• 全部
  • 經驗案例
  • 典型配置
  • 技術公告
  • FAQ
  • 漏洞說明
  • 全部
  • 全部
  • 大數據引擎
  • 知了引擎
產品線
搜索
取消
案例類型
發布者
是否解決
是否官方
時間
搜索引擎
匹配模式
高級搜索

多公網ip nat隨機轉換

2020-08-21提問
  • 2關注
  • 1收藏,2168瀏覽
wcw 零段
粉絲:0人 關注:0人

問題描述:

內網有台代理服務器希望這台代理服務器每會會話使用的公網ip都是隨機的

組網及組網描述:

最佳答案

粉絲:97人 關注:1人

可以用地址組來做

組網需求

·     某公司內網使用的IP地址為192.168.0.0/16。

·     該公司擁有202.38.1.2和202.38.1.3兩個外網IP地址。

·     需要實現,內部網絡中192.168.1.0/24網段的用戶可以訪問Internet,其它網段的用戶不能訪問Internet。使用的外網地址為202.38.1.2和202.38.1.3。

2. 組網圖

圖1-9 內網用戶通過NAT訪問外網(地址不重疊)

 

3. 配置步驟

# 按照組網圖配置各接口的IP地址,具體配置過程略。

# 配置地址組0,包含兩個外網地址202.38.1.2和202.38.1.3。

<Router> system-view

[Router] nat address-group 0

[Router-address-group-0] address 202.38.1.2 202.38.1.3

[Router-address-group-0] quit

# 配置ACL 2000,僅允許對內部網絡中192.168.1.0/24網段的用戶報文進行地址轉換。

[Router] acl basic 2000

[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet2/0/2上配置出方向動態地址轉換,允許使用地址組0中的地址對匹配ACL 2000的報文進行源地址轉換,並在轉換過程中使用端口信息。

[Router] interface gigabitethernet 2/0/2

[Router-GigabitEthernet2/0/2] nat outbound 2000 address-group 0

[Router-GigabitEthernet2/0/2] quit

4. 驗證配置

以上配置完成後,Host A能夠訪問WWW server,Host B和Host C無法訪問WWW server。通過查看如下顯示信息,可以驗證以上配置成功。

[Router] display nat all

NAT address group information:

  Totally 1 NAT address groups.

  Address group 0:

    Port range: 1-65535

    Address information:

      Start address         End address

      202.38.1.2            202.38.1.3

 

NAT outbound information:

  Totallu 1 NAT outbound rules.

  Interface: GigabitEthernet2/0/2

    ACL: 2000

    Address group ID: 0

    Port-preserved: N    NO-PAT: N         Reversible: N

    Config status: Active

 

Static NAT mappings:

  Totally 1 outbound static NAT mappings.

  IP-to-IP:

    Local IP          : 10.110.10.8

    Global IP         : 202.38.1.100

    Config status     : Active

 

NAT logging:

  Log enable          : Disabled

  Flow-begin          : Disabled

  Flow-end            : Disabled

  Flow-active         : Disabled

  Port-block-assign   : Disabled

  Port-block-withdraw : Disabled

  Alarm               : Disabled

 

NAT mapping behavior:

  Mapping mode : Address and Port-Dependent

  ACL          : ---

  Config status: Active

 

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Disabled

  ICMP-ERROR : Enabled

  ILS        : Disabled

  MGCP       : Disabled

  NBT        : Disabled

  PPTP       : Enabled

  RTSP       : Enabled

  RSH        : Disabled

  SCCP       : Disabled

  SIP        : Disabled

  SQLNET     : Disabled

  TFTP       : Disabled

  XDMCP      : Disabled

 

Static NAT load balancing:     Disabled

 

# 通過以下顯示命令,可以看到Host A訪問WWW server時生成NAT會話信息。

[Router] display nat session verbose

Slot 1:

Initiator:

  Source      IP/port: 192.168.1.10/52992

  Destination IP/port: 200.1.1.10/2048

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet2/0/1

Responder:

  Source      IP/port: 200.1.1.10/4

  Destination IP/port: 202.38.1.3/0

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/Inline ID: -/-/-

  Protocol: ICMP(1)

  Inbound interface: GigabitEthernet2/0/2

State: ICMP_REPLY

Application: INVALID

Start time: 2012-08-15 14:53:29  TTL: 12s

Initiator->Responder:            1 packets         84 bytes

Responder->Initiator:            1 packets         84 bytes

 

Total sessions found: 1

2 個回答
粉絲:160人 關注:6人

您好,請知:

是要將內網服務器映射到外網後使用隨機分配的公網IP?

如果是,且外網IP是不固定的話,可以使用nat server映射到當前端口的IP。當端口IP變動時,映射的IP也會隨之改變。


不是,代理是代理內網所有終端防問公網網絡的服務器。我們的公網接口有運營商分配的一個網端ip有6個ip吧。

wcw 發表時間:2020-08-21 更多>>

不是,代理是代理內網所有終端防問公網網絡的服務器。我們的公網接口有運營商分配的一個網端ip有6個ip吧。

wcw 發表時間:2020-08-21
粉絲:15人 關注:0人

可以,如果你外網IP地址多的話,可以把外網地址設成一個地址組,然後將代理服務器到外網出口的方式用動態地址轉換來實現: nat outbound + ACL+地址組。

需要注意的是,如果你的外網地址大於內網地址的話,才能讓所有內網用戶用上麵的方式,如果不是,留個外網地址給其它內網用戶。

也可以說我沒用acl

wcw 發表時間:2020-08-21 更多>>

用acl加地址組的方式。但是同一個內網ip他就在地址組裏找個個ip後就一直用它不變。我想讓它變。

wcw 發表時間:2020-08-21

也可以說我沒用acl

wcw 發表時間:2020-08-21

編輯答案

你正在編輯答案

如果你要對問題或其他回答進行點評或詢問,請使用評論功能。

分享擴散:

提出建議

    +

親~登錄後才可以操作哦!

確定

親~檢測到您登陸的賬號未在http://hclhub.h3c.com進行注冊

注冊後可訪問此模塊

跳轉hclhub

你的郵箱還未認證,請認證郵箱或綁定手機後進行當前操作

舉報

×

侵犯我的權益 >
對根叔社區有害的內容 >
辱罵、歧視、挑釁等(不友善)

侵犯我的權益

×

泄露了我的隱私 >
侵犯了我企業的權益 >
抄襲了我的內容 >
誹謗我 >
辱罵、歧視、挑釁等(不友善)
騷擾我

泄露了我的隱私

×

您好,當您發現根叔知了上有泄漏您隱私的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您認為哪些內容泄露了您的隱私?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)

侵犯了我企業的權益

×

您好,當您發現根叔知了上有關於您企業的造謠與誹謗、商業侵權等內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到 pub.zhiliao@h3c.com 郵箱,我們會在審核後盡快給您答複。
  • 1. 您舉報的內容是什麼?(請在郵件中列出您舉報的內容和鏈接地址)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
  • 3. 是哪家企業?(營業執照,單位登記證明等證件)
  • 4. 您與該企業的關係是?(您是企業法人或被授權人,需提供企業委托授權書)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

抄襲了我的內容

×

原文鏈接或出處

誹謗我

×

您好,當您發現根叔知了上有誹謗您的內容時,您可以向根叔知了進行舉報。 請您把以下內容通過郵件發送到pub.zhiliao@h3c.com 郵箱,我們會盡快處理。
  • 1. 您舉報的內容以及侵犯了您什麼權益?(請在郵件中列出您舉報的內容、鏈接地址,並給出簡短的說明)
  • 2. 您是誰?(身份證明材料,可以是身份證或護照等證件)
我們認為知名企業應該坦然接受公眾討論,對於答案中不準確的部分,我們歡迎您以正式或非正式身份在根叔知了上進行澄清。

對根叔社區有害的內容

×

垃圾廣告信息
色情、暴力、血腥等違反法律法規的內容
政治敏感
不規範轉載 >
辱罵、歧視、挑釁等(不友善)
騷擾我
誘導投票

不規範轉載

×

舉報說明