05-H3C MSR係列路由器 內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例
本章節下載: 05-H3C MSR係列路由器 內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例 (201.17 KB)
H3C MSR係列路由器
內網用戶通過NAT地址訪問地址重疊的外網配置舉例
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹MSR係列路由器內網用戶通過NAT地址訪問地址重疊的外網典型配置舉例。
本文檔適用於使用Comware V7軟件版本的MSR係列路由器,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解NAT特性。
如圖1所示,Router作為某公司內網訪問外網的網關,內網網段與外網Web server所在網段地址重疊。該公司擁有202.38.1.2和202.38.1.3兩個公網地址。現要求Host可以通過域名訪問外網的Web server。
圖1 內網用戶通過NAT地址訪問地址重疊的外網典型配置組網圖
· 由於外網DNS服務器回複給內網主機的Web服務器地址與內網主機地址重疊,因此NAT設備需要將Web服務器地址轉換為動態分配的一個NAT地址。動態地址分配可以通過入方向動態地址轉換實現,地址轉換需要通過DNS ALG功能實現。
· 由於內網主機的地址與外網Web服務器的真實地址重疊,因此也需要為內網主機動態分配一個的NAT地址,可以通過出方向動態地址轉換實現。
· 外網Web服務器對應的NAT地址在NAT設備上沒有路由,因此需要手工添加靜態路由。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
# 配置路由器各接口的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Router-GigabitEthernet1/0/1] quit
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 10.0.1.1 24
[Router-GigabitEthernet1/0/2] quit
# 開啟DNS協議的ALG功能。
# 配置ACL 2000,僅允許對192.168.1.0/24網段的用戶報文進行地址轉換。
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 創建地址組1。
# 添加地址組成員202.38.1.2。
[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2
[Router-nat-address-group-1] quit
# 創建地址組2。
# 添加地址組成員202.38.1.3。
[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3
[Router-nat-address-group-2] quit
# 在接口GigabitEthernet1/0/2上配置入方向動態地址轉換,允許使用地址組1中的地址對DNS應答報文載荷中的外網地址進行轉換,並在轉換過程中不使用端口信息,以及允許反向地址轉換。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] nat inbound 2000 address-group 1 no-pat reversible
# 在接口GigabitEthernet1/0/2上配置出方向動態地址轉換,允許使用地址組2中的地址對內網訪問外網的報文進行源地址轉換,並在轉換過程中使用端口信息。
[Router-GigabitEthernet1/0/2] nat outbound 2000 address-group 2
[Router-GigabitEthernet1/0/2] quit
# 配置靜態路由,目的地址為外網服務器NAT地址202.38.1.2,出接口為GigabitEthernet1/0/2,下一跳地址為10.0.1.1。
[Router] ip route-static 202.38.1.2 32 gigabitethernet 1/0/2 10.0.1.1
# 以上配置完成後,Host能夠通過域名訪問Web server。在路由器上通過display nat all命令顯示NAT配置信息。
NAT address group information:
Totally 2 NAT address groups.
Address group 1:
Port range: 1-65535
Address information:
Start address End address
202.38.1.2 202.38.1.2
Address group 2:
Port range: 1-65535
Address information:
Start address End address
202.38.1.3 202.38.1.3
NAT inbound information:
Totally 1 NAT inbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 1
Add route: N NO-PAT: Y Reversible: Y
NAT counting: 0
Config status: Active
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: 2
Port-preserved: N NO-PAT: N Reversible: N
NAT counting: 0
Config status: Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NO-PAT IP usage : Disabled
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Enabled
ICMP-ERROR : Enabled
ILS : Enabled
MGCP : Enabled
NBT : Enabled
PPTP : Enabled
RTSP : Enabled
RSH : Enabled
SCCP : Enabled
SCTP : Enabled
SIP : Enabled
SQLNET : Enabled
TFTP : Enabled
XDMCP : Enabled
Static NAT load balancing: Disabled
NAT link-switch recreate-session: Disabled
NAT configuration-for-new-connection: Disabled
NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat trans
late-before-secp : Disabled
# 通過display nat session verbose命令顯示NAT會話的詳細信息,可以看到Host訪問Web server時生成NAT會話信息。
[Router] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.10/1694
Destination IP/port: 202.38.1.2/8080
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 192.168.1.10/8080
Destination IP/port: 202.38.1.3/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/2
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: -/-/-
Rule name:
Start time: 2013-08-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.0.1.1 255.255.255.0
nat inbound 2000 address-group 1 no-pat reversible
nat outbound 2000 address-group 2
#
ip route-static 202.38.1.2 32 GigabitEthernet1/0/2 10.0.1.1
#
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
#
nat address-group 1
address 202.38.1.2 202.38.1.2
#
nat address-group 2
address 202.38.1.3 202.38.1.3
#
· 《H3C MSR 係列路由器 配置指導(V7)》中的“三層技術-IP業務配置指導”
· 《H3C MSR 係列路由器 命令參考(V7)》中的“三層技術-IP業務命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!