H3C低端路由器NAT配置举例.docx
《H3C低端路由器NAT配置举例.docx》由会员分享,可在线阅读,更多相关《H3C低端路由器NAT配置举例.docx(18页珍藏版)》请在冰豆网上搜索。
H3C低端路由器NAT配置举例
1.1NAT配置举例
1.1.1典型NAT配置举例
1.组网需求
如下图所示,一个公司通过Quidway路由器的地址转换功能连接到广域网。
要求该公司能够通过Quidway路由器串口3/0/0访问internet,公司内部对外提供www、ftp和smtp服务,而且提供两台www的服务器。
公司内部网址为10.110.0.0/16。
其中,内部ftp服务器地址为10.110.10.1,内部www服务器1地址为10.110.10.2,内部www服务器2地址为10.110.10.3,内部smtp服务器地址为10.110.10.4,并且希望可以对外提供统一的服务器的IP地址。
内部10.110.10.0/24网段可以访问Internet,其它网段的PC机则不能访问Internet。
外部的PC可以访问内部的服务器。
公司具有202.38.160.100至202.38.160.105六个合法的IP地址。
选用202.38.160.100作为公司对外的IP地址,www服务器2对外采用8080端口。
2.组网图
图1-1地址转换配置案例组网图
3.配置步骤
#配置地址池和访问控制列表。
[Quidway]nataddress-group1202.38.160.100202.38.160.105
[Quidway]aclnumber2001
[Quidway-acl-basic-2001]rulepermitsource10.110.10.00.0.0.255
[Quidway-acl-basic-2001]ruledenysource10.110.0.00.0.255.255
[Quidway-acl-basic-2001]quit
#允许10.110.10.0/24网段地址转换。
[Quidway]interfaceSerial3/0/0
[Quidway-Serial3/0/0]natoutbound2001address-group1
#设置内部ftp服务器。
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.100inside10.110.10.1ftp
#设置内部www服务器1。
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.100inside10.110.10.2www
#设置内部www服务器2。
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.1008080inside10.110.10.3www
#设置内部smtp服务器。
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.100inside10.110.10.4smtp
1.1.2使用loopback接口地址进行地址转换典型配置举例
1.组网需求
如下图所示,公司通过Quidway路由器串口3/0/0访问internet,内部10.110.10.0/24网段可以访问Internet,其它网段的PC机则不能访问Internet,内部10.110.10.0/24网段使用loopback接口IP地址202.38.160.106做为地址转换后IP地址。
公司内部对外提供www、ftp和smtp服务,三个服务器对外使用统一的服务器IP地址202.38.160.100。
2.组网图
图1-1地址转换配置举例组网图
3.配置步骤
#配置访问控制列表。
[Quidway]aclnumber2001
[Quidway-acl-basic-2001]rulepermitsource10.110.10.00.0.0.255
[Quidway-acl-basic-2001]ruledenysource10.110.0.00.0.255.255
[Quidway-acl-basic-2001]quit
#配置loopback接口
[Quidway]interfaceloopback0
[Quidway-LoopBack0]ipaddress202.38.160.106
[Quidway-LoopBack0]quit
#设置内部ftp服务器。
[Quidway]interfaceSerial3/0/0
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.100inside10.110.10.1ftp
#设置内部www服务器1。
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.100inside10.110.10.2www
#设置内部www服务器2。
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.1008080inside10.110.10.3www
#设置内部smtp服务器。
[Quidway-Serial3/0/0]natserverprotocoltcpglobal202.38.160.100inside10.110.10.4smtp
#配置使用loopback接口作为转换后的IP地址。
[Quidway-Serial3/0/0]natoutbound2001interfaceloopback0
1.1.3静态网段地址转换典型组网应用
1.组网需求
私网A的网络地址为10.1.1.0/24网段,私网B的网络地址也为10.1.1.0/24网段。
假设PC1的地址为10.1.1.2,PC2的地址也是10.1.1.2。
RouterA的广域网接口IP地址为201.1.1.1/24,RouterB的广域网接口IP地址为201.2.2.2/24。
RouterA和B上配置网段地址转换,将私网A的网络地址10.1.1.0/24转换为211.2.1.0/24,将私网B的网络地址10.1.1.0/24转换为211.2.2.0/24。
在RouterA和RouterB上配置动态路由,保证RouterA到211.2.2.0/24的路由及RouterB到211.2.1.0/24的路由可达。
要求能够实现私网对公网的访问,而且实现私网A的PC1可以通过PC2在Router2上的公网地址211.2.2.2访问到PC2;同样私网B的PC2可以通过PC1在Router1上的公网地址211.2.1.2访问到PC1。
2.组网应用
图1-1静态网段地址转换应用组网图
3.配置步骤
(1)配置RouterA
#配置网段地址静态转换。
[RouterA]natstaticnet-to-net10.1.1.110.1.1.254global211.2.1.0255.255.255.0
#配置网段地址转换在接口Serial0/0/0上生效。
[RouterA]interfaceserial0/0/0
[RouterA-Serial0/0/0]ipaddress201.1.1.1255.255.255.0
[RouterA-Serial0/0/0]natoutboundstatic
[RouterA-Serial0/0/0]quit
#配置Ethernet1/0/0接口。
[RouterA]interfaceEthernet1/0/0
[RouterA-Ethernet1/0/0]ipaddress10.1.1.1255.255.255.0
#配置动态路由,保证到211.2.2.0网段的路由可达(略)。
(2)配置RouterB
#配置网段地址静态转换。
[RouterB]natstaticnet-to-net10.1.1.110.1.1.255global211.2.2.0255.255.255.0
#配置网段地址转换在接口Serial0/0/0上生效。
[RouterB]interfaceserial0/0/0
[RouterB-Serial0/0/0]ipaddress201.2.2.2255.255.255.0
[RouterB-Serial0/0/0]natoutboundstatic
[RouterB-Serial0/0/0]quit
#配置Ethernet1/0/0接口。
[RouterB]interfaceethernet1/0/0
[RouterB-Ethernet1/0/0]ipaddress10.1.1.1255.255.255.0
#配置动态路由,保证到211.2.1.0网段的路由可达(略)。
1.1.4双向地址转换配置举例
1.组网需求
公司原有内部局域网使用10.0.0.0/24和10.1.1.0/24网段地址,后合入一个网段,也使用10.0.0.0/24网段地址。
当PC1的IP地址10.0.0.1与PC3的IP地址相同时,要求PC1、PC2可以用域名或IP地址3.0.0.1/24访问PC3。
域名服务器IP地址为192.168.0.0/24网段。
2.组网图
图1-1双向地址转换配置举例组网图
3.配置步骤
(1)配置RouterA
#配置NAT地址池。
[Quidway]nataddress-group12.0.0.12.0.0.200
#配置双向NAT映射。
[Quidway]natoverlapaddress310.0.0.03.0.0.0address-mask24
#配置访问控制列表。
[Quidway]aclnumber2000
[Quidway-acl-basic-2000]rule0permitsource10.0.0.00.0.0.255
[Quidway-acl-basic-2000]rule1permitsource10.1.1.00.0.0.255
[Quidway-acl-basic-2000]quit
#在广域网接口上绑定NAToutbound。
[Quidway]interfaceserial0/0/0
[Quidway-Serial0/0/0]ipaddress192.168.0.1255.255.255.0
[Quidway-Serial0/0/0]natoutbound2000address-group1
#配置局域网口IP地址。
[Quidway-Serial0/0/0]interfaceethernet1/0/0
[Quidway-Ethernet1/0/0]ipaddress10.0.0.3255.255.255.0
[Quidway-Ethernet1/0/0]interfaceethernet3/0/0
[Quidway-Ethernet3/0/0]ipaddress10.1.1.3255.255.255.0
[Quidway-Ethernet3/0/0]quit
#配置静态路由。
[Quidway]iproute-static3.0.0.0255.255.255.0serial0/0/0
[Quidway]iproute-static192.168.1.0255.255.255.0serial0/0/0
DNS服务器的地址为192.168.0.150/24。
1.1.5内部服务器与IPSecVPN结合应用配置举例
1.组网需求
总公司通过网关Router1连接到公网上,并通过公网建立IPSecVPN连接分公司网络。
总公司和分公司之间的所有数据流均通过IPSec实现安全保护,采用manual方式建立安全联盟,安全协议采用ESP协议,加密算法采用DES,验证算法采用SHA1-HMAC-96。
总公司的www服务和FTP服务器位于10.110.10.0网段,通过Router1实现内部服务器功能,www服务器和FTP服务器可以对公网用户提供访问服务,即公网上的PC可以通过公网地址访问内部服务器;也可以为公司内部用户提供服务,且公司的PC可以通过私网地址访问内部服务器。
总公司和分公司内部的PC分别位于10.110.20.0/24和10.110.30.0/24网段,均由Router1实现地址转换,通过S1/0/0的公网地址访问Internet。
2.组网图
图1-1内部服务器与IPSecVPN结合应用配置举例
3.配置步骤
(1)配置Router1
#配置以太网口IP地址。
[Quidway]interfaceethernet0/0/0
[Quidway-ethernet0/0/0]ipaddress10.110.10.1255.255.255.0
[Quidway-ethernet0/0/0]interfaceethernet0/0/1
[Quidway-ethernet0/0/1]ipaddress10.110.20.1255.255.255.0
#配置用于实现PC地址转换的访问控制列表。
[Quidway]aclnumber2001
[Quidway-acl-basic-2001]rulepermitipsource10.110.20.00.0.0.255
[Quidway-acl-basic-2001]rulepermitipsource10.110.30.00.0.0.255
[Quidway-acl-basic-2001]ruledenyipsourceanydestinationany
#配置用于实现内部服务器地址转换的访问控制列表。
[Quidway-acl-basic-2001]aclnumber2002
[Quidway-acl-basic-2002]rulepermitipsource10.110.10.00.0.0.255[Quidway-acl-basic-2002]ruledenyipsource10.110.0.00.0.255.255destination10.110.30.00.0.0.255
[Quidway-acl-basic-2002]ruledenyipsourceanydestinationany
#配置用于实现IPSec的访问控制列表。
[Quidway-acl-basic-2002]aclnumber2003
[Quidway-acl-basic-2003]rulepermitipsource10.110.0.00.0.255.255destination10.110.30.00.0.0.255
[Quidway-acl-adv-2003]ruledenyipsourceanydestinationany
[Quidway-acl-adv-2003]quit
#配置EasyIP。
[Quidway]interfaceSerial1/0/0
[Quidway-Serial1/0/0]ipaddress202.38.160.1255.255.255.0
[Quidway-Serial1/0/0]natoutbound2001
#配置内部ftp及www内部服务器。
[Quidway-Serial1/0/0]natserver2002protocoltcpglobal202.38.160.1inside10.110.10.3ftp
[Quidway-Serial1/0/0]natserver2002protocoltcpglobal202.38.160.1inside10.110.10.2www
[Quidway-Serial1/0/0]quit
#配置IPSec。
[Quidway]ipsecproposaltran1
[Quidway-ipsec-proposal-tran1]encapsulation-modetunnel
[Quidway-ipsec-proposal-tran1]transformesp
[Quidway-ipsec-proposal-tran1]espencryption-algorithmdes
[Quidway-ipsec-proposal-tran1]espauthentication-algorithmsha1
[Quidway-ipsec-proposal-tran1]quit
[Quidway]ipsecpolicymap110manual
[Quidway-ipsec-policy-manual-map1-10]securityacl2003
[Quidway-ipsec-policy-manual-map1-10]proposaltran1
[Quidway-ipsec-policy-manual-map1-10]tunnelremote202.38.162.1
[Quidway-ipsec-policy-manual-map1-10]tunnellocal202.38.160.1
[Quidway-ipsec-policy-manual-map1-10]saspioutboundesp12345
[Quidway-ipsec-policy-manual-map1-10]saspiinboundesp54321
[Quidway-ipsec-policy-manual-map1-10]sastring-keyoutboundesp
[Quidway-ipsec-policy-manual-map1-10]sastring-keyinboundespgfedcba
[Quidway-ipsec-policy-manual-map1-10]quit
#配置在串口上应用安全策略组。
[Quidway]interfaceserial1/0/0
[Quidway-Serial1/0/0]ipsecpolicymap1
[Quidway-Serial1/0/0]quit
#配置到Router2以太网口的静态路由。
[Quidway]iproute-static10.110.30.0255.255.255.0202.38.162.1
(2)配置Router2
#配置以太网口IP地址。
[Quidway]interfaceethernet0/0/0
[Quidway-ethernet0/0/0]ipaddress10.110.30.1255.255.255.0
[Quidway-ethernet0/0/0]quit
#配置用于实现IPSec的访问控制列表。
[Quidway]aclnumber2003
[Quidway-acl-basic-2003]rulepermitipsource10.110.30.00.0.0.255destination10.110.0.00.0.255.255
[Quidway-acl-adv-2003]ruledenyipsourceanydestinationany
[Quidway-acl-adv-2003]quit
#配置IPSec。
[Quidway]ipsecproposaltran1
[Quidway-ipsec-proposal-tran1]encapsulation-modetunnel
[Quidway-ipsec-proposal-tran1]transformesp
[Quidway-ipsec-proposal-tran1]espencryption-algorithmdes
[Quidway-ipsec-proposal-tran1]espauthentication-algorithmsha1
[Quidway-ipsec-proposal-tran1]quit
[Quidway]ipsecpolicyuse110manual
[Quidway-ipsec-policyl-manual-use1-10]securityacl2003
[Quidway-ipsec-policyl-manual-use1-10]proposaltran1
[Quidway-ipsec-policyl-manual-use1-10]tunnelremote202.38.160.1
[Quidway-ipsec-policyl-manual-use1-10]tunnellocal202.38.162.1
[Quidway-ipsec-policyl-manual-use1-10]saspioutboundesp54321
[Quidway-ipsec-policyl-manual-use1-10]saspiinboundesp12345
[Quidway-ipsec-policyl-manual-use1-10]sastring-keyoutboundespgfedcba
[Quidway-ipsec-policyl-manual-use1-10]sastring-keyinboundespabcdefg
[Quidway-ipsec-policyl-manual-use1-10]quit
#配置串口地址并在串口上应用安全策略组。
[Quidway]interfaceserial1/0/0
[Quidway-Serial1/0/0]ipaddress202.38.162.1255.0.0.0
[Quidway-Serial1/0/0]ipsecpolicyuse1
[Quidway-Serial1/0/0]quit
#配置到Router1以太网口的静态路由。
[Quidway]iproute-static10.110.0.0255.255.0.0202.38.160.1
1.1.6内部主机通过域名区分并访问对应的内部服务器组网应用
1.组网需求
公司内部网络位于10.0.0.0/8网段,提供FTP及WWW内部服务器,域名分别为和,域名可以被外部DNS服务器正确解析。
连接外部网络的接口Serial0/0/0的IP地址为1.1.1.1/8。
要求内部主机可以通过域名区分并访问对应的内部服务器。
2.组网图
图1-1内部主机通过域名区分并访问对应的内部服务器
3.配置步骤
#在Serial0/0/0接口上配置FTP及WW
升级会员 