华为路由器怎么设置nat 服务(华为路由器利用公网IP和NAT接入互联网典型方式模拟实验)
华为路由器怎么设置nat 服务(华为路由器利用公网IP和NAT接入互联网典型方式模拟实验)图 1拓扑如图1所示:二、实验内容模拟某单位的网络场景:单位内部是一个局域网,有多台接入交换机(如SW2~SW3)用于连接用户设备,接入交换机之间通过汇聚交换机SW1相连;内部划分了VLAN,如PC1、共享打印机PriSrv1被划入VLAN 100,PC2、共享打印机PriSrv2被划入VLAN 200。单位内部局域网用户通过路由器R1访问互联网,内部局域网通过汇聚交换机SW1与之相连,并划分了VLAN 10;R1与营运商光猫的网口1相连。现因对外访问以后可能需要VPN,且外网用户有访问单位内部服务器的需求,但单位内部访问互联网、外网用户访问单位内部服务器的用户量不是很大,经与营运商协商,申请暂时使用一个固定公网IP接入——假设R1本端地址为12.12.12.2/24,对端为12.12.12.1/24;另外将内网WWW服务器划分到VLAN 20,内网服务器的公网DNS域名为www.test
前两次实验分别模拟了DHCP NAT和PPPoE NAT接入互联网两种典型方式,本次实验模拟利用路由器外网接口固定公网IP NAT方式接入互联网,这也是目前许多小型单位较常见的方式,也可以解决经常有人问起的外网用户如何访问内网服务器的问题(现在很多单位有外部主机需要访问内部主机的业务需要)。
此次实验拓扑大体上和前两次一样,反映现实不少小型单位的网络拓扑。
一、实验目的
以命令行方式,通过配置路由器外网接口固定公网IP NAT,实现单位接入互联网,以及单位内部、外网用户均可通过域名访问单位内部的服务器。
二、实验内容
模拟某单位的网络场景:单位内部是一个局域网,有多台接入交换机(如SW2~SW3)用于连接用户设备,接入交换机之间通过汇聚交换机SW1相连;内部划分了VLAN,如PC1、共享打印机PriSrv1被划入VLAN 100,PC2、共享打印机PriSrv2被划入VLAN 200。单位内部局域网用户通过路由器R1访问互联网,内部局域网通过汇聚交换机SW1与之相连,并划分了VLAN 10;R1与营运商光猫的网口1相连。
现因对外访问以后可能需要VPN,且外网用户有访问单位内部服务器的需求,但单位内部访问互联网、外网用户访问单位内部服务器的用户量不是很大,经与营运商协商,申请暂时使用一个固定公网IP接入——假设R1本端地址为12.12.12.2/24,对端为12.12.12.1/24;另外将内网WWW服务器划分到VLAN 20,内网服务器的公网DNS域名为www.test.com,单位内部用户也可通过该域名访问服务器。
拓扑如图1所示:
图 1
其中图1上方灰色椭圆区域模拟的是准备访问单位内部WWW服务器的外网用户和ISP侧路由设备。
其中图1下方矩形区域即SW1~SW3之间的配置,与《华为交换机配置DHCP实现终端自动配置IP地址信息实验摘要》大体相同,但多了VLAN 20网段需要配置;
其中图1中间绿色矩形区域R1与SW1互连接口IP地址及VLAN 10、R1与SW1的静态路由配置部分,与《华为路由器利用DHCP客户端和NAT接入互联网典型方式模拟实验》大体相同;但因多了VLAN 20网段,也要相应增加一条静态路由(这里局域网的网段不连续,所以暂时没有汇聚方式配置路由)。
以上配置相同部分可分别点击链接查看,在此不再赘述。
本次实验将主要配置:
1、SW1的VLAN 20;
2、R1到VLAN 20网段的静态路由;
3、R1连接外网接口的固定公网IP地址;
4、R1到外网的默认路由;
5、R1上内网IP到公网IP所需的NAT;
6、R1上互联网用户访问内网服务器所需的NAT;
7、R1上配置单位内部用户能够通过域名访问单位内部WWW服务器。
三、实验配置
(一) SW1的VLAN 20配置
[SW1]vlan 20
[SW1-vlan20]quit
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24
[SW1-Vlanif20]interface g0/0/10
[SW1-GigabitEthernet0/0/10]port hybrid pvid vlan 20
[SW1-GigabitEthernet0/0/10]port hybrid untagged vlan 20
[SW1-GigabitEthernet0/0/10]quit
(二) R1到VLAN 20网段的静态路由配置
[R1]ip route-static 192.168.20.0 255.255.255.0 192.168.10.253
(三) R1连接外网接口的固定公网IP地址配置
[R1]interface g1/0/0
[R1-GigabitEthernet1/0/0]ip address 12.12.12.2 24
[R1-GigabitEthernet1/0/0]quit
(四) R1到外网的默认路由配置
[R1]ip route-static 0.0.0.0 0.0.0.0 12.12.12.1
(五) R1上内网IP到公网IP的nat
[R1]acl name nat1 3001
[R1-acl-adv-nat1]rule 5 permit ip
[R1-acl-adv-nat1]quit
[R1]interface g1/0/0
[R1-GigabitEthernet1/0/0]nat outbound 3001
(六) R1上互联网用户访问内网服务器所需的NAT配置
[R1-GigabitEthernet1/0/0]nat server protocol tcp global current-interface www inside 192.168.20.1 www
[R1-GigabitEthernet1/0/0]quit
命令说明:
该命令的作用是内网(inside)WWW服务器的IP地址192.168.20.1被映射为R1的G1/0/0接口(current-interface)固定公网IP地址12.12.12.2,同时TCP端口号www还是映射为www,这样外网用户使用http://12.12.12.2就是访问内部的Web服务器了。另域名www.test.com也是与12.12.12.2进行映射。
注:
如果访问量大,可根据实际需要申请多个固定公网IP,用地址池方式做动态NAT。
(七) R1上配置内网用户通过域名访问单位WWW服务器。
[R1]nat alg dns enable
[R1]nat dns-map www.test.com 12.12.12.2 80 tcp
命令说明:
1、有些服务的报文应用层中也携带访问该服务需要的IP地址和端口信息,为了把里面服务器IP地址和端口也能替换掉,需要在系统视图下配置NAT ALG(Application Level Gateway,应用层网关)。假设外网用户访问单位内网的FTP服务,服务器会在响应报文中应用层中携带服务器的IP地址192.168.20.1,此时需要替换成R1的公网IP12.12.12.2,此时需要配置nat alg ftp enable 。
2、内网用户用公网DNS服务器提供的域名访问内网服务器时,因为公网DNS服务器的响应报文中携带的是公网IP(12.12.12.2),而内网用户实际上是用服务器的私有IP地址(192.168.20.1)进行访问,因此需要配置nat dns-map domain-name global-address gobla-port tcp 配合 nat alg DNS enable,将公网DNS服务器的响应报文中携带的公网IP再替换回服务器的私有IP给内网用户。
四、配置验证
(一) 外网用户访问单位内部WWW服务器
1、用Http Client模拟外网用户以IP 12.12.12.2 方式访问单位内部WWW服务器,如图2
图3
可以成功访问。
用Http Client模拟外网用户以域名www.test.com方式访问单位内部WWW服务器,如图3
图3
也可以成功访问。
(二) 单位内部用户访问内部WWW服务器
1、用Http Client2模拟单位内部用户以IP 192.168.20.1方式访问内部WWW服务器,如图4
图4
可以成功访问。
2、用Http Client2模拟单位内部用户以域名www.test.com方式访问内部WWW服务器,如图5
图5
同样能够访问成功。
(三)查看R1的接口NAT地址转换情况
输入
<R1>display nat session all
结果如图6
图6
外网用户访问单位服务器时确实进行了NAT转换,端口转换和实际有些出入。
至此,实验总体达到了预期效果。
以上输入和描述可能有疏漏、错误,欢迎大家在下方评论区留言指正!
另以上实验如有帮助,望不吝转发!
附:
上一实验《华为路由器利用PPPoE客户端和NAT接入互联网典型方式模拟实验》
