评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置NAT和NAT内部WWW服务器综合示例
组网需求
如图2-11所示,一个公司内部网络的计算机通过NAT-Device的网络地址转换功能连接到Internet。公司内部对外提供WWW服务。
NAT-Device通过以太网接口GE0/2/0与内部网络连接,通过接口GE0/2/1连接到Internet。公司内部网址为192.168.0.0/16。其中,内部WWW服务器地址为192.168.10.10/24。公司具有11.34.160.101/24至11.34.160.105/24共五个合法的IP地址。NAT-Device网络侧对端设备的IP地址是173.21.1.2。
各接口IP地址如图2-11所示,通过配置要达到以下要求:
- 内部网段192.168.10.0/24的计算机可以访问Internet,其它网段的计算机则不能访问Internet。
- 外部的PC可以访问公司内部的服务器。
数据准备
- NAT实例的名称nat1和索引号1
- NAT-Device的NAT转换地址池名称address-group1、地址池编号1、IP地址段从11.34.160.102到11.34.160.105
- ACL的名称3001
- 应用NAT引流策略的接口号GE0/2/1以及接口下的IP地址173.21.1.1/24
- NAT内部服务器的私网IP地址192.168.10.10以及公网IP地址11.34.160.101
操作步骤
- 配置NAT基本功能。
- 配置NAT引流策略:配置基于ACL流分类规则,地址访问控制列表号为3001,ACL规则的编号为1,只有内部网段地址为192.168.10.0/24的主机可以访问Internet。
[~NAT-Device] acl 3001 [*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255 [*NAT-Device-acl4-advance-3001] commit [~NAT-Device-acl4-advance-3001] quit
- 应用NAT引流策略:在出接口GE0/2/1视图下应用ACL用户的流分类策略。
[~NAT-Device] interface gigabitEthernet 0/2/1 [~NAT-Device-GigabitEthernet0/2/1] ip address 173.21.1.1 24 [*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1 [*NAT-Device-GigabitEthernet0/2/1] commit [~NAT-Device-GigabitEthernet0/2/1] quit
- 配置NAT内部服务器:定义内部服务器地址192.168.10.10,对外地址使用11.34.160.101。
[*NAT-Device] nat server global 11.34.160.101 inside 192.168.10.10 [*NAT-Device] commit
- 配置静态路由:缺省路由,指定下一跳地址为173.21.1.2。
[~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 173.21.1.2 [*NAT-Device] commit
- 验证配置结果。
# 查看所有用户的server-map表项信息。
[~NAT-Device] display nat server-map This operation will take a few minutes. Press 'Ctrl+C' to break ... Slot: 9 Total number: 2. NAT Instance: nat1 Protocol:ANY, VPN:--->- Server:192.168.10.10[11.34.160.101]->ANY Tag:0x0, TTL:-, Left-Time:- CPE IP:192.168.10.10 NAT Instance: nat1 Protocol:ANY, VPN:--->- Server reverse:ANY->11.34.160.101[192.168.10.10] Tag:0x0, TTL:-, Left-Time:- CPE IP:192.168.10.10
NAT-Device的配置文件
#
sysname NAT-Device
#
nat instance nat1 id 1 simple-configuration
#
nat address-group address-group1 group-id 1 11.34.160.102 11.34.160.105
#
nat server global 11.34.160.101 inside 192.168.10.10
#
acl number 3001
rule 1 permit ip source 192.168.10.0 0.0.0.255
#
interface GigabitEthernet 0/2/1
undo shutdown
ip address 173.21.1.1 255.255.255.0
nat bind acl 3001 instance nat1
#
ip route-static 0.0.0.0 0.0.0.0 173.21.1.2
#
return
