• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

05-三层技术-IP业务配置指导

目录

05-NAT配置

本章节下载 05-NAT配置  (525.31 KB)

05-NAT配置


1 NAT

说明

·     本文中的“SPC单板”指的是单板丝印以“SPC”开头(如SPC-GT48L)的单板,“SPE单板”指的是单板丝印以“SPE”开头(如SPE-1020-E-II)的单板,“NAT单板”指的是单板丝印以“IM-NAT”开头(如IM-NAT-II)的单板。

·     丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板、SPC单板和NAT单板上具有NAT业务接口,除特殊说明外,本文中涉及进入NAT业务接口的相关配置均可在上述单板上进行配置。

 

1.1  NAT简介

1.1.1  NAT概述

NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭。

说明

私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址。

RFC 1918为私有网络预留出了三个IP地址块,如下:

A类:10.0.0.0~10.255.255.255

B类:172.16.0.0~172.31.255.255

C类:192.168.0.0~192.168.255.255

(上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。)

NAT最初的设计目的是用于实现私有网络访问公共网络的功能,后扩展到实现任意两个网络间进行访问时的地址转换应用,本文中将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络。

 

图1-1描述了一个基本的NAT应用。

图1-1 地址转换的基本过程

 

(1)     内网用户主机(192.168.1.3)向外网服务器(1.1.1.2)发送的IP报文通过NAT设备。

(2)     NAT设备查看报头内容,发现该报文是发往外网的,将其源IP地址字段的私网地址192.168.1.3转换成一个可在Internet上选路的公网地址20.1.1.1,并将该报文发送给外网服务器,同时在NAT设备的网络地址转换表中记录这一映射。

(3)     外网服务器给内网用户发送的应答报文(其初始目的IP地址为20.1.1.1)到达NAT设备后,NAT设备再次查看报头内容,然后查找当前网络地址转换表的记录,用内网私有地址192.168.1.3替换初始的目的IP地址。

上述的NAT过程对终端(如图中的Host和Server)来说是透明的。对外网服务器而言,它认为内网用户主机的IP地址就是20.1.1.1,并不知道有192.168.1.3这个地址。因此,NAT“隐藏”了企业的私有网络。

地址转换的优点在于,在为内部网络主机提供了“隐私”保护的前提下,又能满足内部网络的主机通过该功能访问外部网络的资源。但它也有一些缺点:

·     由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密。在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP的port命令不能被正确转换。

·     网络调试变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟哪一台主机是恶意的,因为主机的IP地址被屏蔽了。

1.1.2  地址转换控制

在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问,即当NAT设备查看IP数据报文的报头内容时,如果发现源IP地址属于禁止访问外部网络的内部主机,它将不进行地址转换。另外,也希望只有指定的公网地址才可用于地址转换。

设备可以利用ACL(Access Control List,访问控制列表)和地址池来对地址转换进行控制。

·     访问控制列表可以有效地控制地址转换的使用范围,只有满足访问控制列表规则的数据报文才可以进行地址转换。

·     地址池是用于地址转换的一些连续的公网IP地址的集合,它可以有效地控制公网地址的使用。用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,定义合适的地址池。在地址转换的过程中,NAT设备将会从地址池中挑选一个IP地址作为数据报文转换后的源IP地址。

1.1.3  NAT实现

1. 基本地址转换

图1-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,来替代内部网络数据报文的源地址。在图1-1中是选择NAT设备出接口的IP地址(公网IP地址)。这样所有内部网络的主机访问外部网络时,只能拥有一个外部网络的IP地址,因此,这种情况同时只允许最多有一台内部网络主机访问外部网络。

当内部网络的多台主机并发的要求访问外部网络时,NAT也可实现对并发性请求的响应,允许NAT设备拥有多个公有IP地址。当第一个内网主机访问外网时,NAT选择一个公有地址IP1,在地址转换表中添加记录并发送数据报;当另一内网主机访问外网时,NAT选择另一个公有地址IP2,以此类推,从而满足了多台内网主机访问外网的请求。

说明

NAT设备拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内网主机并不会同时访问外网。公有IP地址数目的确定,应根据网络高峰期可能访问外网的内网主机数目的统计值来确定。

 

2. NAPT

NAPT(Network Address Port Translation,网络地址端口转换)是基本地址转换的一种变形,它允许多个内部地址映射到同一个公有地址上,也可称之为“多对一地址转换”。

NAPT同时映射IP地址和端口号:来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址,也就是“私网IP地址+端口号”与“公网IP地址+端口号”之间的转换。

图1-2描述了NAPT的基本原理。

图1-2 NAPT基本原理示意图

 

图1-2所示,三个带有内部地址的数据报到达NAT设备,其中报文1和报文2来自同一个内部地址但有不同的源端口号,报文1和报文3来自不同的内部地址但具有相同的源端口号。通过NAPT映射,三个数据报的源IP地址都被转换到同一个外部地址,但每个数据报都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。

采用NAPT可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。

目前,NAPT 支持两种不同的地址转换模式:

·     Endpoint-Independent Mapping(不关心对端地址和端口转换模式)

该模式下,NAT设备通过建立三元组(源地址、源端口号、协议类型)表项来进行地址分配和报文过滤。即,只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAPT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好得支持位于不同NAT设备之后的主机间进行互访。

·     Address and Port-Dependent Mapping(关心对端地址和端口转换模式)

该模式下,NAT设备通过建立五元组(源地址、源端口号、协议类型、目的地址、目的端口号)表项为依据进行地址分配和报文过滤。即,对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAPT映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但是不便于位于不同NAT设备之后的主机间进行互访。

3. 内部服务器

NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要给外部网络提供一个访问内网主机的机会,如给外部网络提供一台Web服务器,或是一台FTP服务器。

NAT设备提供的内部服务器功能,就是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,实现公网IP地址到私网IP地址的“反向”转换。例如,可以将20.1.1.1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问。

图1-3所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备根据报文的目的地址查找地址转换表项,将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号。

图1-3 内部服务器基本原理示意图

 

4. DNS mapping

一般情况下,DNS服务器和访问私网服务器的用户都在公网,通过在NAT设备的公网接口上配置内部服务器,可以将公网地址、端口等信息映射到私网内的服务器上,使得公网用户可以通过内部服务器的域名或公网地址来访问内部服务器。但是,如图1-4所示,如果DNS服务器在公网,私网用户希望通过域名来访问私网的Web服务器,则会由于DNS服务器向私网用户发送的响应报文中包含的是私网服务器的公网地址,而导致收到响应报文的私网用户无法利用域名访问私网服务器。通过在设备上配置DNS mapping可以解决该问题。

图1-4 NAT DNS mapping工作示意图

 

DNS mapping功能是指,通过配置“域名+公网IP地址+公网端口号+协议类型”的映射表,建立内部服务器域名与内部服务器公网信息的对应关系。在配置了NAT的接口上,设备检查接收到的DNS响应报文,根据报文中的域名查找用户配置的DNS mapping映射表,并根据表项内的“公网地址+公网端口+协议类型”信息查找内部服务器地址映射表中该信息对应的私网地址,替换DNS查询结果中的公网地址。这样,私网用户收到的DNS响应报文中就包含了要访问的内部服务器的私网地址,也就能够使用内部服务器域名访问同一私网内的内部服务器。

5. Easy IP

Easy IP功能是指进行地址转换时,直接使用接口的外网IP地址作为转换后的源地址,能够最大程度的节省IP地址资源。它也可以利用访问控制列表控制哪些内部地址可以进行地址转换。

6. NAT支持的特殊协议

NAT不仅实现了一般的地址转换功能,同时提供了完善的地址转换ALG(Application Layer Gateway,应用级网关)机制,使其可以支持一些特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。这些特殊协议的报文载荷里携带了地址或端口信息,该信息也可能需要进行地址转换。

可支持的特殊协议包括:FTP(File Transfer Protocol,文件传输协议)、PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)、ICMP(Internet Control Message Protocol,互联网控制消息协议)、DNS(Domain Name System,域名系统)、ILS(Internet Locator Service,Internet定位服务)、RTSP(Real Time Streaming Protocol,实时流协议)、H.323、SIP(Session Initiation Protocol,会话初始协议)、NetMeeting 3.01、NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)等。

7. 支持NAT多实例

NAT多实例允许分属于不同MPLS VPN的用户通过同一个出口访问外部网络,同时允许分属于不同MPLS VPN的用户使用相同的私网地址。当MPLS VPN用户访问外部网络时,地址转换将内部网络主机的IP地址和端口替换为设备的外部网络地址和端口,同时还记录了用户的MPLS VPN信息(如协议类型和路由标识符RD等)。回应报文到达时,地址转换将外部网络地址和端口还原为内部网络主机的IP地址和端口,同时可得知是哪一个MPLS VPN用户的访问。无论是NAT方式的地址转换还是NAPT方式的地址转换都支持多实例。

同时,地址转换支持内部服务器的多实例,给外部提供访问MPLS VPN内主机的机会。例如,MPLS VPN1内提供Web服务的主机地址是10.110.1.1,可以使用202.110.10.20作为Web服务器的外部地址,Internet的用户使用202.110.10.20的地址就可以访问到MPLS VPN1提供的Web服务。

另外, NAT还可利用外部网络地址所携带的MPLS VPN信息,支持多个MPLS VPN之间的互访。

1.2  NAT配置任务简介

表1-1 NAT配置任务简介

配置任务

说明

详细配置

配置地址转换

配置静态地址转换

二者必选其一

1.3.2 

配置动态地址转换

1.3.3 

配置内部服务器

可选

1.4 

配置DNS mapping

可选

1.5 

配置绑定关系

必选

1.6 

配置NAT日志

可选

1.7 

配置NAT连接限制

可选

1.8 

 

说明

·     只在PE(Provider Edge,服务提供商网络边缘)设备上支持NAT,P(Provider,服务提供商网络)设备上不支持。

·     接口下的NAT相关配置(地址转换或内部服务器配置)改变时,为保证连接的稳定性,建议用户在完成所有NAT相关的配置之后,保存配置并重启设备(或通过命令reset session手工清除与NAT相关的表项),以避免可能会产生的问题。这些问题主要包括:NAT相关的配置删除后,已建立的连接仍然可以进行地址转换处理;在连接过程中进行NAT配置,会因为配置顺序的不一致,导致相同的配置产生不同的处理结果。

·     必须保证各接口板上引用的地址池所定义的IP地址没有重叠。

·     对于NAT单板而言,在单PE上配置多实例二次NAT转换时,必须采用地址池VPN的方式实现,具体配置请参见“1.10.5  私网访问私网内部服务器典型配置举例VPN To VPN)”。

 

1.3  配置地址转换

1.3.1  地址转换介绍

通过NAT设备上静态建立或动态生成的地址映射关系,实现内部网络与外部网络IP地址的转换。通常,我们按照地址映射关系的产生方式将地址转换分为静态地址转换和动态地址转换两类:

·     静态地址转换

外部网络和内部网络之间的地址映射关系在配置中确定。适用于内部网络与外部网络之间的少量固定访问需求。

·     动态地址转换

外部网络和内部网络之间的地址映射关系由报文动态决定。通过配置访问控制列表和地址池(或接口地址)的关联,由“具有某些特征的IP报文”挑选使用“地址池中地址(或接口地址)”,从而建立动态地址映射关系。适用于内部网络有大量用户需要访问外部网络的需求。这种情况下,关联中指定的地址池资源由内网报文按需从中选择使用,访问外网的会话结束之后该资源便释放给其它用户。

无论静态地址转换还是动态地址转换,都可以支持NAT多实例的配置。只要指定地址所属的vpn-instance-name,即可以实现对MPLS VPN的支持。

1.3.2  配置静态地址转换

配置静态地址转换时,需要首先在系统视图下配置静态地址转换映射,然后在接口下使该转换生效。

静态地址转换映射支持两种方式:一对一静态转换映射、网段对网段静态转换映射。

注意

配置静态地址转换时,外部地址或者公网网络地址建议不要和动态NAT转换的地址池内的地址或接口网络地址重叠,否则,可能会出发生流冲突。

 

1. 配置一对一静态地址转换

实现一个内部私有网络地址到一个外部公有网络地址的转换。

表1-2 配置一对一静态地址转换

操作

命令

说明

进入系统视图

system-view

-

进入NAT业务接口视图

interface nat interface-number

必选

配置一对一静态地址转换映射

nat static local-ip [ vpn-instance local-name ] global-ip [ vpn-instance global-name ] [ destination ip-address { mask-length | mask } ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ unidirectional ]

必选

退回系统视图

quit

-

进入接口视图

interface interface-type interface-number

-

使配置的NAT静态转换在接口上生效

nat outbound static

必选

 

2. 配置网段对网段静态地址转换

实现一个内部私有网络到一个外部公有网络的地址转换。

表1-3 配置网段对网段静态地址转换

操作

命令

说明

进入系统视图

system-view

-

进入NAT业务接口视图

interface nat interface-number

必选

配置网段对网段静态地址转换映射

nat static net-to-net local-network [ vpn-instance local-name ] global-network [ vpn-instance global-name ] { mask-length | mask } [ destination ip-address { mask-length | mask } ] [ interface interface-type interface-number [ next-hop ip-address ] ] [ unidirectional ]

必选

退出NAT业务接口视图

quit

-

进入接口视图

interface interface-type interface-number

-

使配置的NAT静态转换在接口上生效

nat outbound static

必选

 

1.3.3  配置动态地址转换

通过在接口上配置访问控制列表和地址池(或接口地址)的关联即可实现动态地址转换。

·     若直接使用接口的IP地址作为转换后的地址,则配置Easy IP功能来实现动态地址转换。

·     若选择使用地址池中的地址作为转换后的地址,则根据地址转换过程中是否使用端口信息可将动态地址转换分为NO-PAT和NAPT两种方式:NO-PAT为不使用TCP/UDP端口信息实现的多对多地址转换;NAPT为使用TCP/UDP端口信息实现的多对一地址转换。

地址转换关联一般在NAT设备的出接口上配置,但是当某内网主机需要通过多个出接口访问外网时,就需要在多个出接口上配置地址转换关联,过程复杂,因此设备提供了入接口地址关联的配置。这样,当NAT设备作为VPN间互访的工具时,在出接口较多的情况下,通过在接入各私网的入接口上配置地址转换关联达到简化配置的目的。

·     若配置出接口地址关联,那么从出接口发送的首个数据包会首先由访问控制列表进行判定是否允许进行地址转换,然后根据关联找到与之对应的地址池(或接口地址)进行源地址转换,并建立地址转换表项,后续数据包直接根据地址转换表项进行转换。

·     若配置入接口地址关联,那么从该接口接收的符合指定访问控制列表的数据包首先会被重定向到NAT单板,然后再做与出接口地址转换类似的源地址转换处理。该方式下地址转换不支持Easy IP功能。

说明

·     入接口地址关联(使用nat inbound命令)需要NAT单板支持。

·     在同时配置了入接口和出接口地址关联的情况下,若报文同时命中了入接口和出接口的地址转换关联规则,则以出接口规则优先,即只按照出接口地址转换关联进行转换。

·     将数据包重定向到NAT单板时,需要通过配置QoS策略实现,具体配置请参见“ACL和QoS配置指导/QoS”中的QoS策略配置。需要注意的是,目前用于重定向NAT业务的QoS策略中的流分类规则只支持aclcustomer-vlan-iddestination-macdscp ip-precedenceprotocolservice-dot1pservice-vlan-idsource-mac

 

1. 配置准备

·     配置控制地址转换范围的ACL。

·     确定是否直接使用接口的IP地址作为转换后的报文源地址。

·     配置根据实际网络情况,合理规划可用于地址转换的公网IP地址池。

·     确定地址转换过程中是否使用端口信息。

说明

ACL的配置请参见“ACL和QoS配置指导”中的“ACL”。

 

需要注意的是,当NAT业务接口在NAT单板上时,ACL的规则匹配顺序如表1-4所示。

表1-4 ACL的规则匹配顺序

ACL类型

规则匹配顺序

IPv4基本ACL

(1)     先比较源IPv4地址范围,较小者优先

(2)     如果源IPv4地址范围相同,再比较配置的先后次序,先配置者优先

IPv4高级ACL

(1)     先比较源IPv4地址范围,较小者优先

(2)     如果源IPv4地址范围相同,则配置了目的IPv4地址者优先

(3)     如果同时配置了目的IPv4地址,则比较规则配置的先后次序,先配置者优先

 

2. 配置地址池

动态地址转换的过程中,NAT网关将会从地址池中挑选一个地址作为转换后的报文源地址。由于动态地址转换的关联配置中需要引用已经定义的地址池,因此需要根据实际网络情况,预先合理规划公网IP地址池。

表1-5 配置地址池

操作

命令

说明

进入系统视图

system-view

-

定义一个地址池

nat address-group group-number start-address end-address

必选

对于Easy IP功能,不需要配置NAT地址池,直接使用接口地址作为转换后的IP地址

 

注意

建议用户不要将接口IP地址所在的网段地址和广播地址配置在地址池中,否则可能导致网络不通。

 

3. 配置Easy IP

通过配置Easy IP功能,实现直接使用接口的IP地址作为转换后的报文源地址。

表1-6 配置Easy IP

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置访问控制列表和接口地址关联,实现Easy IP功能

nat outbound acl-number [ next-hop ip-address ]

必选

 

4. 配置NO-PAT

通过配置访问控制列表和地址池(或接口地址)的关联,将与访问控制列表匹配的报文的源地址映射为地址池中的地址(或接口地址),且不使用端口信息。

表1-7 配置NO-PAT

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

在出接口配置访问控制列表和地址池关联,且不使用端口信息,实现NOPAT

nat outbound acl-number address-group group-number [ vpn-instance vpn-instance-name ] [ next-hop ip-address ] no-pat

二者至少选其一

在入接口配置访问控制列表和地址池关联,且不使用端口信息,实现NOPAT

nat inbound acl-number address-group group-number [ vpn-instance vpn-instance-name ] [ interface interface-type interface-number [ next-hop ip-address ] ] no-pat

 

5. 配置NAPT

通过配置访问控制列表和地址池(或接口地址)的关联,将与访问控制列表匹配的报文的源地址映射为地址池中的地址(或接口地址),且使用端口信息。

表1-8 配置NAPT

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

在出接口配置访问控制列表和地址池关联,并且同时使用IP地址和端口信息,实现NAPT

nat outbound acl-number address-group group-number [ vpn-instance vpn-instance-name ] [ next-hop ip-address ]

二者至少选其一

在入接口配置访问控制列表和地址池关联,并且同时使用IP地址和端口信息,实现NAPT

nat inbound acl-number address-group group-number [ vpn-instance vpn-instance-name ] [ interface interface-type interface-number [ next-hop ip-address ] ]

 

1.4  配置内部服务器

1.4.1  内部服务器介绍

通过配置内部服务器,可以将相应的外部地址和端口映射到内部服务器的私有地址和端口上,从而使外部网络用户能够访问内部服务器。内部服务器与外部网络的映射表是通过在接口上配置nat server命令配置生成的。

配置内部服务器时需要配置的信息包括:外部网络的信息(外部网络地址global-address、外部网络端口global-port)、内部网络的信息(内部网络地址local-address、内部网络端口local-port)以及服务协议类型。根据配置的内外部网络信息的不同,可以将内部服务器分为普通内部服务器和负载分担内部服务器。

内部服务器以及对外公布的外网地址均可以支持MPLS L3VPN。当内部服务器位于MPLS L3VPN时,还应指定所属的vpn-instance-name。如果不设置该值,表示内部服务器不属于任何一个VPN。

注意

NAT单板支持在其NAT业务接口上配置全局内部服务器,即该配置在所有已经与该NAT业务接口绑定的三层接口上生效。

 

1.4.2  配置普通内部服务器

配置普通的内部服务器是将内网服务器的地址和端口(local-addresslocal-port)映射为外网地址和端口(global-addressglobal-port),允许外部网络中的主机访问位于内网的服务器。

表1-9 配置普通内部服务器

操作

命令

说明

进入系统视图

system-view

-

进入相应的接口视图

interface interface-type interface-number

-

配置普通内部服务器

nat server protocol pro-type global global-address [ global-port ] [ vpn-instance global-name ] inside local-address [ local-port ] [ vpn-instance local-name ]

二者必选其一

nat server protocol pro-type global global-address global-port1 global-port2 [ vpn-instance global-name ] inside local-address1 local-address2 local-port [ vpn-instance local-name ]

 

1.4.3  配置负载分担内部服务器

说明

该特性需要NAT单板支持。

 

配置负载分担内部服务器映射是指在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组。当内部服务器组中包含多个成员时,该组内的多台主机可以共同对外提供某种服务,从而实现内部服务器的负载分担。

表1-10 配置负载分担内部服务器

操作

命令

说明

进入系统视图

system-view

-

配置内部服务器组

nat server-group group-number

必选

添加内部服务器组成员

inside ip inside-ip port port-number

必选

进入接口视图

interface interface-type interface-number

-

配置负载分担内部服务器

nat server protocol pro-type global global-address global-port [ vpn-instance global-name ] inside server-group group-number [ vpn-instance local-name ]

必选

 

说明

·     nat server中引用的内部服务器组中必须有成员存在。

·     同一个内部服务器组中的成员IP地址必须是唯一的。

 

1.5  配置DNS mapping

通过配置DNS mapping,可以实现私网用户通过域名(DNS服务器在公网)访问位于同一私网的内部服务器的功能。

表1-11 配置DNS mapping

操作

命令

说明

进入系统视图

system-view

-

配置一条域名到内部服务器的映射

nat dns-map domain domain-name  protocol pro-type ip global-ip port global-port

必选

 

1.6  配置绑定关系

1.6.1  绑定关系介绍

绑定关系是指通过将配置了NAT功能的接口和NAT业务接口相绑定,使通过该接口的报文全部重定向到指定的NAT业务接口所在的单板上进行处理,利用这些单板上硬件的快速处理能力,提高了NAT的性能。

1.6.2  配置绑定关系

将接口与NAT业务接口绑定之前,首先需要配置接口的NAT功能。

表1-12 配置绑定关系

操作

命令

说明

进入系统视图

system-view

-

进入NAT业务接口视图

interface nat interface-number

-

配置绑定关系

nat binding interface interface-type interface-number

必选

一个NAT业务接口可以绑定多个配置NAT功能的接口

 

说明

将接口绑定到NAT业务接口后,该接口不能作为QoS重定向的出接口,因为从该接口出去的报文已被重定向到NAT业务接口,导致QoS重定向功能失效。

 

1.7  配置NAT日志

说明

·     NAT日志的配置请参见“安全配置指导”中的“会话管理”。

·     NAT日志不能通过隧道发送给日志服务器。

·     对于NAT单板而言,设备不会输出静态地址转换和内部服务器的相关日志信息。

 

1.8  配置NAT连接限制

1.8.1  连接限制简介

内网用户访问外部网络时,如果某一用户在短时间内经过设备向外部网络发起大量连接,将会导致设备系统资源迅速消耗,其它用户无法正常使用网络资源。另外,如果一台内部服务器在短时间内接收到大量的连接请求,将会导致该服务器无法及时进行处理,以至于不能再接受其它客户端的正常连接请求。因此,为了保护内部网络资源(主机或服务器)以及合理分配设备系统资源,需要制定相应的连接限制策略来对设备上建立的连接进行统计和限制。

目前,设备支持的连接限制策略可通过限制用户发起的连接数、限制用户创建连接的速率以及限制用户建立连接所占用的带宽资源来实现。

1.8.2  连接限制配置任务简介

表1-13 连接限制配置任务简介

配置任务

说明

详细配置

创建连接限制策略

必选

1.8.3 

配置连接限制策略

必选

1.8.4 

应用连接限制策略

必选

1.8.5 

配置连接限制的日志功能

可选

1.8.6 

 

1.8.3  创建连接限制策略

连接限制策略用于定义具体的连接限制规则,其中的规则规定了策略生效的范围和实施的参数。

表1-14 创建连接限制策略

操作

命令

说明

进入系统视图

system-view

-

创建连接限制策略,并进入连接限制策略视图

connection-limit policy policy-number

必选

 

1.8.4  配置连接限制策略

一个连接限制策略中可定义多条连接限制规则,每条连接限制规则中可指定一个连接限制的对象或范围,与之匹配的用户的连接建立将受到该规则中指定参数的限制。

可以根据源IP地址来限定用户范围,对指定主机或网段的用户(或VPN用户)进行连接数、连接速率或流量带宽的统计和限制。

基于源IP地址的连接限制规则支持以下三种模式:

·     主机限制模式:对指定的主机进行连接限制。

·     共享网段限制模式:对指定网段的用户进行连接限制,该网段内的用户共享指定资源。该模式由规则中的参数shared来标识。

·     独享网段限制模式:对指定网段的用户进行连接限制,该网段内的每个用户均享有指定的资源。

同一个连接限制策略中可配置多个不同模式的连接限制规则,不同的连接限制模式由连接限制规则编号的取值范围来区分。

表1-15 配置基于源IP地址的连接限制规则

操作

命令

说明

进入系统视图

system-view

-

进入连接限制策略视图

connection-limit policy policy-number

-

配置基于源IP地址的连接限制规则

limit limit-id source { user-ip mask-length } [ vpn-instance vpn-instance-name ] { amount { dns max-amount | http max-amount | other max-amount | tcp max-amount } * | { bandwidth max-bandwidth | rate max- rate } } * [ shared ]

必选

 

说明

连接限制规则按照规则编号从小到大的顺序进行匹配,因此在配置连接限制规则时,需要从整体策略考虑,根据各规则的内容来合理安排规则的编号顺序,推荐按照限制粒度和范围由小到大的顺序来设置规则序号。

 

1.8.5  应用连接限制策略

将已经配置好的连接限制策略应用到全局或不同的业务模块上,实现对指定网络资源的连接限制。

表1-16 应用连接限制策略

操作

命令

说明

进入系统视图

system-view

-

进入NAT接口视图

interface nat interface-number

-

应用连接限制策略

connection-limit apply policy policy-number

必选

 

说明

同一个NAT业务接口下只能应用一个连接限制策略。

 

1.8.6  配置连接限制日志功能

连接限制日志功能开启后,连接限制生效过程中的相关操作信息将会被发送至信息中心进行记录,该信息主要包括连接的源和目的信息、连接的协议类型、最大连接数和连接数到达上下限时的描述信息。

表1-17 配置连接限制日志功能

操作

命令

说明

进入系统视图

system-view

-

进入NAT业务接口视图

interface nat interface-number

-

开启连接限制日志功能

connection-limit log enable

必选

缺省情况下,连接限制日志功能处于关闭状态

 

说明

该命令需要NAT单板支持。

 

1.9  NAT显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下,执行reset命令可以清除地址转换的统计信息。

表1-18 NAT显示和维护

操作

命令

显示NAT地址池的信息

display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ]

显示所有的NAT配置信息

display nat all [ | { begin | exclude | include } regular-expression ]

显示地址转换关联的配置信息

display nat bound [ | { begin | exclude | include } regular-expression ]

显示DNS mapping的配置信息

display nat dns-map [ | { begin | exclude | include } regular-expression ]

显示内部服务器的信息

display nat server [ | { begin | exclude | include } regular-expression ]

显示内部服务器组的信息

display nat server-group [ group-number ] [ | { begin | exclude | include } regular-expression ]

显示静态配置的信息

display nat static [ | { begin | exclude | include } regular-expression ]

显示NAT的统计信息

display interface  nat-interface [ | { begin | exclude | include } regular-expression ]

显示连接限制策略的配置信息

display connection-limit policy { policy-number | all } [ | { begin | exclude | include } regular-expression ]

显示连接限制统计信息

display connection-limit statistics [ ip user-ip ] [ vpn-instance vpn-instance-name ] interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

显示总的连接限制统计信息

display connection-limit statistics total interface interface-type interface-number [ | { begin | exclude | include } regular-expression ]

 

1.10  NAT典型配置举例

1.10.1  静态一对一地址转换典型配置举例

1. 组网需求

内部网络用户10.110.10.8/24使用公网地址202.38.1.100访问Internet。

·     Router上3号槽位安装的单板为SPC单板、NAT单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板。

·     Router上5号槽位安装的是SPE单板。

2. 组网图

图1-5 静态地址转换典型配置组网图

 

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置一对一静态地址转换映射。

<Router> system-view

[Router] interface nat 3/0/1

[Router-NAT3/0/1] nat static 10.110.10.8 202.38.1.100

[Router-NAT3/0/1] quit

# 使配置的静态地址转换在出接口GigabitEthernet5/1/2上生效。

[Router] interface GigabitEthernet 5/1/2

[Router-GigabitEthernet5/1/2] nat outbound static

[Router-GigabitEthernet5/1/2] quit

# 在NAT业务接口NAT3/0/1上绑定已经配置NAT功能的接口GigabitEthernet5/1/2。

[Router] interface nat 3/0/1

[Router-NAT3/0/1] nat binding interface GigabitEthernet 5/1/2

[Router-NAT3/0/1] quit

说明

·     如果Router上连接内网的接口是在SPC单板上,还需要配置QoS策略将报文重定向到指定的NAT业务接口,这样流量才会进行NAT处理,具体可以参见1.10.3  私网访问公网典型配置举例中的典型配置三。

·     如果Router上连接内网的接口是在SPE单板上,则不需要配置QoS策略将报文重定向到指定的NAT业务接口,流量即可进行NAT处理。

 

1.10.2  动态地址转换典型配置举例

1. 组网需求

一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16,需要实现如下功能:

·     内部网络中10.110.10.0/24网段的用户可以访问Internet。

·     其它网段的用户不能访问Internet。使用的公网地址为202.38.1.2和202.38.1.3。

·     Router上5号槽位安装的单板为SPC单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板。

·     Router上3号槽位安装的是SPE单板。

2. 组网图

图1-6 动态地址转换典型配置组网网

 

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。

<Router> system-view

[Router] nat address-group 1 202.38.1.2 202.38.1.3

# 配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。

[Router] acl number 2001

[Router-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Router-acl-basic-2001] rule deny

[Router-acl-basic-2001] quit

# 在出接口GigabitEthernet3/1/2上配置ACL 2001与IP地址池1相关联。

[Router] interface GigabitEthernet 3/1/2

[Router-GigabitEthernet3/1/2] nat outbound 2001 address-group 1

[Router-GigabitEthernet3/1/2] quit

# 配置在NAT业务接口NAT5/0/1上绑定已经配置NAT功能的接口GigabitEthernet3/1/2。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/2

[Router-NAT5/0/1] quit

说明

·     如果Router上连接内网的接口是在SPC单板上,还需要配置QoS策略将报文重定向到指定的NAT业务接口,这样流量才会进行NAT处理,具体可以参见1.10.3  私网访问公网典型配置举例中的典型配置三。

·     如果Router上连接内网的接口是在SPE单板上,则不需要配置QoS策略将报文重定向到指定的NAT业务接口,流量即可进行NAT处理。

 

1.10.3  私网访问公网典型配置举例

说明

·     具有NAT业务接口的SPC单板和丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板,均支持出接口地址转换,但不支持入接口地址转换。

·     具有NAT业务接口的NAT单板,不仅支持出接口地址转换,也支持入接口地址转换。

 

1. 组网需求

一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16,需要实现如下功能:

·     内部网络中10.110.10.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。使用的公网地址为202.38.1.2和202.38.1.3。

·     对源地址为10.110.10.100的用户进行统计,限制用户连接数的上限值为1000,即要求与外部服务器建立的连接数不超过1000。

2. 组网图

图1-7 私网访问公网典型配置组网

 

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

·     典型配置一(出接口地址转换,Router上5号槽位安装的单板为SPC单板、NAT单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板,3号槽位安装的单板为SPE单板。):

# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。

<Router> system-view

[Router] nat address-group 1 202.38.1.2 202.38.1.3

# 配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。

[Router] acl number 2001

[Router-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Router-acl-basic-2001] rule deny

[Router-acl-basic-2001] quit

# 在出接口GigabitEthernet3/1/2上配置ACL2001与IP地址池1相关联。

[Router] interface GigabitEthernet 3/1/2

[Router-GigabitEthernet3/1/2] nat outbound 2001 address-group 1

[Router-GigabitEthernet3/1/2] quit

# 配置在NAT业务接口NAT5/0/1上绑定已经配置NAT功能的接口GigabitEthernet3/1/2。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/2

[Router-NAT5/0/1] quit

# 配置连接限制策略1,对源地址为10.110.10.100的用户进行统计,限制用户连接数的上限值为1000。

[Router] connection-limit policy 1

[Router-connection-limit-policy-1] limit 0 source 10.110.10.100 32 amount other 1000

[Router-connection-limit-policy-1] quit

# 配置连接限制策略与NAT业务接口NAT5/0/1绑定。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] connection-limit apply policy 1

[Router-NAT5/0/1] quit

·     典型配置二(入接口地址转换,Router上5号槽位安装的单板为NAT单板,3号槽位安装的单板为SPE单板。):

图1-8 私网访问公网典型配置组网

 

# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。

<Router> system-view

[Router] nat address-group 1 202.38.1.2 202.38.1.3

# 配置与地址池关联的访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。

[Router] acl number 2001

[Router-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Router-acl-basic-2001] rule deny

[Router-acl-basic-2001] quit

# 配置重定向报文的访问控制列表2002。由于本例中重定向到NAT业务接口的报文为需要地址转换的报文,因此ACL 2002中定义的ACL规则与ACL 2001相同,但也可以根据实际组网需求定义不同的规则。

[Router] acl number 2002

[Router-acl-basic-2002] rule permit source 10.110.10.0 0.0.0.255

[Router-acl-basic-2002] rule deny

[Router-acl-basic-2002] quit

# 配置QoS策略将报文重定向到NAT5/0/1。

[Router] traffic classifier 1

[Router-classifier-1] if-match acl 2002

[Router-classifier-1] quit

[Router] traffic behavior 1

[Router-behavior-1] redirect interface nat 5/0/1

[Router-behavior-1] quit

[Router] qos policy 1

[Router-qospolicy-1] classifier 1 behavior 1

[Router-qospolicy-1] quit

[Router] interface GigabitEthernet 3/1/1

[Router-GigabitEthernet3/1/1] qos apply policy 1 inbound

# 在入接口GigabitEthernet3/1/1上配置ACL2001与IP地址池1相关联。

[Router] interface GigabitEthernet 3/1/1

[Router-GigabitEthernet3/1/1] nat inbound 2001 address-group 1

#在NAT业务接口NAT5/0/1上绑定已经配置NAT功能的接口GigabitEthernet3/1/1。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/1

# 配置连接限制策略1,对源地址为10.110.10.100的用户进行统计,限制用户连接数的上限值为1000。

[Router] connection-limit policy 1

[Router-connection-limit-policy-1] limit 0 source 10.110.10.100 32 amount other 1000

[Router-connection-limit-policy-1] quit

# 配置连接限制策略1与NAT业务接口NAT5/0/1绑定。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] connection-limit apply policy 1

[Router-NAT5/0/1] quit

 

l     典型配置三(出接口地址转换,Router上3号槽位安装的单板为SPC单板。4号槽位安装的单板为SPC单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板。):

图1-9 私网访问公网典型配置组网

 

从Gigabitethernet 3/0/1进入的符合QoS策略的报文会被引流到NAT4/0/1业务接口;并且只有出接口是GigabitEthernet4/1/2且符合ACL2001的流量才会进行NAT业务处理,出接口是其它接口或者不符合ACL2001的流量会正常转发出去。

 

# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。

<Router> system-view

[Router] nat address-group 1 202.38.1.2 202.38.1.3

# 配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。

[Router] acl number 2001

[Router-acl-basic-2001] rule permit source 10.110.10.0 0.0.0.255

[Router-acl-basic-2001] rule deny

[Router-acl-basic-2001] quit

# 配置重定向报文的访问控制列表2002。由于本例中重定向到NAT业务接口的报文为需要地址转换的报文,因此ACL 2002中定义的ACL规则与ACL 2001相同,但也可以根据实际组网需求定义不同的规则。

[Router] acl number 2002

[Router-acl-basic-2002] rule permit source 10.110.10.0 0.255.255.255

[Router-acl-basic-2002] rule deny

[Router-acl-basic-2002] quit

# 配置QoS策略将报文重定向到NAT4/0/1。

[Router] traffic classifier 1

[Router-classifier-1] if-match acl 2002

[Router-classifier-1] quit

[Router] traffic behavior 1

[Router-behavior-1] redirect interface nat 4/0/1

[Router-behavior-1] quit

[Router] qos policy 1

[Router-qospolicy-1] classifier 1 behavior 1

[Router-qospolicy-1] quit

[Router] interface Gigabitethernet 3/0/1

[Router-GigabitEthernet3/0/1] qos apply policy 1 inbound

# 在出接口GigabitEthernet4/1/2上配置ACL2001与IP地址池1相关联。

[Router] interface Gigabitethernet 4/1/2

[Router-GigabitEthernet4/1/2] nat outbound 2001 address-group 1

[Router-GigabitEthernet4/1/2] quit

# 配置在NAT业务接口NAT4/0/1上绑定已经配置NAT功能的接口GigabitEthernet4/1/2。

[Router] interface nat 4/0/1

[Router-NAT4/0/1] nat binding interface Gigabitethernet 4/1/2

[Router-NAT4/0/1] quit

# 配置连接限制策略1,对源地址为10.110.10.100的用户进行统计,限制用户连接数的上限值为1000。

[Router] connection-limit policy 1

[Router-connection-limit-policy-1] limit 0 source 10.110.10.100 32 amount other 1000

[Router-connection-limit-policy-1] quit

# 配置连接限制策略与NAT业务接口NAT4/0/1绑定。

[Router] interface nat 4/0/1

[Router-NAT4/0/1] connection-limit apply policy 1

[Router-NAT4/0/1] quit

1.10.4  私网访问公网典型配置举例(VPN)

1. 组网需求

一个公司拥有202.38.1.1/24至202.38.1.3/24三个合法的公网IP地址,内部网址为10.110.0.0/16,内部网络是在VPN1中。通过配置NAT转换实现VPN1的用户可以访问Internet。

Router上5号槽位安装的单板为SPC单板、NAT单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板,3号槽位安装的单板为SPE单板。

2. 组网图

图1-10 私网访问公网典型配置组网

 

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置VPN。

<Router> system-view

System View: return to User View with Ctrl+Z.

[Router] ip vpn-instance vpn1

[Router-vpn-instance-vpn1] route-distinguisher 1:1

[Router-vpn-instance-vpn1] quit

# 设置默认路由为GigabitEthernet 3/1/4接口,下一跳为202.38.1.250

[Router] ip route-static vpn-instance vpn1 0.0.0.0 0 GigabitEthernet 3/1/4 202.38.1.250

# 配置接口GigabitEthernet 3/1/3VPN实例vpn1进行关联。

[Router-GigabitEthernet3/1/3] ip binding vpn-instance vpn1

[Router-GigabitEthernet3/1/3] ip address 10.110.10.10 16

[Router-GigabitEthernet3/1/3] quit

[Router] interface GigabitEthernet 3/1/4

[Router-GigabitEthernet3/1/4] ip address 202.38.1.1 24

[Router-GigabitEthernet3/1/4] quit 

# 配置地址池。

 [Router] nat address-group 0 202.38.1.2 202.38.1.3

# 配置访问控制列表。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit vpn-instance vpn1

[Router-acl-basic-2000] rule deny

[Router-acl-basic-2000] quit

# 配置出接口地址关联。

[Router] interface GigabitEthernet 3/1/4

[Router-GigabitEthernet3/1/4] nat outbound 2000 address-group 0

[Router-GigabitEthernet3/1/4] quit

# 绑定NAT虚接口。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/4

[Router-NAT5/0/1] quit

1.10.5  私网访问私网内部服务器典型配置举例(VPN To VPN

1. 组网需求

某公司有两个部门A和B,部门A被划分为vpn1,网段为192.168.1.0/24;部门B被划分为VPN2,网段为172.21.1.0/24;地址池VPN3,IP地址从202.38.1.2到202.38.1.3;部门B内有个Web服务器,现在要实现部门A对部门B的www服务器的访问。

Router上5号槽位安装的单板为NAT单板,3号槽位安装的单板为SPE单板。

2. 组网图

图1-11 私网访问私网典型配置组网

 

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

说明

·     在单PE上配置多实例二次NAT转换时,必须采用地址池VPN的方式实现。

·     在单PE上配置二次NAT转换时,请不要配置出接口规则,比如不要配置nat static net-to-netnat staticnat inbound命令中的interface参数。

 

# 配置VPN。

<Router> system-view

[Router] ip vpn-instance vpn1

[Router-vpn-instance-vpn1] route-distinguisher 1:1

[Router-vpn-instance-vpn1] vpn-target 3:3 import-extcommunity

[Router-vpn-instance-vpn1] quit

[Router] ip vpn-instance vpn2

[Router-vpn-instance-vpn2] route-distinguisher 2:2

[Router-vpn-instance-vpn2] vpn-target 3:3 import-extcommunity

[Router-vpn-instance-vpn2] quit

[Router] ip vpn-instance vpn3

[Router-vpn-instance-vpn3] route-distinguisher 3:3

[Router-vpn-instance-vpn3] vpn-target 3:3 export-extcommunity

[Router-vpn-instance-vpn3] quit

# 引出VPN3路由。

[Router] bgp 1

[Router-bgp] ipv4-family vpn-instance vpn3

[Router-bgp-vpn3] import-route static

[Router-bgp-vpn3] quit

[Router-bgp] quit

# 配置接口。

[Router] interface GigabitEthernet3/1/3

[Router-GigabitEthernet3/1/3] ip binding vpn-instance vpn1

[Router-GigabitEthernet3/1/3] ip address 192.168.1.1 24

[Router-GigabitEthernet3/1/3] quit

[Router] interface GigabitEthernet 3/1/4

[Router-GigabitEthernet3/1/4] ip binding vpn-instance vpn2

[Router-GigabitEthernet3/1/4] ip address 172.21.1.1 24

[Router-GigabitEthernet3/1/4] quit

# 配置ACL规则。

[Router] acl number 3005

[Router-acl-adv-3005] rule permit ip vpn-instance vpn1 source any destination 202.38.1.3 0

[Router-acl-adv-3005] quit

# 配置地址池。

[Router] nat address-group 0 202.38.1.2 202.38.1.3

# 配置nat inbound和nat server规则。

[Router] interface GigabitEthernet 3/1/3

[Router-GigabitEthernet3/1/3] nat inbound 3005 address-group 0 vpn-instance vpn3

[Router-GigabitEthernet3/1/3] nat server protocol tcp global 202.38.1.3 www vpn-instance vpn3 inside 172.21.1.243 www vpn-instance vpn2

[Router-GigabitEthernet3/1/3] quit

# 配置绑定关系。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/3

[Router-NAT5/0/1] quit

1.10.6  普通内部服务器典型配置举例

1. 组网需求

某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。公司内部网址为10.110.0.0/16。其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。公司拥有202.38.1.1/24至202.38.1.3/24三个IP地址。

·     Router上5号槽位安装的单板为SPC单板、NAT单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板。

·     3号槽位安装的单板为SPE单板。

需要实现如下功能:

·     外部的主机可以访问内部的服务器。

·     选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。

2. 组网图

图1-12 普通内部服务器典型配置组网

 

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 进入接口GigabitEthernet 3/1/2。

<Router> system-view

[Router] interface GigabitEthernet 3/1/2

# 设置内部FTP服务器。

[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 ftp inside 10.110.10.3 ftp

# 设置内部Web服务器1。

[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 www inside 10.110.10.1 www

# 设置内部Web服务器2。

[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 8080 inside 10.110.10.2 www

# 设置内部SMTP服务器。

[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 smtp inside 10.110.10.4 smtp

[Router-GigabitEthernet3/1/2] quit

#在NAT业务接口NAT5/0/1上绑定已经配置NAT功能的接口GigabitEthernet 3/1/2。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/2

[Router-NAT5/0/1] quit

1.10.7  负载分担内部服务器典型配置举例

1. 组网需求

某公司内部对外提供FTP服务,对外的公网IP地址为202.38.1.1/16。共有3台FTP服务器可以同时提供服务,并进行负载分担。

Router上5号槽位安装的单板为NAT单板,3号槽位安装的单板为SPE单板。

2. 组网图

图1-13 负载分担内部服务器典型配置组网

 

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 配置内部服务器组0及其成员10.110.10.1、10.110.10.2和10.110.10.3。

<Router> system-view

[Router] nat server-group 0

[Router-nat-server-group-0] inside ip 10.110.10.1 port 21

[Router-nat-server-group-0] inside ip 10.110.10.2 port 21

[Router-nat-server-group-0] inside ip 10.110.10.3 port 21

[Router-nat-server-group-0] quit

#  配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同对外提供FTP服务。

[Router] interface GigabitEthernet 3/1/2

[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.1 ftp inside server-group 0

[Router-GigabitEthernet3/1/2] quit

#在NAT业务接口NAT 5/0/1上绑定已经配置NAT功能的接口GigabitEthernet 3/1/2。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/2

[Router-NAT5/0/1] quit

1.10.8  NAT DNS mapping典型配置举例

1. 组网需求

某公司内部对外提供Web和FTP服务。公司内部网址为10.110.0.0/16。其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。公司具有202.38.1.1/24至202.38.1.3/24三个合法的IP地址。另外公司在公网有一台DNS服务器,IP地址为202.38.1.4/24。

·     Router上5号槽位安装的单板为SPC单板、NAT单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板。

·     3号槽位安装的单板为SPE单板。

需要实现如下功能:

·     选用202.38.1.2作为公司对外提供服务的IP地址。

·     公网用户可以通过域名或IP地址访问内部服务器。

·     私网用户可以通过域名访问内部服务器。

2. 组网图

图1-14 NAT DNS mapping典型配置组网

3. 配置步骤

# 按照组网图配置各接口的IP地址,具体配置过程略。

# 进入接口GigabitEthernet3/1/2。

<Router> system-view

[Router] interface GigabitEthernet 3/1/2

# 配置NAT内部Web服务器,允许外网主机使用地址202.38.1.2访问内网Web服务器。

[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.1 www

# 配置NAT内部FTP服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器。

[Router-GigabitEthernet3/1/2] nat server protocol tcp global 202.38.1.2 inside 10.110.10.2 ftp

[Router-GigabitEthernet3/1/2] quit

# 配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。

[Router] nat address-group 1 202.38.1.2 202.38.1.3

# 配置访问控制列表2001,仅允许内部网络中10.110.0.0/16网段的用户可以访问Internet。

[Router] acl number 2001

[Router-acl-basic-2001] rule permit source 10.110.0.0 0.0.255.255

[Router-acl-basic-2001] rule deny

[Router-acl-basic-2001] quit

# 在出接口GigabitEthernet3/1/2上配置ACL2001与IP地址池1相关联。

[Router] interface GigabitEthernet 3/1/2

[Router-GigabitEthernet3/1/2] nat outbound 2001 address-group 1

[Router-GigabitEthernet3/1/2] quit

# 配置在NAT业务接口NAT5/0/1上绑定已经配置NAT功能的接口GigabitEthernet3/1/2。

[Router] interface nat 5/0/1

[Router-NAT5/0/1] nat binding interface GigabitEthernet 3/1/2

[Router-NAT5/0/1] quit

# 配置两条DNS mapping表项:Web服务器的域名www.server.com对应IP地址202.38.1.2;FTP服务器的域名ftp.server.com对应IP地址202.38.1.2。

[Router] nat dns-map domain www.server.com protocol tcp ip 202.38.1.2 port www

[Router] nat dns-map domain ftp.server.com protocol tcp ip 202.38.1.2 port ftp

[Router] quit

4. 验证配置结果

# 上述配置完成后,可以用display命令查看DNS mapping的配置情况。

<Router> display nat dns-map

NAT DNS mapping information:

  There are currently 2 NAT DNS mapping(s)

  Domain-name: www.server.com

  Global-IP  : 202.38.1.2

  Global-port: 80(www)

  Protocol   : 6(TCP)

 

  Domain-name: ftp.server.com

  Global-IP  : 202.38.1.2

  Global-port: 21(ftp)

  Protocol   : 6(TCP)

私网Host A和公网Host B均可通过域名www.server.com访问私网内的Web服务器,以及通过域名ftp.server.com访问私网内的FTP服务器。

1.11  NAT常见配置错误举例

1. 故障现象

内部服务器工作不正常。

2. 故障排除

如果外部主机不能正常访问内部服务器,请检查是否是内部服务器主机的配置有错或路由器上对内部服务器的配置有错,如对内部服务器的IP地址指定错误等等。同时也有可能是防火墙禁止了外部主机对内部网络的访问,可以用display acl命令来查看,详细内容请参见“安全配置指导”中的“包过滤防火墙”。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们