登录

欢迎user新华三退出

国家 / 地区

  • 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-NAT配置

目录

03-H3C MSR系列路由器 内网用户通过外网地址访问内网服务器配置举例

本章节下载 03-H3C MSR系列路由器 内网用户通过外网地址访问内网服务器配置举例  (201.21 KB)

03-H3C MSR系列路由器 内网用户通过外网地址访问内网服务器配置举例

H3C MSR系列路由器

内网用户通过外网地址访问内网服务器配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。

目  录

1 简介

2 配置前提

3 配置举例

3.1 组网需求

3.2 配置思路

3.3 使用版本

3.4 配置步骤

3.5 验证配置

3.6 配置文件

4 相关资料

 

1 简介

本文档介绍MSR系列路由器内网用户通过NAT地址访问内网服务器典型配置举例。

2 配置前提

本文档适用于使用Comware V7软件版本的MSR系列路由器,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT特性。

3 配置举例

3.1  组网需求

图3-1所示,Host A和FTP服务器同在一个局域网内,Router作为该局域网的网关,具体要求如下:

·     外网主机可以通过Router访问内网FTP服务器;

·     内网主机在访问FTP服务器时,需要通过外网地址访问,从而有效的避免服务器受到来自内部网络的攻击。

图3-1 内网用户通过外网地址访问内网服务器

 

3.2  配置思路

·     通过定义ACL规则,并将其与NAT配置关联,实现只对内网匹配指定的ACL规则的报文进行地址转换。

·     为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器功能。

·     为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。

3.3  使用版本

本举例适用于H3C Comware V7平台的MSR系列路由器。以H3C MSR3610-X1产品的R6749P14版本为示例,具体操作可能因不同产品型号和软件版本而略有差异,请以实际情况为准。

3.4  配置步骤

# 配置Router的内网接口GigabitEthernet1/0/1和外网接口GigabitEthernet1/0/2的IP地址。

<Router> system-view

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] ip address 192.168.1.1 24

[Router-GigabitEthernet1/0/1] quit

[Router] interface gigabitethernet 1/0/2

[Router-GigabitEthernet1/0/2] ip address 10.0.0.1 24

[Router-GigabitEthernet1/0/2] quit

# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。

[Router] acl number 2000

[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet1/0/2上配置NAT内部服务器,允许外网主机使用地址10.0.0.1访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。

[Router] interface gigabitethernet 1/0/2

[Router-GigabitEthernet1/0/2] nat server protocol tcp global 10.0.0.1 inside 192.168.1.5 ftp

# 在接口GigabitEthernet1/0/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet1/0/2的IP地址进行源地址转换。

[Router-GigabitEthernet1/0/2] nat outbound 2000

[Router-GigabitEthernet1/0/2] quit

# 在接口GigabitEthernet1/0/1上使能NAT hairpin功能。

[Router] interface gigabitethernet 1/0/1

[Router-GigabitEthernet1/0/1] nat hairpin enable

[Router-GigabitEthernet1/0/1] quit

3.5  验证配置

# 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过display nat all命令查看所有NAT的配置信息,可以看到GigabitEthernet1/0/1接口上使能了NAT hairpin功能。

[Router] display nat all

NAT outbound information:

  Totally 1 NAT outbound rules.

  Interface: GigabitEthernet1/0/2

    ACL: 2000

    Address group ID: ---

    Port-preserved: N        NO-PAT: N  Reversible: N

    NAT counting: 0

Config status: Active

 

NAT internal server information:

  Totally 1 internal servers.

  Interface: GigabitEthernet1/0/2

    Protocol: 6(TCP)

    Global IP/port: 10.0.0.1/21

    Local  IP/port: 192.168.1.5/21

    NAT counting  : 0

    Config status : Active

 

NAT logging:

  Log enable          : Disabled

  Flow-begin          : Disabled

  Flow-end            : Disabled

  Flow-active         : Disabled

  Port-block-assign   : Disabled

  Port-block-withdraw : Disabled

  Alarm               : Disabled

  NO-PAT IP usage     : Disabled

 

NAT hairpinning:

  Totally 1 interfaces enabled with NAT hairpinning.

  Interface: GigabitEthernet1/0/1

    Config status: Active

 

NAT mapping behavior:

  Mapping mode: Address and Port-Dependent

  ACL         : ---

  Config status: Active

 

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Enabled

  ICMP-ERROR : Enabled

  ILS        : Enabled

  MGCP       : Enabled

  NBT        : Enabled

  PPTP       : Enabled

  RTSP       : Enabled

  RSH        : Enabled

  SCCP       : Enabled

  SCTP       : Enabled

  SIP        : Enabled

  SQLNET     : Enabled

  TFTP       : Enabled

  XDMCP      : Enabled

 

Static NAT load balancing:     Disabled

 

NAT link-switch recreate-session: Disabled

 

NAT configuration-for-new-connection: Disabled

 

NAT global-policy compatible-previous-version rule-type ipv4-snat-and-dnat trans

late-before-secp : Disabled

# 通过display nat session verbose命令查看NAT会话的详细信息,可以看到Host A访问FTP server时生成NAT会话信息。

[Router] display nat session verbose

Slot 1:

Initiator:

  Source      IP/port: 192.168.1.2/1694

  Destination IP/port: 10.0.0.1/21

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

Responder:

  Source      IP/port: 192.168.1.5/21

  Destination IP/port: 10.0.0.1/1025

  DS-Lite tunnel peer: -

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

  Inbound interface: GigabitEthernet1/0/1

State: TCP_ESTABLISHED

Application: HTTP

Rule ID: -/-/-

Rule name:

Start time: 2013-08-15 14:53:29  TTL: 3597s

Initiator->Responder:            7 packets        308 bytes

Responder->Initiator:            5 packets        312 bytes

 

Total sessions found: 1

3.6  配置文件

#

interface GigabitEthernet1/0/1

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

 nat hairpin enable

#

interface GigabitEthernet1/0/2

 port link-mode route

 ip address 10.0.0.1 255.255.255.0

 nat outbound 2000

 nat server protocol tcp global 10.0.0.1 21 inside 192.168.1.5 21

#

acl number 2000

 rule 0 permit source 192.168.1.0 0.0.0.255

#

4 相关资料

·     《H3C MSR 系列路由器 配置指导(V7)》中的“三层技术-IP业务配置指导”

·     《H3C MSR 系列路由器 命令参考(V7)》中的“三层技术-IP业务命令参考”

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们