2.组网图
图2-3自定义选项典型配置举例
3.配置步骤
(1> 配置接口Ethernet1/1的IP地址<略)
(2> 配置DHCP服务
#使能DHCP服务。
system-view
[RouterA]dhcpenable
#配置DHCP地址池0。
[RouterA]dhcpserverip-pool0
[RouterA-dhcp-pool-0]network10.1.1.0mask255.255.255.0
[RouterA-dhcp-pool-0]option43hex800B0000020102030402020202
(3> 验证配置结果
配置完成后,RouterB可以从DHCP服务器RouterA获取到10.1.1.0/24网段的IP地址和PXE引导服务器地址。
通过displaydhcpserverip-in-use命令可以查看DHCP服务器为客户端分配的IP地址。
私网访问公网典型配置举例
1.组网需求
一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16,需要实现如下功能:
● 内部网络中10.110.10.0/24网段的用户可以访问Internet,其它网段的用户不能访问Internet。
使用的公网地址为202.38.1.2和202.38.1.3。
● 对源地址为10.110.10.100的用户按目的地址进行统计,限制用户连接数的上限值为1000,下限值为200,即要求与外部服务器建立的连接数不超过1000,不少于200。
2.组网图
图1-5私网访问公网典型配置组网
3.配置步骤
#配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
system-view
[Router]nataddress-group1202.38.1.2202.38.1.3
#配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。
[Router]aclnumber2001
[Router-acl-basic-2001]rulepermitsource10.110.10.00.0.0.255
[Router-acl-basic-2001]ruledeny
[Router-acl-basic-2001]quit
#在出接口GigabitEthernet1/2上配置ACL2001与IP地址池1相关联。
[Router]interfacegigabitethernet1/2
[Router-GigabitEthernet1/2]natoutbound2001address-group1
[Router-GigabitEthernet1/2]quit
#配置连接限制策略1,对源地址为10.110.10.100的用户按照目的地址进行统计,限制用户连接数的上限值为1000,下限值为200。
[Router]aclnumber2002
[Router-acl-basic-2002]rulepermitsource10.110.10.1000.0.0.0
[Router-acl-basic-2002]ruledeny
[Router-acl-basic-2002]quit
[Router]connection-limitpolicy1
[Router-connection-limit-policy-1]limit0acl2002per-destinationamount1000200
[Router-connection-limit-policy-1]quit
#配置连接限制策略1与NAT模块绑定。
[Router]natconnection-limit-policy1
1.13.2 私网访问公网典型配置举例
1.组网需求
一个公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址,内部网址为10.110.0.0/16。
通过配置NAT使得仅内部网络中10.110.10.0/24网段的用户可以访问Internet。
2.组网图
图1-6私网访问公网典型配置组网
3.配置步骤
#配置IP地址池1,包括两个公网地址202.38.1.2和202.38.1.3。
system-view
[Router]nataddress-group1202.38.1.2202.38.1.3
#配置访问控制列表2001,仅允许内部网络中10.110.10.0/24网段的用户可以访问Internet。
[Router]aclnumber2001
[Router-acl-basic-2001]rulepermitsource10.110.10.00.0.0.255
[Router-acl-basic-2001]ruledeny
[Router-acl-basic-2001]quit
#在出接口GigabitEthernet1/2上配置ACL2001与IP地址池1相关联。
[Router]interfacegigabitethernet1/2
[Router-GigabitEthernet1/2]natoutbound2001address-group1
[Router-GigabitEthernet1/2]quit
1.13.3 普通内部服务器典型配置举例
1.组网需求
某公司内部对外提供Web、FTP和SMTP服务,而且提供两台Web服务器。
公司内部网址为10.110.0.0/16。
其中,内部FTP服务器地址为10.110.10.3/16,内部Web服务器1的IP地址为10.110.10.1/16,内部Web服务器2的IP地址为10.110.10.2/16,内部SMTP服务器IP地址为10.110.10.4/16。
公司拥有202.38.1.1/24至202.38.1.3/24三个IP地址。
需要实现如下功能:
● 外部的主机可以访问内部的服务器。
● 选用202.38.1.1作为公司对外提供服务的IP地址,Web服务器2对外采用8080端口。
2.组网图
图1-7普通内部服务器典型配置组网
3.配置步骤
#进入接口GigabitEthernet1/2。
system-view
[Router]interfacegigabitethernet1/2
#设置内部FTP服务器。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal202.38.1.121inside10.110.10.3ftp
#设置内部Web服务器1。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal202.38.1.180inside10.110.10.1www
#设置内部Web服务器2。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal202.38.1.18080inside10.110.10.2www
#设置内部SMTP服务器。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal202.38.1.1smtpinside10.110.10.4smtp
[Router-GigabitEthernet1/2]quit
1.13.4 NATDNSmapping典型配置举例
1.组网需求
某公司内部对外提供Web和FTP服务。
公司内部网址为10.110.0.0/16。
其中,Web服务器地址为10.110.10.1/16,FTP服务器地址为10.110.10.2/16。
公司具有202.38.1.1/24至202.38.1.3/24三个合法的IP地址。
另外公司在公网有一台DNS服务器,IP地址为202.38.1.4/24。
需要实现如下功能:
● 选用202.38.1.2作为公司对外提供服务的IP地址。
● 公网用户可以通过域名或IP地址访问内部服务器。
● 私网用户可以通过域名访问内部服务器。
2.组网图
图1-8NATDNSmapping典型配置组网
3.配置步骤
system-view
[Router]interfacegigabitethernet1/2
#配置内部Web服务器。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal202.38.1.2inside10.110.10.1www
#配置内部FTP服务器。
[Router-GigabitEthernet1/2]natserverprotocoltcpglobal202.38.1.2inside10.110.10.2ftp
[Router-GigabitEthernet1/2]quit
#配置两条DNSmapping表项:
Web服务器的域名对应IP地址202.38.1.2;FTP服务器的域名对应IP地址202.38.1.2。
[Router]natdns-mapdomainprotocoltcpip202.38.1.2portwww
[Router]natdns-mapdomainprotocoltcpip202.38.1.2portftp
[Router]quit
4.验证配置结果
#上述配置完成后,可以用display命令查看DNSmapping的配置情况。
displaynatdns-map
NATDNSmappinginformation:
Therearecurrently2NATDNSmapping(s>
Domain-name:
Global-IP :
202.38.1.2
Global-port:
80(www>
Protocol :
6(TCP>
Domain-name:
Global-IP :
202.38.1.2
Global-port:
21(ftp>
Protocol :
6(TCP>
私网HostA和公网HostB均可通过域名访问私网内的Web服务器,以及通过域名访问私网内的FTP服务器。
1.13.5 NAT日志输出至信息中心配置举例
1.组网需求
● 私网上的Host通过DeviceA访问公网上的设备DeviceB;
● DeviceA开启NAT转换功能,它对私网用户和公网设备之间往来的报文做NAT转换,并将NAT日志转化成系统日志送到信息中心;
● 通过查看信息中心的记录,实现对私网用户的监控。
2.组网图
图1-9NAT日志输出到信息中心组网图
3.配置步骤
下面只列出了与NAT日志相关的配置,各设备的IP地址及NAT网关NAT功能的配置略。
#设置DeviceA的NAT日志输出到信息中心。
system-view
[DeviceA]userlognatsyslog
#在DeviceA上开启NAT日志功能。
[DeviceA]natlogenable
#通过查看日志缓冲区监视私网用户的访问记录。
[DeviceA]quit
dir
Directoryofcf:
/
0 -rw- 16850028 Aug07200904:
02:
42 mainpack.bin
1 drw- - Aug07200505:
13:
48 logfile
2 -rw- 1747 Aug07200904:
05:
38 vrpcfg.cfg
3 -rw- 524288 Aug13200901:
27:
40 basicbtm.bin