所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - NAT与IPv6过渡技术 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置公私网一对一的NAT内部服务器示例(随板场景)

配置公私网一对一的NAT内部服务器示例(随板场景)

介绍公私网一对一的NAT内部服务器的配置示例,通过指定NAT内部服务器,在业务板上配置内部服务器私网IP/端口对与公网IP/端口对的映射项,可以使外部主机访问私网内的服务器。

组网需求

图2-16所示,NAT A设备在指定槽位插入LPUF-51-E/LPUI-51-E/LPUI-51-S业务板。一个公司内部网络的计算机通过NE40E的网络地址转换功能连接到Internet。NE40E通过以太网接口GE2/0/0与内部网络连接,通过接口GE3/0/0连接到Internet。

公司内部网址为192.168.0.0/16。公司内部对外提供FTP服务。其中,内部FTP服务器地址为192.168.10.10/24。内部192.168.10.0/24网段的计算机可以访问Internet,其它网段的计算机则不能访问Internet。外部的PC可以访问内部的服务器。公司具有10.34.160.101/24至10.34.160.105/24共五个合法的IP地址。同时,公司内部服务器拥有一个单独的公网地址10.34.160.100,通过一对一的NAT公私网转换,外网192.168.1.2可以访问该内部FTP服务器。

图2-16  NAT内部服务器组网图
说明:

本例的配置主要在NAT A,Device B设备上进行。

本例中的interface1、interface2、interface3分别代表GE2/0/0、GE3/0/0、GE3/0/0


配置思路

采用如下思路配置NAT内部服务器:
  1. 配置NAT的基本功能;
  2. 配置NAT的引流策略;
  3. 配置NAT内部服务器。

数据准备

为完成此配置例,需准备如下数据:
  • VSM HA备份组的索引号1

  • NAT A设备上LPUF-51-E/LPUI-51-E/LPUI-51-S业务板所在的槽位号1

  • VSM HA业务实例组的名称group1

  • NAT实例的名称nat1和索引号1

  • NAT A设备的NAT转换地址池名称address-group1、地址池编号1、IP地址段从10.34.160.101到10.34.160.105

  • ACL编号3001

  • 流分类的名称classifier1

  • 流行为的名称behavior1

  • 流策略的名称policy1

  • 应用NAT引流策略的接口号GE2/0/0以及接口下的IP地址192.168.10.1/24

  • NAT内部服务器的私网IP地址192.168.10.10以及公网IP地址10.34.160.100

操作步骤

  1. 配置NAT的基本功能。
    1. 设置LPUF-51-E/LPUI-51-E/LPUI-51-S业务板的工作模式。

      <HUAWEI> system-view
      [~HUAWEI] sysname NATA
      [*HUAWEI] commit
      [~NATA] vsm on-board-mode enable
      [*NATA] commit

    2. 创建NAT实例nat1,并将业务板绑定到NAT实例。

      [~NATA] service-location 1
      [*NATA-service-location-1] location slot 1
      [*NATA-service-location-1] commit
      [~NATA-service-location-1] quit
      [~NATA] service-instance-group group1
      [*NATA-service-instance-group-group1] service-location 1
      [*NATA-service-instance-group-group1] commit
      [~NATA-service-instance-group-group1] quit
      [~NATA] nat instance nat1 id 1
      [*NATA-nat-instance-nat1] service-instance-group group1
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

    3. 配置NAT地址池,地址池范围从10.34.160.101到10.34.160.105。

      [~NATA] nat instance nat1
      [~NATA-nat-instance-nat1] nat address-group address-group1 group-id 1 10.34.160.101 10.34.160.105
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

  2. 配置NAT的引流策略。
    1. 配置基于ACL 3001的流分类规则。

      配置ACL的规则1:只有内部网段地址为192.168.10.0/24的主机可以访问Internet。

      [~NATA] acl 3001
      [*NATA-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
      [*NATA-acl4-advance-3001] commit
      [~NATA-acl4-advance-3001] quit

    2. 配置流分类classifier1,定义基于ACL的匹配规则。

      [~NATA] traffic classifier classifier1
      [*NATA-classifier-classifier1] if-match acl 3001
      [*NATA-classifier-classifier1] commit
      [~NATA-classifier-classifier1] quit

    3. 定义流行为behavior1,配置流量动作为绑定NAT实例。

      [~NATA] traffic behavior behavior1
      [*NATA-behavior-behavior1] nat bind instance nat1
      [*NATA-behavior-behavior1] commit
      [~NATA-behavior-behavior1] quit

    4. 定义NAT策略policy1,将所有应用的ACL规则和动作进行关联。

      [~NATA] traffic policy policy1
      [*NATA-trafficpolicy-policy1] classifier classifier1 behavior behavior1
      [*NATA-trafficpolicy-policy1] commit
      [~NATA-trafficpolicy-policy1] quit

    5. 在接口视图下应用NAT引流策略。

      [~NATA] interface gigabitEthernet 2/0/0
      [~NATA-GigabitEthernet2/0/0] ip address 192.168.10.1 24
      [*NATA-GigabitEthernet2/0/0] traffic-policy policy1 inbound
      [*NATA-GigabitEthernet2/0/0] commit
      [~NATA-GigabitEthernet2/0/0] quit

  3. 定义内部服务器地址192.168.10.10,对外地址使用10.34.160.100,采用地址级的方式保证公私网是一对一的关系。

    [~NATA] nat instance nat1
    [~NATA-nat-instance-nat1] nat server global 10.34.160.100 inside 192.168.10.10
    [*NATA-nat-instance-nat1] commit
    [~NATA-nat-instance-nat1] quit

  4. 验证配置结果。

    # 查看所有用户的server-map表项信息。

    <NATA> display nat server-map
    This operation will take a few minutes. Press 'Ctrl+C' to break ...
    Slot: 1 
    Total number:  2.
      NAT Instance: nat1                                                                                                                  
      Protocol:ANY, VPN:--->-                                                                                                           
      Server:192.168.10.10[10.34.160.100]->ANY                                                                                                  
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.10.10                                                                                                                  
                                                                                                                                        
      NAT Instance: nat1                                                                                                                  
      Protocol:ANY, VPN:--->-                                                                                                           
      Server reverse:ANY->10.34.160.100[192.168.10.10]                                                                                          
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.10.10  

配置文件

  • NAT A的配置文件。

    #
     sysname NATA
    #
    vsm on-board-mode enable
    #
    service-location 1
     location slot 1 
    #
    service-instance-group group1
     service-location 1
    #
    nat instance nat1 id 1
     service-instance-group group1
     nat address-group address-group1 group-id 1 10.34.160.101 10.34.160.105 
     nat server global 10.34.160.100 inside 192.168.10.10
    #
    acl 3001
     rule 1 permit ip source 192.168.10.0 0.0.0.255
    #
    traffic classifier classifier1 operator or
     if-match acl 3001
    #
    traffic behavior behavior1
     nat bind instance nat1
    #
    traffic policy policy1
     classifier classifier1 behavior behavior1 precedence 1
    #
    interface GigabitEthernet 2/0/0
     undo shutdown
     ip address 192.168.10.1 255.255.255.0
     traffic-policy policy1 inbound
    #
    interface GigabitEthernet 3/0/0
     undo shutdown
     ip address 172.21.1.1 255.255.255.0
    #
    ospf 1
     area 0.0.0.0
      network 172.21.1.0 0.0.0.255
    #
     return
    
  • Device B的配置文件。

    #
     sysname DeviceB
    #
    interface GigabitEthernet 3/0/0
     undo shutdown
     ip address 172.21.1.2 255.255.255.0
    #
    ospf 1
     area 0.0.0.0
      network 172.21.1.0 0.0.0.255
      network 192.168.1.0 0.0.0.255
    #
    interface GigabitEthernet 2/0/0
     undo shutdown
     ip address 192.168.1.1 255.255.255.0
    #
     return
    
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028549

浏览量:21117

下载量:210

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页