最佳答案
可以用地址組來做
組網需求
· 某公司內網使用的IP地址為192.168.0.0/16。
· 該公司擁有202.38.1.2和202.38.1.3兩個外網IP地址。
· 需要實現,內部網絡中192.168.1.0/24網段的用戶可以訪問Internet,其它網段的用戶不能訪問Internet。使用的外網地址為202.38.1.2和202.38.1.3。
2. 組網圖
圖1-9 內網用戶通過NAT訪問外網(地址不重疊)
3. 配置步驟
# 按照組網圖配置各接口的IP地址,具體配置過程略。
# 配置地址組0,包含兩個外網地址202.38.1.2和202.38.1.3。
<Router> system-view
[Router] nat address-group 0
[Router-address-group-0] address 202.38.1.2 202.38.1.3
[Router-address-group-0] quit
# 配置ACL 2000,僅允許對內部網絡中192.168.1.0/24網段的用戶報文進行地址轉換。
[Router] acl basic 2000
[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-ipv4-basic-2000] quit
# 在接口GigabitEthernet2/0/2上配置出方向動態地址轉換,允許使用地址組0中的地址對匹配ACL 2000的報文進行源地址轉換,並在轉換過程中使用端口信息。
[Router] interface gigabitethernet 2/0/2
[Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 0
[Router-GigabitEthernet2/0/2] quit
4. 驗證配置
以上配置完成後,Host A能夠訪問WWW server,Host B和Host C無法訪問WWW server。通過查看如下顯示信息,可以驗證以上配置成功。
[Router] display nat all
NAT address group information:
Totally 1 NAT address groups.
Address group 0:
Port range: 1-65535
Address information:
Start address End address
202.38.1.2 202.38.1.3
NAT outbound information:
Totallu 1 NAT outbound rules.
Interface: GigabitEthernet2/0/2
ACL: 2000
Address group ID: 0
Port-preserved: N NO-PAT: N Reversible: N
Config status: Active
Static NAT mappings:
Totally 1 outbound static NAT mappings.
IP-to-IP:
Local IP : 10.110.10.8
Global IP : 202.38.1.100
Config status : Active
NAT logging:
Log enable : Disabled
Flow-begin : Disabled
Flow-end : Disabled
Flow-active : Disabled
Port-block-assign : Disabled
Port-block-withdraw : Disabled
Alarm : Disabled
NAT mapping behavior:
Mapping mode : Address and Port-Dependent
ACL : ---
Config status: Active
NAT ALG:
DNS : Enabled
FTP : Enabled
H323 : Disabled
ICMP-ERROR : Enabled
ILS : Disabled
MGCP : Disabled
NBT : Disabled
PPTP : Enabled
RTSP : Enabled
RSH : Disabled
SCCP : Disabled
SIP : Disabled
SQLNET : Disabled
TFTP : Disabled
XDMCP : Disabled
Static NAT load balancing: Disabled
# 通過以下顯示命令,可以看到Host A訪問WWW server時生成NAT會話信息。
[Router] display nat session verbose
Slot 1:
Initiator:
Source IP/port: 192.168.1.10/52992
Destination IP/port: 200.1.1.10/2048
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet2/0/1
Responder:
Source IP/port: 200.1.1.10/4
Destination IP/port: 202.38.1.3/0
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: ICMP(1)
Inbound interface: GigabitEthernet2/0/2
State: ICMP_REPLY
Application: INVALID
Start time: 2012-08-15 14:53:29 TTL: 12s
Initiator->Responder: 1 packets 84 bytes
Responder->Initiator: 1 packets 84 bytes
Total sessions found: 1
- 2020-08-21回答
- 評論(0)
- 舉報
-
(0)
您好,請知:
是要將內網服務器映射到外網後使用隨機分配的公網IP?
如果是,且外網IP是不固定的話,可以使用nat server映射到當前端口的IP。當端口IP變動時,映射的IP也會隨之改變。
- 2020-08-21回答
- 評論(1)
- 舉報
-
(1)
不是,代理是代理內網所有終端防問公網網絡的服務器。我們的公網接口有運營商分配的一個網端ip有6個ip吧。
不是,代理是代理內網所有終端防問公網網絡的服務器。我們的公網接口有運營商分配的一個網端ip有6個ip吧。
可以,如果你外網IP地址多的話,可以把外網地址設成一個地址組,然後將代理服務器到外網出口的方式用動態地址轉換來實現: nat outbound + ACL+地址組。
需要注意的是,如果你的外網地址大於內網地址的話,才能讓所有內網用戶用上麵的方式,如果不是,留個外網地址給其它內網用戶。
- 2020-08-21回答
- 評論(2)
- 舉報
-
(0)
也可以說我沒用acl
編輯答案
親~登錄後才可以操作哦!
確定你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作
舉報
×
侵犯我的權益
×
侵犯了我企業的權益
×
- 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
- 3. 是哪家企業?(營業執照,單位登記證明等證件)
- 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
抄襲了我的內容
×
原文鏈接或出處
誹謗我
×
- 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
- 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
對根叔社區有害的內容
×
不規範轉載
×
舉報說明