作為某公司內網訪問外網的網關,內網網段與外網Web server所在網段地址重疊。該公司擁有202.38.1.2和202.38.1.3兩個公網地址。現要求Host可以通過域名訪問外網的Web server。

圖1 內網用戶通過NAT地址訪問地址重疊的外網典型配置組網圖

 

3.2  配置思路

·     由於外網DNS服務器回複給內網主機的Web服務器地址與內網主機地址重疊,因此NAT設備需要將Web服務器地址轉換為動態分配的一個NAT地址。動態地址分配可以通過入方向動態地址轉換實現,地址轉換需要通過DNS ALG功能實現。

·     由於內網主機的地址與外網Web服務器的真實地址重疊,因此也需要為內網主機動態分配一個的NAT地址,可以通過出方向動態地址轉換實現。

·     外網Web服務器對應的NAT地址在NAT設備上沒有路由,因此需要手工添加靜態路由。

3.3  使用版本

本舉例是在E0301版本上進行配置和驗證的。

3.4  配置步驟

# 配置路由器各接口的IP地址。

<Router> system-view

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] ip address 192.168.1.1 24

[Router-GigabitEthernet1/0] quit

[Router] interface gigabitethernet 2/0

[Router-GigabitEthernet2/0] ip address 10.0.1.1 24

[Router-GigabitEthernet2/0] quit

# 開啟DNS協議的ALG功能。

[Router] nat alg dns

# 配置ACL 2000,僅允許對192.168.1.0/24網段的用戶報文進行地址轉換。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2000] quit

# 創建地址組1。

[Router] nat address-group 1

# 添加地址組成員202.38.1.2。

[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2

[Router-nat-address-group-1] quit

# 創建地址組2。

[Router] nat address-group 2

# 添加地址組成員202.38.1.3。

[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3

[Router-nat-address-group-2] quit

# 在接口GigabitEthernet2/0上配置入方向動態地址轉換,允許使用地址組1中的地址對DNS應答報文載荷中的外網地址進行轉換,並在轉換過程中不使用端口信息,以及允許反向地址轉換。

[Router] interface gigabitethernet 2/0

[Router-GigabitEthernet2/0] nat inbound 2000 address-group 1 no-pat reversible

# 在接口GigabitEthernet1/2上配置出方向動態地址轉換,允許使用地址組2中的地址對內網訪問外網的報文進行源地址轉換,並在轉換過程中使用端口信息。

[Router-GigabitEthernet2/0] nat outbound 2000 address-group 2

[Router-GigabitEthernet2/0] quit

# 配置靜態路由,目的地址為外網服務器NAT地址202.38.1.2,出接口為GigabitEthernet2/0,下一跳地址為10.0.1.1。

[Router] ip route-static 202.38.1.2 32 gigabitethernet 2/0 10.0.1.1

3.5  驗證配置

# 以上配置完成後,Host能夠通過域名訪問Web server。在路由器上通過display nat all命令顯示NAT配置信息。

[Router] display nat all

NAT address group information:

  There are 2 NAT address groups.

  Address group 1:

    Address information:

      Start address         End address

      202.38.1.2            202.38.1.2

 

  Address group 2:

    Address information:

      Start address         End address

      202.38.1.3            202.38.1.3

 

NAT inbound information:

  There are 1 NAT inbound rules.

  Interface: GigabitEthernet2/0

    ACL: 2000         Address group: 1      Add route: N

    NO-PAT: Y         Reversible: Y

 

NAT outbound information:

  There are 1 NAT outbound rules.

  Interface: GigabitEthernet2/0

    ACL: 2000         Address group: 2      Port-preserved: N

    NO-PAT: N         Reversible: N

 

NAT logging:

  Log enable          : Disabled

  Flow-begin          : Disabled

  Flow-end            : Disabled

  Flow-active         : Disabled

  Port-block-assign   : Disabled

  Port-block-withdraw : Disabled

  Alarm               : Disabled

 

NAT mapping behavior:

  Mapping mode: Address and Port-Dependent

  ACL         : ---

 

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Enabled

  ICMP-ERROR : Enabled

  ILS        : Enabled

  MGCP       : Enabled

  NBT        : Enabled

  PPTP       : Enabled

  RSH        : Enabled

  RTSP       : Enabled

  SCCP       : Enabled

  SIP        : Enabled

  SQLNET     : Enabled

  TFTP       : Enabled

  XDMCP      : Enabled

# 通過display nat session verbose命令顯示NAT會話的詳細信息,可以看到Host訪問Web server時生成NAT會話信息。

[Router] display nat session verbose

Initiator:

  Source      IP/port: 192.168.1.10/1694

  Destination IP/port: 202.38.1.2/8080

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 192.168.1.10/8080

  Destination IP/port: 202.38.1.3/1025

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2013-08-15 14:53:29  TTL: 3597s

Interface(in) : GigabitEthernet1/0

Interface(out): GigabitEthernet2/0

Initiator->Responder:            7 packets        308 bytes

Responder->Initiator:            5 packets        312 bytes

 

Total sessions found: 1

3.6  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet2/0

 port link-mode route

 ip address 10.0.1.1 255.255.255.0

 nat inbound 2000 address-group 1 no-pat reversible

 nat outbound 2000 address-group 2

#

 ip route-static 202.38.1.2 32 GigabitEthernet2/0 10.0.1.1

#

acl number 2000

 rule 0 permit source 192.168.1.0 0.0.0.255

#

nat address-group 1

 address 202.38.1.2 202.38.1.2

#

nat address-group 2

 address 202.38.1.3 202.38.1.3

#

4  相關資料

·     《H3C VSR1000虛擬路由器配置指導》中的“三層技術-IP業務配置指導”

·     《H3C VSR1000虛擬路由器命令參考》中的“三層技術-IP業務命令參考”

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們