史上最详细HC路由器NAT典型配置案例.pdf

《史上最详细HC路由器NAT典型配置案例.pdf》由会员分享，可在线阅读，更多相关《史上最详细HC路由器NAT典型配置案例.pdf（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 史上最详细 HC 路由器NAT 典型配置案例 Revised by BETTY on December 25,2020 H3C 路由器 NAT 典型配置案列（史上最详细）神马 CCIE，H3CIE,HCIE 等网络工程师日常实施运维必备，你懂的。NAT 典型配置举例 内网用户通过 NAT 地址访问外网（静态地址转换）1.组网需求 内部网络用户使用外网地址访问 Internet。2.组网图 图 1-5?静态地址转换典型配置组网图 3.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#配置内网 IP 地址到外网地址之间的一对一静态地址转换映射。system-view#使配置的静态地

2、址转换在接口 GigabitEthernet1/2上生效。Router interface gigabitethernet 1/2 Router-GigabitEthernet1/2 nat static enable Router-GigabitEthernet1/2 quit 4.验证配置#以上配置完成后，内网主机可以访问外网服务器。通过查看如下显示信息，可以验证以上配置成功。Router display nat static Static NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Interfaces e

3、nabled with static NAT:There are 1 interfaces enabled with static NAT.Interface:GigabitEthernet1/2#通过以下显示命令，可以看到 Host 访问某外网服务器时生成 NAT 会话信息。Router display nat session verbose Initiator:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:ICMP(1)Responder:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:ICMP(1)State:IC

4、MP_REPLY Application:INVALID Start time:2012-08-16 09:30:49 TTL:27s Interface(in):GigabitEthernet1/1 Interface(out):GigabitEthernet1/2 Initiator-Responder:5 packets 420 bytes Responder-Initiator:5 packets 420 bytes Total sessions found:1 内网用户通过 NAT 地址访问外网（地址不重叠）1.组网需求 某公司内网使用的 IP 地址为。该公司拥有和两个外网 IP 地

5、址。需要实现，内部网络中网段的用户可以访问 Internet，其它网段的用户不能访问Internet。使用的外网地址为和。2.组网图 图 1-6?内网用户通过 NAT 访问外网（地址不重叠）3.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#配置地址组 0，包含两个外网地址和。system-view Router nat address-group 0 Router-nat-address-group-0 quit#配置 ACL 2000，仅允许对内部网络中网段的用户报文进行地址转换。Router acl number 2000 Router-acl-basic-2000 qu

6、it#在接口 GigabitEthernet1/2 上配置出方向动态地址转换，允许使用地址组 0 中的地址对匹配 ACL 2000 的报文进行源地址转换，并在转换过程中使用端口信息。Router interface gigabitethernet 1/2 Router-GigabitEthernet1/2 nat outbound 2000 address-group 0 Router-GigabitEthernet1/2 quit 4.验证配置 以上配置完成后，Host A 能够访问 WWW server，Host B 和 Host C 无法访问 WWW server。通过查看如下显示信息，

7、可以验证以上配置成功。Router display nat all NAT address group information:There are 1 NAT address groups.Group Number Start Address End Address NAT outbound information:There are 1 NAT outbound rules.Interface:GigabitEthernet1/2 ACL:2000 Address group:0 Port-preserved:N NO-PAT:N Reversible:N NAT logging:Log e

8、nable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:Disabled NAT mapping behavior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H323:Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host A 访问 WWW server 时生成 NAT 会话信息。Routerdisplay nat session verbose Initiator:VPN

9、instance/VLAN ID/VLL ID:-/-/-Protocol:ICMP(1)Responder:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:ICMP(1)State:ICMP_REPLY Application:INVALID Start time:2012-08-15 14:53:29 TTL:12s Interface(in):GigabitEthernet1/1 Interface(out):GigabitEthernet1/2 Initiator-Responder:1 packets 84 bytes Responder-Init

10、iator:1 packets 84 bytes Total sessions found:1 内网用户通过 NAT 地址访问外网（地址重叠）1.组网需求 某公司内网网段地址为，该网段与要访问的外网 Web 服务器所在网段地址重叠。该公司拥有和两个外网 IP 地址。需要实现，内网用户可以通过域名访问外网的 Web 服务器。2.组网图 图 1-7?内网用户通过 NAT 访问外网（地址重叠）3.配置思路 这是一个典型的双向 NAT 应用，具体配置思路如下。内网主机通过域名访问外网 Web 服务器时，首先需要向外网的 DNS 服务器发起 DNS查询请求。由于外网 DNS 服务器回复给内网主机的 DN

11、S 应答报文载荷中的携带的 Web服务器地址与内网主机地址重叠，因此 NAT 设备需要将载荷中的 Web 服务器地址转换为动态分配的一个 NAT 地址。动态地址分配可以通过入方向动态地址转换实现，载荷中的地址转换需要通过 DNS ALG 功能实现。内网主机得到外网 Web 服务器的 IP 地址之后（该地址为临时分配的 NAT 地址），通过该地址访问外网 Web 服务器。由于内网主机的地址与外网 Web 服务器的真实地址重叠，因此也需要为其动态分配一个的 NAT 地址，可以通过出方向动态地址转换实现。外网 Web 服务器对应的 NAT 地址在 NAT 设备上没有路由，因此需要手工添加静态路由，使

12、得目的地址为外网服务器 NAT 地址的报文出接口为 GigabitEthernet1/2。4.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#开启 DNS 的 NAT ALG 功能。system-view Router nat alg dns#配置 ACL 2000，仅允许对网段的用户报文进行地址转换。Router acl number 2000 Router-acl-basic-2000 quit#创建地址组 1。Router nat address-group 1#添加地址组成员。Router-nat-address-group-1 quit#创建地址组 2。Router

13、nat address-group 2#添加地址组成员。Router-nat-address-group-2 quit#在接口 GigabitEthernet1/2 上配置入方向动态地址转换，允许使用地址组 1 中的地址对 DNS 应答报文载荷中的外网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。Router interface gigabitethernet 1/2 Router-GigabitEthernet1/2 nat inbound 2000 address-group 1 no-pat reversible#在接口 GigabitEthernet1/2 上配置出

14、方向动态地址转换，允许使用地址组 2 中的地址对内网访问外网的报文进行源地址转换，并在转换过程中使用端口信息。Router-GigabitEthernet1/2 nat outbound 2000 address-group 2 Router-GigabitEthernet1/2 quit#配置静态路由，目的地址为外网服务器 NAT 地址，出接口为 GigabitEthernet1/2，下一跳地址为（为本例中的直连下一跳地址，实际使用中请以具体组网情况为准）。5.验证配置 以上配置完成后，Host A 能够通过域名访问 Web server。通过查看如下显示信息，可以验证以上配置成功。Rout

15、er display nat all NAT address group information:There are 2 NAT address groups.Group Number Start Address End Address NAT inbound information:There are 1 NAT inbound rules.Interface:GigabitEthernet1/2 ACL:2000 Address group:1 Add route:N NO-PAT:Y Reversible:Y NAT outbound information:There are 1 NA

16、T outbound rules.Interface:GigabitEthernet1/2 ACL:2000 Address group:2 Port-preserved:N NO-PAT:N Reversible:N NAT logging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:Disabled NAT mapping behavior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H

17、323:Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host A 访问 WWW server 时生成 NAT 会话信息。Router display nat session verbose Initiator:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHED Application:HTTP Start time:2012-08-15 14:53:29

18、TTL:3597s Interface(in):GigabitEthernet1/1 Interface(out):GigabitEthernet1/2 Initiator-Responder:7 packets 308 bytes Responder-Initiator:5 packets 312 bytes Total sessions found:1 外网用户通过外网地址访问内网服务器 1.组网需求 某公司内部对外提供 Web、FTP 和 SMTP 服务，而且提供两台 Web 服务器。公司内部网址为。其中，内部 FTP 服务器地址为，内部 Web 服务器 1 的 IP 地址为，内部 We

19、b 服务器 2 的 IP 地址为，内部 SMTP 服务器 IP 地址为。公司拥有至三个公网 IP 地址。需要实现如下功能：外部的主机可以访问内部的服务器。选用作为公司对外提供服务的 IP 地址，Web 服务器 2 对外采用 8080 端口。2.组网图 图 1-8?外网用户通过外网地址访问内网服务器 3.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#进入接口 GigabitEthernet1/2。system-view Router interface gigabitethernet 1/2#配置内部 FTP 服务器，允许外网主机使用地址、端口号 21 访问内网 FTP 服务器

20、。#配置内部 Web 服务器 1，允许外网主机使用地址、端口号 80 访问内网 Web 服务器1。#配置内部 Web 服务器 2，允许外网主机使用地址、端口号 8080 访问内网 Web 服务器2。#配置内部 SMTP 服务器，允许外网主机使用地址以及 SMTP 协议定义的端口访问内网SMTP 服务器。Router-GigabitEthernet1/2 quit 4.验证配置 以上配置完成后，外网 Host 能够通过 NAT 地址访问各内网服务器。通过查看如下显示信息，可以验证以上配置成功。Router display nat all NAT internal server informati

21、on:There are 4 internal servers.Interface:GigabitEthernet1/2 Protocol:6(TCP)Interface:GigabitEthernet1/2 Protocol:6(TCP)Interface:GigabitEthernet1/2 Protocol:6(TCP)Interface:GigabitEthernet1/2 Protocol:6(TCP)NAT logging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:Disabled N

22、AT mapping behavior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H323:Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host 访问 FTP server 时生成 NAT 会话信息。Router display nat session verbose Initiator:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:VPN instance/VLAN ID/V

23、LL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHED Application:FTP Start time:2012-08-15 14:53:29 TTL:3597s Interface(in):GigabitEthernet1/2 Interface(out):GigabitEthernet1/1 Initiator-Responder:7 packets 308 bytes Responder-Initiator:5 packets 312 bytes Total sessions found:1 外网用户通过域名访问内网服务器（地址不重叠）1.组

24、网需求 某公司内部对外提供 Web 服务，Web 服务器地址为。该公司在内网有一台 DNS 服务器，IP 地址为，用于解析 Web 服务器的域名。该公司拥有两个外网 IP 地址：和。需要实现，外网主机可以通过域名访问内网的 Web 服务器。2.组网图 图 1-9?外网用户通过域名访问内网服务器（地址不重叠）3.配置思路 外网主机通过域名访问 Web 服务器，首先需要通过访问内网 DNS 服务器获取 Web 服务器的 IP 地址，因此需要通过配置 NAT 内部服务器将 DNS 服务器的内网 IP 地址和DNS 服务端口映射为一个外网地址和端口。DNS 服务器回应给外网主机的 DNS 报文载荷中携

25、带了 Web 服务器的内网 IP 地址，因此需要将 DNS 报文载荷中的内网 IP 地址转换为一个外网 IP 地址。外网地址分配可以通过出方向动态地址转换功能实现，转换载荷信息可以通过 DNS ALG 功能实现。4.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#开启 DNS 协议的 ALG 功能。system-view Router nat alg dns#配置 ACL 2000，允许对内部网络中的报文进行地址转换。Router acl number 2000 Router-acl-basic-2000 quit#创建地址组 1。Router nat address-grou

26、p 1#添加地址组成员。Router-nat-address-group-1 quit#在接口 GigabitEthernet1/2 上配置 NAT 内部服务器，允许外网主机使用地址访问内网 DNS 服务器。Router interface gigabitethernet 1/2#在接口 GigabitEthernet1/2 上配置出方向动态地址转换，允许使用地址组 1 中的地址对 DNS 应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。Router-GigabitEthernet1/2 nat outbound 2000 address-group 1

27、no-pat reversible Router-GigabitEthernet1/2 quit 5.验证配置 以上配置完成后，外网 Host 能够通过域名访问内网 Web server。通过查看如下显示信息，可以验证以上配置成功。Router display nat all NAT address group information:There are 1 NAT address groups.Group Number Start Address End Address NAT outbound information:There are 1 NAT outbound rules.Inter

28、face:GigabitEthernet1/2 ACL:2000 Address group:1 Port-preserved:N NO-PAT:Y Reversible:Y NAT internal server information:There are 1 internal servers.Interface:GigabitEthernet1/2 Protocol:17(UDP)NAT logging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:Disabled NAT mapping beh

29、avior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H323：Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host 访问 Web server 时生成 NAT 会话信息。Router display nat session verbose Initiator:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:VPN instance/VLAN ID/VLL ID:-/-/-Pro

30、tocol:TCP(6)State:TCP_ESTABLISHED Application:HTTP Start time:2012-08-15 14:53:29 TTL:3597s Interface(in):GigabitEthernet1/2 Interface(out):GigabitEthernet1/1 Initiator-Responder:7 packets 308 bytes Responder-Initiator:5 packets 312 bytes Total sessions found:1 外网用户通过域名访问内网服务器（地址重叠）1.组网需求 某公司内网使用的 I

31、P 地址为。该公司内部对外提供 Web 服务，Web 服务器地址为。该公司在内网有一台 DNS 服务器，IP 地址为，用于解析 Web 服务器的域名。该公司拥有三个外网 IP 地址：、和。需要实现，外网主机可以通过域名访问与其地址重叠的内网 Web 服务器。2.组网图 图 1-10?外网用户通过域名访问内网服务器（地址重叠）3.配置思路 这是一个典型的双向 NAT 应用，具体配置思路如下。外网主机通过域名访问 Web 服务器，首先需要访问内部的 DNS 服务器获取 Web 服务器的 IP 地址，因此需要通过配置 NAT 内部服务器将 DNS 服务器的内网 IP 地址和 DNS服务端口映射为一个

32、外网地址和端口。DNS 服务器回应给外网主机的 DNS 报文载荷中携带了 Web 服务器的内网 IP 地址，该地址与外网主机地址重叠，因此在出方向上需要为内网 Web 服务器动态分配一个 NAT地址，并将载荷中的地址转换为该地址。NAT 地址分配可以通过出方向动态地址转换功能实现，转换载荷信息可以通过 DNS ALG 功能实现。外网主机得到内网 Web 服务器的 IP 地址之后（该地址为 NAT 地址），使用该地址访问内网 Web 服务器，因为外网主机的地址与内网 Web 服务器的真实地址重叠，因此在入方向上也需要为外网主机动态分配一个 NAT 地址，可以通过入方向动态地址转换实现。NAT 设

33、备上没有目的地址为外网主机对应 NAT 地址的路由，因此需要手工添加静态路由，使得目的地址为外网主机 NAT 地址的报文的出接口为 GigabitEthernet1/2。4.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#开启 DNS 协议的 ALG 功能。system-view Router nat alg dns#配置 ACL 2000，允许对内部网络中网段的报文进行地址转换。Router acl number 2000 Router-acl-basic-2000 quit#创建地址组 1。Router nat address-group 1#添加地址组成员。Router-

34、nat-address-group-1 quit#创建地址组 2。Router nat address-group 2#添加地址组成员。Router-nat-address-group-2 quit#在接口 GigabitEthernet1/2 上配置 NAT 内部服务器，允许外网主机使用地址访问内网 DNS 服务器。Router interface gigabitethernet 1/2#在接口 GigabitEthernet1/2 上配置出方向动态地址转换，允许使用地址组 1 中的地址对 DNS 应答报文载荷中的内网地址进行转换，并在转换过程中不使用端口信息，以及允许反向地址转换。Rout

35、er-GigabitEthernet1/2 nat outbound 2000 address-group 1 no-pat reversible#在接口 GigabitEthernet1/2 上配置入方向动态地址转换，允许使用地址组 2 中的地址对外网访问内网的报文进行源地址转换，并在转换过程中使用端口信息。Router-GigabitEthernet1/2 nat inbound 2000 address-group 2 Router-GigabitEthernet1/2 quit#配置到达地址的静态路由，出接口为 GigabitEthernet1/2，下一跳地址为（为本例中的直连下一跳地

36、址，实际使用中请以具体组网情况为准）。5.验证配置 以上配置完成后，外网 Host 能够通过域名访问内网相同 IP 地址的 Web server。通过查看如下显示信息，可以验证以上配置成功。Router display nat all NAT address group information:There are 2 NAT address groups.Group Number Start Address End Address NAT inbound information:There are 1 NAT inbound rules.Interface:GigabitEthernet1/2

37、 ACL:2000 Address group:2 Add route:N NO-PAT:N Reversible:N NAT outbound information:There are 1 NAT outbound rules.Interface:GigabitEthernet1/2 ACL:2000 Address group:1 Port-preserved:N NO-PAT:Y Reversible:Y NAT internal server information:There are 1 internal servers.Interface:GigabitEthernet1/2 P

38、rotocol:17(UDP)NAT logging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Flow-active:Disabled NAT mapping behavior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H323：Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host 访问 Web server 时生成 NAT 会话信息。Router display nat

39、 session verbose Initiator:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHED Application:HTTP Start time:2012-08-15 14:53:29 TTL:3597s Interface(in):GigabitEthernet1/2 Interface(out):GigabitEthernet1/1 Initiator-Responder:

40、7 packets 308 bytes Responder-Initiator:5 packets 312 bytes Total sessions found:1 内网用户通过 NAT 地址访问内网服务器 1.组网需求 某公司内部网络中有一台 FTP 服务器，地址为。该公司拥有两个外网 IP 地址：和。需要实现如下功能：外网主机可以通过访问内网中的 FTP 服务器。内网主机也可以通过访问内网中的 FTP 服务器。2.组网图 图 1-11?内网用户通过 NAT 地址访问内网服务器 3.配置思路 该需求为典型的 C-S 模式的 NAT hairpin 应用，具体配置思路如下。为使外网主机可以通过

41、外网地址访问内网 FTP 服务器，需要在外网侧接口配置 NAT内部服务器。为使内网主机通过外网地址访问内网 FTP 服务器，需要在内网侧接口使能 NAT hairpin 功能。其中，目的 IP 地址转换通过匹配外网侧接口上的内部服务器配置来完成，源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成，本例中采用出方向动态地址转换配置。4.配置步骤#按照组网图配置各接口的 IP 地址，具体配置过程略。#配置 ACL 2000，允许对内部网络中网段的报文进行地址转换。system-view Router acl number 2000 Router-acl-basic

42、-2000 quit#在接口 GigabitEthernet1/2 上配置 NAT 内部服务器，允许外网主机使用地址访问内网 FTP 服务器，同时使得内网主机访问内网 FTP 服务器的报文可以进行目的地址转换。Router interface gigabitethernet 1/2#在接口 GigabitEthernet1/2 上配置 Easy IP 方式的出方向动态地址转换，使得内网主机访问内网 FTP 服务器的报文可以使用接口 GigabitEthernet1/2 的 IP 地址进行源地址转换。Router-GigabitEthernet1/2 nat outbound 2000 Rout

43、er-GigabitEthernet1/2 quit#在接口 GigabitEthernet1/1 上使能 NAT hairpin 功能。Router interface gigabitethernet 1/1 Router-GigabitEthernet1/1 nat hairpin enable Router-GigabitEthernet1/1 quit 5.验证配置 以上配置完成后，内网主机和外网主机均能够通过外网地址访问内网 FTP Server。通过查看如下显示信息，可以验证以上配置成功。Routerdisplay nat all NAT outbound information:

44、There are 1 NAT outbound rules.Interface:GigabitEthernet1/2 ACL:2000 Address group:-Port-preserved:N NO-PAT:N Reversible:N NAT internal server information:There are 1 internal servers.Interface:GigabitEthernet1/2 Protocol:6(TCP)NAT logging:Log enable:Disabled Flow-begin:Disabled Flow-end:Disabled Fl

45、ow-active:Disabled NAT hairpinning:There are 1 interfaces enabled with NAT hairpinning.Interface:GigabitEthernet1/1 NAT mapping behavior:Mapping mode:Address and Port-Dependent ACL:-NAT ALG:DNS:Enabled FTP:Enabled H323:Enabled ICMP-ERROR:Enabled#通过以下显示命令，可以看到 Host A 访问 FTP server 时生成 NAT 会话信息。Router

46、 display nat session verbose Initiator:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)Responder:VPN instance/VLAN ID/VLL ID:-/-/-Protocol:TCP(6)State:TCP_ESTABLISHED Application:HTTP Start time:2012-08-15 14:53:29 TTL:3597s Interface(in):GigabitEthernet1/1 Interface(out):GigabitEthernet1/1 Initiator-Responder:7 packets 308 bytes Responder-Initiator:5 packets 312 bytes