配置NAT内部服务器
配置NAT内部服务器可以实现外部用户主动访问私网服务器。
应用环境
通过部署NAT可以允许私网用户主动向公网服务发起访问连接,而NAT功能隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,因此公网用户无法访问到私网用户。
为了解决此问题,引入了NAT内部服务器。NAT内部服务器就是通过静态配置“私网IP地址和端口号”与“公网IP地址和端口号”或“私网IP地址”与“公网IP地址”间的映射关系,实现公网IP地址到私网IP地址的“反向”转换。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令nat instance instance-name [ id id ],进入NAT实例视图。
(可选)执行命令nat server-mode enable,使能地址级的NAT Server模式。
当用户访问NAT内部服务器时建立用户表项,缺省情况下,该用户表项的公网地址是从NAT地址池中获取到的。使能地址级的NAT Server模式之后,当用户访问NAT内部服务器时建立用户表项,针对地址级的nat server global场景不从NAT地址池中获取该用户表项的公网地址;当用户访问NAT内部服务器时建立用户表项,针对端口级的nat server protocol依然需要从地址池中分配用户表中的公网地址。
配置NAT内部服务器,请根据实际情况任选其中一种方式配置。
公网地址与内部服务器是一对多关系,建议执行命令nat server protocol { tcp | udp | protocol-number } global global-address [ global-protocol | global-port ] [ vpn-instance global-vpn-instance-name ] inside inside-address [ host-protocol | inside-port ] [ vpn-instance inside-vpn-instance-name ],配置不同报文类型的NAT内部服务器。
公网地址与内部服务器是一对一关系,建议执行命令nat server global global-address [ vpn-instance vpn-instance-name ] inside inside-address [ vpn-instance vpn-instance-name ],配置NAT内部服务器。
为了节省公网地址,NAT内部服务器地址借用接口地址,建议执行命令nat server protocol { tcp | udp | protocol-number }global unnumbered interface { interface-name | interface-type interface-number } [ global-protocol | global-port ] [ vpn-instance global-vpn-instance-name ] inside inside-address [ host-protocol | inside-port ] [ vpn-instance inside-vpn-instance-name ],创建不同报文类型的NAT内部服务器和接口地址的复用关系。
执行命令commit,提交配置。
检查配置结果
- 执行命令display nat server-map [ dynamic | static ] [ ip ip-address | port port-number | vpn-instance vpn-instance-name | slot slot-id ] *,查看内部服务器的server-map表项信息。
执行命令display nat server-map,查看内部服务器的server-map表信息。
<HUAWEI> display nat server-map static slot 1 This operation will take a few minutes. Press 'Ctrl+C' to break ... Slot: 1 Total number: 1. NAT Instance: hw Protocol:TCP, VPN:--->- Server:192.168.1.1:21[192.168.2.1:21]->ANY Tag:0x0, TTL:0, Left-Time:00:00:00 CPE IP:192.168.1.1
