所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站
选择语言
搜索
技术支持 文档中心
NetEngine AR600, AR6100, AR6200, AR6300 典型配置案例(Web网管)
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAT

NAT

配置公网和私网用户通过公网口的IP地址访问内部服务器和Internet示例

规格

适用于所有版本、所有形态的AR路由器。

组网需求

图2-57所示,某小型企业内网部署了一台路由器、一台FTP服务器和一台Web服务器。路由器作为接入网关,为下挂的内网用户提供上网服务,主要包括浏览网页、使用即时通信工具、观看视频、访问邮箱等。企业内网的FTP/Web服务器对内网和外网用户分别提供FTP服务和WWW服务。由于IP地址资源有限,该企业只有一个可用的公网IP地址1.1.1.1/24,部署在网关的上行接口。企业希望在路由器上配置NAT功能,使内网用户可以访问Internet,同时外网和内网用户都可以通过公网口的IP地址访问内部FTP/Web服务器。

图2-57 配置公网和私网用户通过公网口的IP地址访问内部FTP/Web服务器和Internet

数据准备

表2-1 数据准备表

项目

数据

说明

路由器上行接口IP地址

GE0/0/1:1.1.1.1/24(公网口)

使用三层接口GE0/0/1连接Internet。

路由器下行接口IP地址

GE0/0/2:192.168.1.1/24

使用三层接口GE0/0/2连接企业内网用户。如果有多个内网用户需要上网,可以在路由器上下挂一个二层交换机来扩展用户个数。

对端运营商接口的IP地址

1.1.1.2/24

对端运营商接口的IP地址用于配置路由信息,否则内网用户上网的报文无法转发到Internet。

FTP服务器的内网IP地址和端口号

Web服务器的内网IP地址和端口号

192.168.1.2/24:21

192.168.1.3/24:80

企业内网分配给FTP/Web服务器的内网IP地址和端口号。本例中,虽然内网用户和FTP/Web服务器都在内网,但是为了防止内部服务器受内网用户的攻击,要求内网用户也通过公网口的IP地址来访问FTP/Web服务器。

FTP服务器映射后的公网IP地址和端口号

Web服务器映射后的公网IP地址和端口号

1.1.1.1/24:21

1.1.1.1/24:9080

由于该企业只有一个可用的公网IP地址,部署在路由器上行接口。因此,只能使用该接口的IP地址作为FTP/Web服务器映射后的公网IP地址。同时,需要规划不同的公网端口号21和9080来区分FTP/Web服务器。

内网用户HostA的IP地址

192.168.1.10/24

企业内部分配给用户的内网IP地址,用于验证内网用户访问Internet、FTP和Web服务器是否正常。

外网用户HostC的IP地址

2.2.2.2/24

外部用户的公网IP地址,用于验证外网用户访问内网的FTP/Web服务器是否正常。

操作步骤

  1. 配置上行接口和下行接口的IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。
    1. 登录Web网管后,依次单击配置 > 广域网配置 > 以太接口 > 接口配置,进入如图2-58所示的“接口配置”界面。

      图2-58 接口配置

    2. “以太接口列表”中,单击“GigabitEthernet0/0/1”右侧的修改,配置接口的IP地址,如图2-59所示。

      图2-59 修改以太接口

    3. 单击“确定”,完成GE0/0/1的IP地址配置。

      同样的方式,配置接口GE0/0/2的IP地址为192.168.1.1,子网掩码为255.255.255.0。

    4. 依次单击高级>IP业务 > 路由 > 静态路由配置。在“IPv4静态路由”中,配置缺省路由,下一跳为对端运营商接口的IP地址,保证内网用户上网的报文可以到达Internet。如图2-60所示。

      图2-60 配置缺省路由

    5. 单击“添加”,完成缺省路由的配置。
  2. 在上行接口配置Easy IP方式的NAT Outbound,使内网用户可以访问Internet。
    1. 选择配置 > 攻击防范 > ACL > 基本ACL,进入基本ACL界面。配置只允许192.168.1.0网段的用户访问Internet,如图2-61所示。

      图2-61 基本ACL配置界面

    2. 单击“添加”,完成基本ACL规则的配置。
    3. 选择高级 > IP业务 > NAT,进入外网访问界面。在GE0/0/1上配置Easy IP方式的NAT Outbound,如图2-62所示。

      图2-62 外网访问

    4. 单击“添加”,完成外网访问的配置。
  3. 在上行接口配置服务器映射NAT Static。由于只有一个可用的公网IP地址部署在上行接口,配置成current-interface,使用公网口的IP地址作为内部服务器映射后的IP地址,实现外网用户通过公网口的IP地址访问内部FTP/Web服务器功能。
    1. 选择高级 > IP业务 > NAT,进入静态NAT界面,配置静态NAT,如图2-63所示。

      图2-63 静态NAT

    2. 单击“添加”,实现外网用户通过公网口的IP地址访问内部FTP服务器功能。

      同样的方式,配置实现外网用户通过公网口的IP地址访问内部Web服务器功能,其中“接口名称”“GE0/0/1”“转换类型”“协议转换”“协议类型”“TCP”“外部IP”“当前接口IP地址”“外部端口号”“9080”“内部IP”“192.168.1.3”“内部端口号”“80”

  4. 开启FTP的NAT ALG功能。
    1. 选择高级 > IP业务 > NAT,进入ALG配置界面,勾选“FTP”,如图2-64所示。

      图2-64 ALG配置

    2. 单击“应用”,开启FTP的NAT ALG功能。
  5. 在下行接口上配置Easy IP方式的NAT Outbound,将内部服务器与内网PC之间的流量都引导路由器上进行转发。
    1. 单击配置 > 攻击防范 > ACL > 高级ACL,进入高级ACL界面。配置允许内部主机使用公网IP地址访问服务器,如图2-65所示。

      图2-65 添加高级ACL规则

    2. 单击“添加”,完成高级ACL规则的配置。
    3. 选择高级 > IP业务 > NAT,进入外网访问界面。在GE0/0/2上配置Easy IP方式的NAT Outbound,如图2-66所示。

      图2-66 外网访问

    4. 单击“添加”,完成外网访问的配置。
  6. 在下行接口配置服务器映射NAT Static。由于只有一个可用的公网IP地址部署在上行口GE0/0/1,只能指定该接口的IP地址作为内部服务器映射后的IP地址,实现内网用户通过公网口的IP地址访问内部FTP/Web服务器功能。
    1. 选择高级 > IP业务 > NAT,进入静态NAT界面,配置如图2-67所示。

      图2-67 静态NAT

    2. 单击“添加”,实现内网用户通过公网口的IP地址访问内部FTP服务器功能。

      同样的方式,配置实现内网用户通过公网口的IP地址访问内部Web服务器功能,其中“接口名称”“GE0/0/2”“转换类型”“协议转换”“协议类型”“TCP”“外部IP”“指定接口”且选择GE0/0/1,“外部端口号”“9080”“内部IP”“192.168.1.3”“内部端口号”“80”

  7. 验证配置结果

    # 配置完成后,在“已设置外网访问列表”中显示如图2-68所示的列表。

    图2-68 已设置外网访问列表

    # 在“已设置静态NAT列表”中显示如图2-69所示。

    图2-69 已设置静态NAT列表

    # 在内网主机HostA上执行命令ping 1.1.1.2,模拟内网主机访问Internet,流量能Ping通。

    # 在内网主机HostA上执行命令ftp 1.1.1.1 21,模拟内网主机访问内部FTP服务器,FTP能正常访问。

    # 在外网主机HostC上执行命令ftp 1.1.1.1 21,模拟外网主机访问内部FTP服务器,FTP能正常访问。

配置NAT Server,实现内网服务器对外网用户提供WWW服务示例

规格

适用于V300R019C10及更高版本、所有形态的路由器。

组网需求

图2-70所示,某企业IP地址为192.168.1.2/24的内部服务器对外提供WWW服务,对外公布的IP地址为1.1.1.3/24。通过在Router上配置NAT Server,实现私网地址与公网地址的转换,使外部用户能够通过公网地址访问WWW服务器。GE0/0/1的IP地址为192.168.1.1/24,GE0/0/2的IP地址为1.1.1.2/24,对端运营商侧地址为1.1.1.1/24。

图2-70 配置NAT Server组网图

操作步骤

  1. 配置接口的IP地址。
    1. 依次单击配置 > 广域网配置 > 以太接口 > 接口配置,进入“接口配置”界面,如图2-2所示。

      图2-71 接口配置

    2. “以太接口列表”中,选择“GigabitEthernet0/0/1”,单击“操作”下的“修改”,如图2-3所示,修改GE0/0/1接口信息。

      图2-72 修改GE0/0/1接口

    3. 单击“确定”,完成接口GE0/0/1的配置。

    同样的方式,配置接口GE0/0/2的IP地址为1.1.1.2,子网掩码为255.255.255.0。

  2. 配置NAT Server,实现私网地址与公网地址的转换,使外部用户能够通过公网地址访问WWW服务器。
    1. 依次单击高级 > IP业务 > NAT > 内部服务器,进入“内部服务器”界面,如图2-73所示。

      图2-73 内部服务器

    2. “内部服务器设置”中填写参数,配置NAT Server,如图2-74所示。

      图2-74 新建内部服务器

    3. 单击“添加”,完成NAT Server的配置。
  3. 配置缺省路由,保证出接口到对端路由可达。
    1. 依次单击高级 > IP业务 > 路由 > 静态路由配置 > IPv4静态路由,进入“IPv4静态路由”界面,如图2-75所示。

      图2-75 IPv4静态路由

    2. “静态路由设置”中填写相关参数,配置缺省路由,如图2-76所示。

      图2-76 静态路由设置

    3. 单击“添加”,完成缺省路由的配置。
  4. 验证配置结果。

    # 配置完成后,显示如图2-77所示的配置列表。外网用户能够通过公网地址访问WWW服务器。

    图2-77 已设置内部服务器列表

配置静态NAT,实现私网地址与公网地址的转换示例

规格

适用于V300R019C10及更高版本、所有形态的路由器。

组网需求

图1所示,某企业IP地址为192.168.1.2/24的主机用户希望使用固定公网地址1.1.1.3/24。通过在Router上配置静态NAT,实现私网地址与公网地址的转换,使用户能够与外网互通。GE0/0/1的IP地址为192.168.1.1/24,GE0/0/2的IP地址为1.1.1.2/24,对端运营商侧地址为1.1.1.1/24。

图2-78 配置静态NAT组网图

操作步骤

  1. 配置接口IP地址
    1. 登录Web网管后,依次单击配置 > 广域网配置 > 以太接口 > 接口配置,进入“接口配置”界面,如图2所示。

      图2-79 以太接口设置

    2. “以太接口列表”中,选择GigabitEthernet0/0/1,单击“操作”所在列的“修改”,配置接口的IP地址,如图3所示。

      图2-80 修改以太接口

    3. 单击“确定”,完成接口GE0/0/1的配置。

      同样的方式,配置接口GE0/0/2的IP地址为1.1.1.2,子网掩码为255.255.255.0。

  2. 配置静态NAT,实现私网地址与公网地址的转换
    1. 依次单击高级 > IP业务 > NAT > 静态NAT,进入“静态NAT”界面,如图4所示。

      图2-81 静态NAT

    2. “静态NAT”中配置相关参数,配置NAT,如图5所示。

      图2-82 新建静态NAT

    3. 单击“添加”,完成静态NAT的配置。
  3. 配置缺省路由,保证出接口到对端路由可达
    1. 依次单击高级 > IP业务 > 路由 > 静态路由配置 > IPv4静态路由,进入“IPv4静态路由”界面,如图6所示。

      图2-83 静态路由配置

    2. “IPv4静态路由”中配置相关参数,配置缺省路由,如图7所示。

      图2-84 新建IPv4静态路由业务

    3. 单击“添加”,完成缺省路由的配置。
  4. 验证配置结果

    # 配置完成后,显示如图8所示的配置列表。内网用户可以实现与外网互通。

    图2-85 静态NAT

翻译
English
下载文档
更新时间:2023-10-17

文档编号:EDOC1100112344

浏览量:78129

下载量:8626

平均得分:
本文档适用于这些产品

相关版本

相关文档

数字签名

数字签名验证工具
分享
上一页 下一页

版权所有 © 华为技术有限公司 1998-2023。 保留一切权利。粤A2-20044005号

您正离开华为站点,前往: