华为路由器静态nat怎么设置(华为路由器NATserver映射和)
华为路由器静态nat怎么设置(华为路由器NATserver映射和)启动http服务启动ftp服务启动Ftp服务Client2Server2
一、拓扑
PC1
Clinent1
Server1
启动http服务
启动Ftp服务
Client2
Server2
启动ftp服务
启动http服务
网关路由器Gateway
<Huawei>system-view
[Huawei]sysname Gateway
[Gateway]interface GigabitEthernet 0/0/2
[Gateway-GigabitEthernet0/0/2]ip address 192.168.1.1 24
[Gateway]interface GigabitEthernet 0/0/0
[Gateway-GigabitEthernet0/0/0]ip address 200.1.1.2 29
互联网路由器Interner
<Huawei>system-view
[Huawei]sysname Internet
[Internet]interface GigabitEthernet 0/0/0
[Internet-GigabitEthernet0/0/0]ip address 200.1.1.1 29
[Internet]interface GigabitEthernet 0/0/2
[Internet-GigabitEthernet0/0/2]ip address 100.1.1.1 24
如果内网用户想要访问公网设备,那么首先内网网关路由器可以访问,本实验中目前网关路由器Gateway无法访问100.1.1.1这台服务器
[Gateway]ping 100.1.1.1
由上图知悉,网关路由器Ping不通公网上的100.1.1.1这台主机,下面在网关路由器上查看路由表
[Gateway]disp ip routing-table
由上图知悉,在网关路由器上没有到100.1.1.0网段的路由,自然也就无法ping通。
所以在Gateway网关路由器上写一条默认路由到Internet路由器上,
[Gateway]ip route-static 0.0.0.0 0 200.1.1.1
再测试
[Gateway]ping 100.1.1.1
由上图知悉,已经链路通了
同时公网上的设备Client2也可以访问网关路由器Gateway的200.1.1.2接口
此时网关路由器到Internet的链路已经打通。
三、实验需求PC1不能访问Internet
Client1可以访问Internet
Server1为Internet提供http服务 不提供Ftp 服务
Client1可以访问Server2的http服务和ftp服务
Client2可以访问Server1的http服务
Server1被访问的地址是200.1.1.3,Client1的上网方式为Nat 的EasyIp方式
四、完成实验要求4.1网关路由器配置先调通所有的网络,再做限制。
定义一个规则编号是2001,这个规则的内容是允许源是192.168.1.0网段的设备通过
[Gateway]acl 2001
[Gateway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255
进入网关路由器连接公网的接口ge0/0/0,把2001规则应用到nat的出口上,这就是EasyIp.
[Gateway]interface GigabitEthernet 0/0/0
[Gateway-GigabitEthernet0/0/0]nat outbound 2001
查看
[Gateway-GigabitEthernet0/0/0]disp nat outbound
测试
在内网的PC1上ping公网上的Server2
由上图知悉,内网的PC1可以访问公网上的Server2。
内网的Client1也可以访问到公网的Server2的http服务
内网的Client1也可以访问到公网的Server2的ftp服务
目前为止,内网用户完全可以访问外网设备,为了达到实验要求,必须先使网络全部打通,然后根据策略,完成要求操作,这是配置策略的一般思路。
4.2按照要求限制PC1不能访问Internet
一种方法是在acl 2001规则中增加一条要求,阻止PC1访问外网即可,这个要求必须放置在rule 5之前。
[Gateway]disp acl 2001
[Gateway-acl-basic-2001]rule 3 deny source 192.168.1.100 0
再次查看
[Gateway-acl-basic-2001]dis th
测试
内网的PC1到外网的Server2
由上图知悉,现在内网的PC1到外网的Server2网络不通了。
Client1可以访问Internet
Client1可以访问Server2的http服务和ftp服务
Server1为Internet提供http服务 不提供Ftp 服务,Server1被Client2访问的地址是200.1.1.3
首先在内网测试Server1上ftp和http服务是否正常
由上图知悉,内网的Client到Server1上ftp和http服务是正常的,说明Server1提供的http和ftp服务是正常的。
在网关路由器的公网接口ge0/0/0上做服务器的nat映射
[Gateway]int g0/0/0
[Gateway-GigabitEthernet0/0/0]nat server protocol tcp global 200.1.1.3 80 inside
192.168.1.150 80
Nat服务器映射协议是tcp,外网地址是200.1.1.3,端口是80,内网服务器地址是192.168.1.150,端口是80.
查看
[Gateway-GigabitEthernet0/0/0]disp this
这里看到nat server和nat outbound可以同时存在于一个端口上,互不影响。
测试
抓包显示
由以上知悉,外网的Client2可以访问200.1.1.3(内网的192.168.1.150)的http服务,但是不能访问200.1.1.3(内网的192.168.1.150)的ftp服务。
