- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
06-H3C MSR係列路由器 內網用戶通過NAT地址訪問內網服務器典型配置舉例
本章節下載: 06-H3C MSR係列路由器 內網用戶通過NAT地址訪問內網服務器典型配置舉例 (196.50 KB)
H3C MSR係列路由器
內網用戶通過NAT地址訪問內網服務器配置舉例
Copyright © 2024 bobty下载软件 版權所有,保留一切權利。
非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部,並不得以任何形式傳播。
除bobty下载软件 的商標外,本手冊中出現的其它公司的商標、產品標識及商品名稱,由各自權利人擁有。
本文檔中的信息可能變動,恕不另行通知。
本文檔介紹MSR係列路由器內網用戶通過NAT地址訪問內網服務器典型配置舉例。
本文檔適用於使用Comware V7軟件版本的MSR係列路由器,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解NAT特性。
如圖1所示,Host A和FTP服務器同在一個局域網內,Router作為該局域網的網關,具體要求如下:
· 外網主機可以通過Router訪問內網FTP服務器;
· 內網主機在訪問FTP服務器時,需要通過外網地址訪問,從而有效的避免服務器受到來自內部網絡的攻擊。
· 通過定義ACL規則,並將其與NAT配置關聯,實現隻對內網匹配指定的ACL規則的報文進行地址轉換。
· 為使外網主機可以通過外網地址訪問內網FTP服務器,需要在外網側接口配置NAT內部服務器功能。
· 為使內網主機通過外網地址訪問內網FTP服務器,需要在內網側接口使能NAT hairpin功能。
本配置舉例是在MSR3610-X1路由器Release 6749版本上進行配置和驗證的。
# 配置Router的內網接口GigabitEthernet1/0/1和外網接口GigabitEthernet1/0/2的IP地址。
<Router> system-view
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] ip address 192.168.1.1 24
[Router-GigabitEthernet1/0/1] quit
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] ip address 10.0.0.1 24
[Router-GigabitEthernet1/0/2] quit
# 配置ACL 2000,允許對內部網絡中192.168.1.0/24網段的報文進行地址轉換。
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet1/0/2上配置NAT內部服務器,允許外網主機使用地址10.0.0.1訪問內網FTP服務器,同時使得內網主機訪問內網FTP服務器的報文可以進行目的地址轉換。
[Router] interface gigabitethernet 1/0/2
[Router-GigabitEthernet1/0/2] nat server protocol tcp global 10.0.0.1 inside 192.168.1.5 ftp
# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向動態地址轉換,使得內網主機訪問內網FTP服務器的報文可以使用接口GigabitEthernet1/0/2的IP地址進行源地址轉換。
[Router-GigabitEthernet1/0/2] nat outbound 2000
[Router-GigabitEthernet1/0/2] quit
# 在接口GigabitEthernet1/0/1上使能NAT hairpin功能。
[Router] interface gigabitethernet 1/0/1
[Router-GigabitEthernet1/0/1] nat hairpin enable
[Router-GigabitEthernet1/0/1] quit
# 以上配置完成後,內網主機和外網主機均能夠通過外網地址訪問內網FTP Server。通過display nat all命令查看所有NAT的配置信息,可以看到GigabitEthernet1/0/1接口上使能了NAT hairpin功能。
NAT outbound information:
Totally 1 NAT outbound rules.
Interface: GigabitEthernet1/0/2
ACL: 2000
Address group ID: ---
Port-preserved: N NO-PAT: N Reversible: N
NAT counting: 0
Config status: Active
NAT internal server information:
Totally 1 internal servers.
Interface: GigabitEthernet1/0/2
Protocol: 6(TCP)
Global IP/port: 10.0.0.1/21
Local IP/port: 192.168.1.5/21
NAT counting : 0
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NO-PAT IP usage : Disabled
NAT hairpinning:
Totally 1 interfaces enabled with NAT hairpinning.
Interface: GigabitEthernet1/0/1
Config status: Active
NAT mapping behavior:
Mapping mode: Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Enabled
ICMP-ERROR : Enabled
ILS : Enabled
MGCP : Enabled
NBT : Enabled
PPTP : Enabled
RTSP : Enabled
RSH : Enabled
SCCP : Enabled
SCTP : Enabled
SIP : Enabled
SQLNET : Enabled
TFTP : Enabled
XDMCP : Enabled
Static NAT load balancing: Disabled
NAT link-switch recreate-session: Disabled
NAT configuration-for-new-connection: Disabled
NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat trans
late-before-secp : Disabled
# 通過display nat session verbose命令查看NAT會話的詳細信息,可以看到Host A訪問FTP server時生成NAT會話信息。
[Router] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.2/1694
Destination IP/port: 10.0.0.1/21
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
Responder:
Source IP/port: 192.168.1.5/21
Destination IP/port: 10.0.0.1/1025
DS-Lite tunnel peer: -
VPN instance/VLAN ID/VLL ID: -/-/-
Protocol: TCP(6)
Inbound interface: GigabitEthernet1/0/1
State: TCP_ESTABLISHED
Application: HTTP
Rule ID: -/-/-
Rule name:
Start time: 2013-08-15 14:53:29 TTL: 3597s
Initiator->Responder: 7 packets 308 bytes
Responder->Initiator: 5 packets 312 bytes
Total sessions found: 1
#
interface GigabitEthernet1/0/1
port link-mode route
ip address 192.168.1.1 255.255.255.0
nat hairpin enable
#
interface GigabitEthernet1/0/2
port link-mode route
ip address 10.0.0.1 255.255.255.0
nat outbound 2000
nat server protocol tcp global 10.0.0.1 21 inside 192.168.1.5 21
#
acl number 2000
rule 0 permit source 192.168.1.0 0.0.0.255
#
· 《H3C MSR 係列路由器 配置指導(V7)》中的“三層技術-IP業務配置指導”
· 《H3C MSR 係列路由器 命令參考(V7)》中的“三層技術-IP業務命令參考”
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
