- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
37-MSR系列路由器NAT多实例访问公网典型配置案例
本章节下载: 37-MSR系列路由器NAT多实例访问公网典型配置案例 (127.67 KB)
MSR系列路由器NAT多实例访问公网的典型配置举例
|
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文档介绍使用NAT多实例的典型案例。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解NAT多实例的特性。
如图1所示,两台CE配置相同的地址连接到PE上,CE 1属于PE的VPN实例1,CE 2属于PE的VPN实例2,两CE分别连接单个的内部局域网,现要求:在PE上配置NAT多实例,使能CE 1和CE 2通过PE的同一公网接口访问Web服务器。
图1 MSR路由器NAT多实例访问公网组网图
为了使CE能够访问Web服务器,需要在PE的NAT多实例的访问控制列表中,配置相应的VPN实例来匹配不同CE的私网数据报文到目的地址。
本举例是在Release 2311版本上进行配置和验证的。
# 进入系统视图
<CE1> system-view
# 进入接口视图,配置IP地址。
[CE1] interface ethernet 0/1
[CE1-Ethernet0/1] ip address 202.115.1.2 255.255.255.0
[CE1-Ethernet0/1] quit
# 配置指向PE设备的缺省路由。
[CE1] ip route-static 0.0.0.0 0.0.0.0 202.115.1.1
# 进入系统视图。
<CE2> system-view
# 进入接口视图,配置IP地址。
[CE2] interface ethernet 0/2
[CE2-Ethernet0/2] port link-mode route
[CE2-Ethernet0/2] ip address 202.115.1.2 255.255.255.0
[CE2-Ethernet0/2] quit
# 配置指向PE设备的缺省路由。
[CE2] ip route-static 0.0.0.0 0.0.0.0 202.115.1.1
# 进入系统视图。
<PE> system-view
# 创建访问控制列表。
[PE]acl number 3000
[PE-acl-adv-3000] rule 1 permit ip vpn-instance 1 destination 168.32.15.0 0.0.0.255
[PE-acl-adv-3000] rule 2 permit ip vpn-instance 2 destination 168.32.15.0 0.0.0.255
[PE-acl-adv-3000] quit
# 创建VPN实例1,并配置RD和VPN Target属性。
[PE] ip vpn-instance 1
[PE-vpn-instance-1] route-distinguisher 1:1
[PE-vpn-instance-1] vpn-target 1:1
[PE-vpn-instance-1] quit
# 创建VPN实例2,并配置RD和VPN Target属性。
[PE] ip vpn-instance 2
[PE-vpn-instance-2] route-distinguisher 2:2
[PE-vpn-instance-2] vpn-target 2:2
[PE-vpn-instance-2] quit
# 配置连接CE 1的接口地址并绑定到VPN实例1。
[PE] interface ethernet 0/1
[PE-Ethernet0/1] ip binding vpn-instance 1
[PE-Ethernet0/1] ip address 202.115.1.1 255.255.255.0
[PE-Ethernet0/1] quit
# 配置连接CE 2的接口地址并绑定到VPN实例2。
[PE] interface ethernet 0/2
[PE-Ethernet0/2] ip binding vpn-instance 2
[PE-Ethernet0/2] ip address 202.115.1.1 255.255.255.0
[PE-Ethernet0/2] quit
# 在PE接口上应用ACL 3000并配置接口地址。
[PE] interface ethernet 0/0
[PE-Ethernet0/0] nat outbound 3000
[PE-Ethernet0/0] ip address 168.32.15.5 255.255.255.0
[PE-Ethernet0/0] quit
# 配置VPN实例1和VPN实例2到Web server的缺省路由。
[PE] ip route-static vpn-instance 1 0.0.0.0 0.0.0.0 168.32.15.6 public
[PE] ip route-static vpn-instance 2 0.0.0.0 0.0.0.0 168.32.15.6 public
# 配置到CE 1和CE 2所接局域网的VPN实例静态路由。
[PE] ip route-static vpn-instance 1 192.168.1.0 255.255.255.0 202.115.1.2
[PE] ip route-static vpn-instance 2 192.168.1.0 255.255.255.0 202.115.1.2
# 在CE 1上ping Web服务器的地址,查看能否ping通。
<CE1> ping 168.32.15.6
PING 168.32.15.6: 56 data bytes, press CTRL_C to break
Reply from 168.32.15.6: bytes=56 Sequence=0 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=1 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=4 ttl=254 time=1 ms
--- 168.32.15.6 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/1 ms
# 在CE 2上ping Web服务器的地址,查看能否ping通。
<CE2> ping 168.32.15.6
PING 168.32.15.6: 56 data bytes, press CTRL_C to break
Reply from 168.32.15.6: bytes=56 Sequence=0 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=1 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=2 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 168.32.15.6: bytes=56 Sequence=4 ttl=254 time=1 ms
--- 168.32.15.6 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/1/1 ms
# 在PE上察看VPN实例1和VPN实例2的地址转换表项。
<PE> display nat session
Pro GlobalAddr:Port LocalAddr:Port DestAddr:Port
ICMP 168.32.15.5:1033 202.115.1.2:16 168.32.15.6:16
GlobalVPN: --- LocalVPN: 1
status: --- TTL: --- Left: 00:00:08
Pro GlobalAddr:Port LocalAddr:Port DestAddr:Port
ICMP 168.32.15.5:1032 202.115.1.2:71 168.32.15.6:71
GlobalVPN: --- LocalVPN: 2
status: --- TTL: --- Left: 00:00:00
# 通过指定不同的VPN实例名称,精确查询该VPN实例的地址转换表项。
<PE> display nat session vpn-instance 1
Pro GlobalAddr:Port LocalAddr:Port DestAddr:Port
ICMP 168.32.15.5:1032 202.115.1.2:71 168.32.15.6:71
GlobalVPN: --- LocalVPN: 1
status: --- TTL: --- Left: 00:00:00
<PE> display nat session vpn-instance 2
Pro GlobalAddr:Port LocalAddr:Port DestAddr:Port
ICMP 168.32.15.5:1033 202.115.1.2:16 168.32.15.6:16
GlobalVPN: --- LocalVPN: 2
status: --- TTL: --- Left: 00:00:27
· CE 1:
#
sysname CE1
#
interface Ethernet0/1
port link-mode route
ip address 202.115.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 202.115.1.1
#
· CE 2:
#
sysname CE2
#
interface Ethernet0/2
port link-mode route
ip address 202.115.1.2 255.255.255.0
#
ip route-static 0.0.0.0 0.0.0.0 202.115.1.1
#
· PE:
#
sysname PE
#
ip vpn-instance 1
route-distinguisher 1:1
vpn-target 1:1 export-extcommunity
vpn-target 1:1 import-extcommunity
#
ip vpn-instance 2
route-distinguisher 2:2
vpn-target 2:2 export-extcommunity
vpn-target 2:2 import-extcommunity
#
acl number 3000
rule 1 permit ip vpn-instance 1 destination 172.32.0.0 0.0.255.255
rule 2 permit ip vpn-instance 2 destination 172.32.0.0 0.0.255.255
#
interface Ethernet0/0
port link-mode route
nat outbound 3000
ip address 168.32.15.5 255.255.0.0
#
interface Ethernet0/1
port link-mode route
ip binding vpn-instance 1
ip address 202.115.1.1 255.255.255.0
#
interface Ethernet0/2
port link-mode route
ip binding vpn-instance 2
ip address 202.115.1.1 255.255.255.0
#
ip route-static vpn-instance 1 0.0.0.0 0.0.0.0 168.32.15.6 public
ip route-static vpn-instance 1 192.168.1.0 255.255.255.0 202.115.1.2
ip route-static vpn-instance 2 0.0.0.0 0.0.0.0 168.32.15.6 public
ip route-static vpn-instance 2 192.168.1.0 255.255.255.0 202.115.1.2
#
· H3C MSR 系列路由器 命令参考(V5)-R2311
· H3C MSR 系列路由器 配置指导(V5)-R2311
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
