NAT 典型配置举例
NAT典型配置举例
关键词:NAT、ALG、PAT、No-PAT
摘要:本文描述了H3C S12500 NAT特性的产品基础、典型配置方法和注意点。缩略语:
目录
1特性简介 (4)
1.1 NAT和NAPT (4)
1.2源NAT/NAPT和目的NAT/NAPT (4)
1.3动态NAT/NAPT和静态NAT/NAPT (4)
1.4内网和外网 (4)
1.5内网地址和外网地址 (5)
1.6 EASY IP (5)
1.7 NAT ALG处理 (5)
1.8内部服务器 (5)
1.9静态NAT和内部服务器区别 (6)
2应用场合 (6)
2.1支持企业网中少量用户上网 (6)
3注意事项 (6)
4基础配置举例 (6)
4.1 NAPT方式/NOPAT方式/EASYIP方式配置举例 (6)
4.1.1组网需求 (6)
4.1.2配置思路 (7)
4.1.3使用版本 (7)
4.1.4配置步骤 (7)
4.1.5验证结果 (9)
4.2静态地址转换配置举例 (9)
4.2.1组网需求 (9)
4.2.2配置思路 (9)
4.2.3使用版本 (9)
4.2.4配置步骤 (9)
4.2.5验证结果 (10)
4.3 NAT连接限制配置举例 (11)
4.3.1组网需求 (11)
4.3.2配置思路 (11)
4.3.3使用版本 (11)
4.3.4配置步骤 (11)
NAT典型配置举例
4.3.5验证结果 (12)
4.4 ALG配置举例 (12)
4.4.1组网需求 (12)
4.4.2配置思路 (13)
4.4.3使用版本 (13)
4.4.4配置步骤 (13)
4.4.5验证结果 (13)
4.5 NAT SERVER配置举例 (14)
4.5.1组网需求 (14)
4.5.2配置思路 (14)
4.5.3使用版本 (14)
4.5.4配置步骤 (14)
4.5.5验证结果 (15)
4.6 NAT日志配置举例 (15)
4.6.1组网需求 (15)
4.6.2配置思路 (16)
4.6.3使用版本 (16)
4.6.4配置步骤 (16)
4.6.5验证结果 (17)
5典型应用配置举例 (17)
5.1私网访问公网典型配置举例 (17)
5.1.1组网需求 (17)
5.1.2配置思路 (18)
5.1.3使用版本 (18)
5.1.4配置步骤 (18)
5.1.5验证结果 (19)
6相关协议和标准 (19)
7其它相关资料 (19)
NAT典型配置举例1特性简介
H3C S12500支持软件NAT(Network Address Translation,网络地址转换),不
需要特殊的业务板,只需普通的业务板即可使用,本文介绍软件NAT的典型配置及
注意事项。
所谓软NAT,是指NAT实现及转发完全由CPU完成,即由CPU实现地址转换和数
据转发功能。需要进行NAT的报文都需要经过CPU处理,决定了软NAT的转发性能
不会很高,一般仅用于小型企业网的Internet出口,此类用户去往Internet的流量较
小,一般租用运营商几十兆的带宽,仅需要满足简单的上网要求。
1.1 NAT和NAPT
NAT通常有两个概念,一种是对所有地址转换的总称,有时又指只进行IP地址转
换,不进行端口转换。
NAPT(Network Address Port Translation,网络地址端口转换)同时进行网络地
址和端口的转换,而No-PAT则只进行IP地址的转换,而不进行端口的转换。
1.2源NAT/NAPT和目的NAT/NAPT
对数据流的源IP或源IP+源端口进行的转换叫做源NAT/NAPT,对目的IP或目的IP
+目的端口进行转换叫做目的NAT/NAPT。
1.3动态NAT/NAPT和静态NAT/NAPT
动态NAT/NAPT转换后的地址或地址+端口是不固定的,是动态分配的一种转换,
为动态NAT/NAPT。
静态NAT/NAPT是指转换前后的地址或地址+端口是固定的,由配置直接决定的
NAT/NAPT,内部服务器应用就是一种静态目的NAT/NAPT。
1.4内网和外网
NAT的设计目的是用于私网地址的主机访问Internet的。后扩展到任意两个网络间
进行访问的地址转换应用。
NAT典型配置举例内网通常是指首先发起对网外设备访问,需要进行源地址转换的网络,另一方网络
则是外网。对于私网的Internet访问,需要进行源地址转换,此时私网是内网,
Internet是外网。对于需要双向NAT的网络,两侧都是私网,转换成公网地址后再
完成互访。
1.5内网地址和外网地址
内网地址域的地址是内网地址,外网地址域的地址是外网地址。这两个概念由使用
人自行定义。
1.6 EASY IP
以接口IP作为NAT地址池进行转换,不需要专门配置地址池,S12500只支持
outbound和静态Server。配置时直接在接口下配置。
1.7 NAT ALG处理
NAT不仅实现了一般的地址转换功能,而且提供了完善的地址转换应用级网关机
制,使其可以支持各种特殊的应用协议,具有良好的可扩充性。可支持的特殊协议
包括:FTP(Port & Passive模式)、ICMP(Internet Control Message Protocol,
Internet控制消息协议)、DNS(Domain Name System,域名系统)、ILS
(Internet Locator Service,Internet定位服务)、RTSP(Real Time Streaming
Protocol,实时流协议)、H.323、NetMeeting 3.01、NBT(NetBIOS over
TCP/IP,基于TCP/IP的网络基本输入输出系统)、SIP(Session Initiation
Protocol,会话发起协议)等。
1.8内部服务器
通过配置内部服务器,可以将相应的外部地址、端口映射到内部服务器的私有地址
和端口上,从而使外部网络用户能够访问内部服务器。内部服务器与外部网络的映
射表是由nat server命令配置的。
配置内部服务器时需要配置的信息包括:外部网络的信息、内部网络的信息以及服
务协议类型。根据配置的内部网络信息的不同,可以将内部服务器分为普通内部服
务器和负载分担内部服务器。
1.9静态NAT和内部服务器区别
静态NAT具有双向特性,可以正向发起,也可以反向发起。
内部服务器是单向的,首包只能从配置的反向发起。
2应用场合
目前NAT的主要应用场景为企业网中少量用户上网。
2.1支持企业网中少量用户上网
典型的企业网的NAT应用,在接入Internet的出口设备上部署NAT业务,可以实现
内网用户通过NAT地址转换访问外网;外网用户也可以通过外网地址访问内网的服
务器;虽然支持多ISP出口,但对于由纯软件实现的NAT,需要在流量不大的条件
下使用。
3注意事项
软件NAT由于性能有限,适用于少量用户使用,在对CPU有较高要求的环
境下尽量不要使用;
S12500软NAT不支持入方向NAT转换,只能指定出方向的NAT转换;
NAT只支持绑定VLAN接口,不支持绑定其他类型接口(例如隧道接口,网
管口等);
不支持策略路由后做NAT。
4基础配置举例
4.1 NAPT方式/NOPAT方式/EASYIP方式配置举例
4.1.1组网需求
私网192.168.0.0/24内用户可以通过设备访问公网的网段202.101.0.0/24,在出接
口vlan20上配置NAT转换。
Vlan20:202.101.0.1
Vlan10:192.168.0.1/24
PC1:192.168.0.2 PC2:192.168.0.3 PC3:192.168.0.4 Server:202.101.0.5
图1 NAPT方式/NOPAT/EASYIP方式配置举例组网图
4.1.2配置思路
配置NAT地址池
配置ACL,作为NAT转换的规则
在出接口上配置NAT业务
4.1.3使用版本
本举例是在S12500-CMW520-B1133版本上进行配置和验证的。
4.1.4配置步骤
说明:
本文的组网环境可能与您的实际环境存在差异。为了保证配置效果,请确认设备上
1.配置交换机
#配置NAT地址池
[H3C] nat address-group 0 202.101.0.2 202.101.0.4
#定义ACL 3001,匹配源ip为192.168.0.0/24的数据流。
[H3C] acl number 3001
[H3C-acl-adv-3001] rule 0 permit ip source 192.168.0.0 0.0.0.255
#在出接口上配置NAT业务。
NAPT(PAT)方式
[H3C] interface Vlan-interface 20
[H3C-Vlan-interface20] nat outbound 3001 address-group 0 NOPAT方式
[H3C-Vlan-interface20] nat outbound 3001 address-group 0 no-pat EASYIP方式
[H3C-Vlan-interface20] nat outbound 3001
2.配置文件
#
acl number 3001
rule 0 permit ip source 192.168.0.0 0.0.0.255
#
nat address-group 0 202.101.0.2 202.101.0.5
#
interface Vlan-interface10
ip address 192.168.0.1 255.255.255.0
#
针对三种方式,有不同的配置方式:
NAPT方式
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound 3001 address-group 0
#
NOPAT方式
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound 3001 address-group 0 no-pat
#
EASYIP方式
#
interface Vlan-interface20
ip address 202.101.0.1 255.255.255.0
nat outbound 3001
#
4.1.5验证结果
所有从内网192.168.0.0/24网段访问公网202.101.0.0/24网段的IP报文中的源IP就
会被替换成地址池中的地址。
4.2静态地址转换配置举例
4.2.1组网需求
私网用户192.168.0.2通过设备访问公网的服务器202.101.0.5,配置NAT静态转
换,转换后公网IP为202.101.0.2.
Vlan20:202.101.0.1
Vlan10:192.168.0.1/24
Server:202.101.0.5
PC:192.168.0.2
图2静态NAT转换配置举例组网图
4.2.2配置思路
配置静态转换的私网IP和公网IP
将静态规则应用到出接口上
需要注意的是:配置nat outbound static只是起到重定向报文的作用。
4.2.3使用版本
本举例是在S12500-CMW520-B1133版本上进行配置和验证的。
4.2.4配置步骤
说明:
本文的组网环境可能与您的实际环境存在差异。为了保证配置效果,请确认设备上
1.配置交换机
#静态一对一的转换。
[H3C] nat static 192.168.0.2 202.101.0.2
#静态网段的转换。
[H3C] nat static net-to-net 192.168.0.2 192.168.0.254 global 202.101.0.2
24
#将静态规则应用到出接口上。
[H3C-Vlan-interface20] nat outbound static
2.配置文件
静态一对一方式:
#
nat static 192.168.0.2 202.101.0.2
#
interface Vlan-interface20
ip address 192.168.0.1 255.255.255.0
nat outbound static
#
静态网段方式:
#
nat static net-to-net 192.168.0.2 192.168.0.254 global 202.101.0.2
255.255.255.0
#
interface Vlan-interface20
nat outbound static
#
4.2.5验证结果
如果是配置为一对一静态地址转换,那么源IP为192.168.0.2的用户在经过NAT之
后,源IP更换为202.101.0.2;
如果是配置为网段对网段静态地址转换,那么源IP为192.168.0.0网段的报文在经
过NAT之后,源IP更换为202.101.0.0网段。
NAT典型配置举例4.3 NAT连接限制配置举例
4.3.1组网需求
私网用户192.168.0.2~192.168.0.4通过设备访问公网的服务器202.101.0.5,配置
NAT地址转换,对PC3进行连接上的限制。
Vlan20:202.101.0.1
Vlan10:192.168.0.1/24
PC1:192.168.0.2 PC2:192.168.0.3 PC3:192.168.0.4 Server:202.101.0.5
图3静态NAT转换配置举例组网图
4.3.2配置思路
配置需要被限制用户的ACL
配置连接限制策略
应用连接限制策略到NAT
4.3.3使用版本
本举例是在S12500-CMW520-B1133版本上进行配置和验证的。
4.3.4配置步骤
说明:
本文的组网环境可能与您的实际环境存在差异。为了保证配置效果,请确认设备上
1.配置交换机
#配置需要被限制用户的ACL。
[H3C] acl number 3001
[H3C-acl-adv-3001] rule permit ip source 192.168.0.4 0
NAT典型配置举例#配置连接限制策略。
[H3C] connection-limit policy 0
[H3C-connection-limit-policy-0] limit 0 acl 3001 per-source amount 100 0
#在nat中引用连接限制策略。
[H3C] nat connection-limit-policy 0
2.配置文件
#
acl number 3001
rule 0 permit ip source 192.168.0.4 0
#
connection-limit policy 0
limit 0 acl 3001 per-source amount 100 0
#
nat connection-limit-policy 0
#
4.3.5验证结果
PC3:192.168.0.4用户与外网的连接数不会超过100个,同时其他用户的连接数不
受影响。
4.4 ALG配置举例
4.4.1组网需求
NAT改变了IP数据包头的IP地址信息,如果数据报文的载荷中也含有地址信息,
NAT就需要特殊处理,除了改变IP包头的地址信息以外还需要改变数据报文中载荷
中的地址信息。于是有些特性需要ALG处理。
Vlan20:202.101.0.1
Vlan10:192.168.0.1/24
PC1:192.168.0.2 PC2:192.168.0.3 PC3:192.168.0.4 Server:202.103.0.5
图4 ALG配置举例
4.4.2配置思路
依次使能各个业务的ALG处理即可,需要注意的是,设备只支持
DNS/FTP/H323/ILS/NBT/SIP/ICMP模块的ALG处理,不支持TFTP和PPTP的ALG
处理。
4.4.3使用版本
本举例是在S12500-CMW520-B1133版本上进行配置和验证的。
4.4.4配置步骤
#使能dns的ALG处理。
[H3C] nat alg dns
#其它的ALG模块使能,与上述dns的ALG使能相同
[H3C] nat alg h323
#如果需要全部使能,则可以
[H3C] nat alg all
4.4.5验证结果
私网下的用户可以正常访问公网,并且可以正常使用已使能的ALG业务。
4.5 NAT SERVER配置举例
4.5.1组网需求
图5内部服务器组网图
4.5.2配置思路
需要注意的是:
配置在外网接口上,只有从该接口上进入的报文,符合规则的才会被更换目
的IP。
端口号为any,则配置Any Server,可以提供任何端口号的服务,端口号为
指定值,则配置使用指定端口号进行服务的普通Server。
如果global地址和入接口IP一样,称为EasyIP Server。
4.5.3使用版本
本举例是在S12500-CMW520-B1133版本上进行配置和验证的。
4.5.4配置步骤
说明:
本文的组网环境可能与您的实际环境存在差异。为了保证配置效果,请确认设备上
1.配置交换机
默认PC上已有到server的外网地址202.101.0.5的默认路由。
NAT典型配置举例#配置在VLAN虚接口上,HTTP Server。
[H3C-Vlan-interface20]nat server protocol tcp global 202.101.0.2 www
inside 192.168.0.2 www
#配置在VLAN虚接口上,FTP Server。
[H3C-Vlan-interface20]nat server protocol tcp global 202.101.0.2 ftp
inside 192.168.0.2 ftp
#配置在NAT虚接口上,Any Server。
[H3C-Vlan-interface20]nat server protocol tcp global 202.101.0.2 any
inside 192.168.0.2 any
2.配置文件
以WWW server 为例
#
interface Vlan-interface10
ip address 192.168.0.1 255.255.255.0
#
interface Vlan-interface20
ip address 202.103.0.1 255.255.255.0
nat server protocol tcp global 202.103.0.1 www inside 192.168.0.2 www
#
4.5.5验证结果
配置生效后,从公网进入目的地址为202.103.0.2的TCP报文(端口号为配置的端
口号),目的地址被更换成192.168.0.2。在192.168.0.2上配置WWW服务器,在
公网上可以通过访问202.103.0.2来访问该服务器。
4.6 NAT日志配置举例
4.6.1组网需求
私网用户通过NAT网关访问外部网络时,多个用户共用一个公网地址,从而无法定
位访问网络的用户。利用日志功能可以实时跟踪、记录私网用户访问外部网络的情
况,增强网络的安全性,内网PC访问外部server,如果有创建数据流,则将日志
发送给Server:202.101.0.5。
NAT典型配置举例
Vlan20:202.101.0.1
Vlan10:192.168.0.1/24
Server:202.101.0.5
PC:192.168.0.2
图6 NAT日志组网图
4.6.2配置思路
使能NAT日志
配置需要记录日志的规则ACL
配置NAT日志的输出。
4.6.3使用版本
本举例是在S12500-CMW520-B1133版本上进行配置和验证的。
4.6.4配置步骤
说明:
本文的组网环境可能与您的实际环境存在差异。为了保证配置效果,请确认设备上
1.配置交换机H3C配置
#在NAT虚接口下使能会话日志。
[H3C]nat log enable
#配置带ACL的日志使能,只输出符合规则的ACL日志。
[H3C]acl number 3001
[H3C-acl-adv-3001]rule 0 permit ip source192.168.0。0 0.0.0.255
#配置NAT日志是创建流发送,或者流活跃时发送,下列两行只能二选一。
#配置流创建时发送日志。
[H3C]nat log flow-begin
#配置流活跃5分钟发送日志。
[H3C]nat log flow-active 5
#日志输出至日志服务器,配置日志服务器主机。
[H3C]userlog nat export host 202.101.0.5 9020
#日志可以选择用syslog的方式发送。
[H3C]userlog nat syslog
2.配置文件
#
userlog nat syslog
userlog nat export host 202.101.0.5 9020
#
acl number 3001
rule 5 permit ip source 192.168.0.0 0.0.0.255
#
nat log enable acl 3001
nat log flow-begin
#
4.6.5验证结果
在NAT设备上,当有会话新建立时,日志服务器202.101.0.5会收到日志报文。可
以显示会话的五元组信息。
5典型应用配置举例
5.1私网访问公网典型配置举例
5.1.1组网需求
一个公司拥有202.101.0.1/24至202.101.0.3 /24三个公网IP地址,内部网址为
192.168.0.0/24~192.168.5.0/24,需要实现如下功能:
内部网络中192.168.0.0/24和192.168.1.0/24网段的用户可以访问
Internet,其它网段的用户不能访问Internet。使用的公网地址为202.101.0.2
和202.101.0.3
对源地址为192.168.0.4的用户进行限制,限制用户连接数的上限值为
1000,即要求与外部服务器建立的连接数不超过1000
配置内部WWW服务器为192.168.1.5
配置NAT在创建数据流的时候将日志发送到202.101.0.5服务器
Vlan20:202.101.0.1
Vlan10:192.168.0.1/24
192.168.0.0 192.168.1.0 192.168.2.0 Server:202.101.0.5
图7私网访问公网典型配置组网图
5.1.2配置思路
配置ACL指定源IP为192.168.0.0/24以及192.168.1.0/24的IP地址
配置NAT地址组
配置NAT绑定出接口
配置ACL指定源IP地址为被限制连接的IP地址192.168.0.4
配置连接限制策略限制192.168.0.4的连接数
配置NAT的内部服务器,来自公网访问202.103.0.2的HTTP请求发送给
192.168.1.5
配置NAT连接限制
配置日志在创建流时将日志发送给日志服务器202.103.0.5
5.1.3使用版本
本举例是在S12500-CMW520-B1133版本上进行配置和验证的。
5.1.4配置步骤
说明:
本文的组网环境可能与您的实际环境存在差异。为了保证配置效果,请确认设备上
#配置ACL指定源IP为192.168.0.0/24以及192.168.1.0/24的IP地址。
[H3C] acl number 3001
[H3C-acl-adv-3001] rule 0 permit ip source 192.168.0.0 0.0.0.255
[H3C-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255
[H3C-acl-adv-3001] rule deny ip
#配置NAT地址组。
[H3C] nat address-group 0 202.101.0.2 202.101.0.3
#配置NAT绑定出接口。
[H3C-Vlan-interface20] nat outbound 3001 address-group 0
#配置ACL指定源IP地址为被限制连接的IP地址192.168.0.4。
[H3C-acl-adv-3002] rule permit ip source 192.168.0.4 0
#配置内部服务器。
[H3C] nat server protocol tcp global 202.101.0.2 www inside 192.
168.1.5 www
#配置连接限制策略限制192.168.0.4的连接数。
[H3C-connection-limit-policy-0] limit 0 acl 3002 per-source amount 1000 1
[H3C-connection-limit-policy-0] quit
[H3C] nat connection-limit-policy 0
#配置NAT在创建流的时候把日志发送给日志服务器202.101.0.5。
[H3C] nat log enable
[H3C] nat log flow-begin
[H3C] userlog nat export host 202.101.0.5 9020
5.1.5验证结果
私网192.168.0.0/24以及192.168.1.0/24两个子网的用户可以正常访问公网;
日志服务器上收到设备上创建流的日志;
公网上可以通过202.101.0.2来访问内网的WWW服务器192.168.1.5;
被限制的用户192.168.0.4最多只能与公网创建1000条连接。
6相关协议和标准
7其它相关资料
《H3C S12500系列路由交换机操作手册》“安全分册”中的“NAT配置”
《H3C S12500系列路由交换机命令手册》“安全分册”中的“NAT命令”
NAT典型配置举例
Copyright ?2009杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
华为防火墙NAT配置命令
私网用户通过NAPT方式访问Internet (备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。) 本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。组网需求 如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。 2.配置安全策略,允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由,防止产生路由环路。
操作步骤 1.配置USG9000的接口IP地址,并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。
静态路由设置实例解析
静态路由设置实例解析 随着宽带接入的普及,很多家庭和小企业都组建了局域网来共享宽带接入。而且随着局域 网规模的扩大,很多地方都涉及到2台或以上路由器的应用。当一个局域网内存在2台以 上的路由器时,由于其下主机互访的需求,往往需要设置路由。由于网络规模较小且不经 常变动,所以静态路由是最合适的选择。 本文作为一篇初级入门类文章,会以几个简单实例讲解静态路由,并在最后讲解一点 关于路由汇总(归纳)的知识。由于这类家庭和小型办公局域网所采用的一般都是中低档 宽带路由器,所以这篇文章就以最简单的宽带路由器为例。(其实无论在什么档次的路由 器上,除了配置方式和命令不同,其配置静态路由的原理是不会有差别的。)常见的 1WAN口、4LAN口宽带路由器可以看作是一个最简单的双以太口路由器+一个4口小交换机,其WAN口接外网,LAN口接内网以做区分。 路由就是把信息从源传输到目的地的行为。形象一点来说,信息包好比是一个要去某 地点的人,路由就是这个人选择路径的过程。而路由表就像一张地图,标记着各种路线, 信息包就依靠路由表中的路线指引来到达目的地,路由条目就好像是路标。在大多数宽带 路由器中,未配置静态路由的情况下,内部就存在一条默认路由,这条路由将LAN口下所 有目的地不在自己局域网之内的信息包转发到WAN口的网关去。宽带路由器只需要进行 简单的WAN口参数的配置,内网的主机就能访问外网,就是这条路由在起作用。本文将 分两个部分,第一部分讲解静态路由的设置应用,第二部分讲解关于路由归纳的方法和作用。 下面就以地瓜这个网络初学者遇到的几个典型应用为例,让高手大虾来说明一下什么 情况需要设置静态路由,静态路由条目的组成,以及静态路由的具体作用。 例一:最简单的串连式双路由器型环境 这种情况多出现于中小企业在原有的路由器共享Internet的网络中,由于扩展的需要,再接入一台路由器以连接另一个新加入的网段。而家庭中也很可能出现这种情况,如用一 台宽带路由器共享宽带后,又加入了一台无线路由器满足无线客户端的接入。 地瓜:公司里原有一个局域网LAN 1,靠一台路由器共享Internet,现在又在其中添加 了一台路由器,下挂另一个网段LAN 2的主机。经过简单设置后,发现所有主机共享Internet没有问题,但是LAN 1的主机无法与LAN 2的主机通信,而LAN 2的主机却能Ping通LAN 1下的主机。这是怎么回事? 大虾:这是因为路由器隔绝广播,划分了广播域,此时LAN 1和LAN 2的主机位于两 个不同的网段中,中间被新加入的路由器隔离了。所以此时LAN 1下的主机不能“看”到LAN 1里的主机,只能将信息包先发送到默认网关,而此时的网关没有设置到LAN 2的路
华为_MSR路由器_教育网双出口NAT服务器的典型配置
华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求: MSR 的 G0/0 连接某学校内网, G5/0 连接电信出口, G5/1 连接教育网出口,路由配置:访问教育网地址通过 G5/1 出去,其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校 一、组网需求: MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是https://www.sodocs.net/doc/a316260138.html,,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单:MSR一台 二、组网图:
三、配置步骤: 适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。
四、配置关键点: 1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现; 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去; 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策
华为静态路由配置实例
RA配置 System-view Sysname RA Interface ethernet 0/0 Ip address 192.168.1.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.1 255.255.255.0 quit ip route-static 192.168.3.0 255.255.255.0 192.168.2.2 ip route-static 192.168.4.0 255.255.255.0 192.168.2.2 RB配置 System-view Sysname RB Interface ethernet 0/0 Ip address 192.168.3.1 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.2.2 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.2.1 ip route-static 192.168.4.0 255.255.255.0 192.168.3.2 RC配置 System-view Sysname RC Interface ethernet 0/0 Ip address 192.168.3.2 255.255.255.0 Interface ethernet 0/1 Ip address 192.168.4.1 255.255.255.0 quit ip route-static 192.168.1.0 255.255.255.0 192.168.3.1 ip route-static 192.168.2.0 255.255.255.0 192.168.3.1
华为Eudemon防火墙NAT配置实例
[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00 贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。“//”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为A R系列路由器。 ------------------------------------------传说中的分隔线------------------------------------------ # sysname Eudemon//设置主机名 # super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过 # 青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!
H3C IPv6 静态路由配置
操作手册 IP路由分册 IPv6 静态路由目录 目录 第1章 IPv6静态路由配置......................................................................................................1-1 1.1 IPv6静态路由简介.............................................................................................................1-1 1.1.1 IPv6静态路由属性及功能........................................................................................1-1 1.1.2 IPv6缺省路由..........................................................................................................1-1 1.2 配置IPv6静态路由.............................................................................................................1-2 1.2.1 配置准备..................................................................................................................1-2 1.2.2 配置IPv6静态路由...................................................................................................1-2 1.3 IPv6静态路由显示和维护..................................................................................................1-2 1.4 IPv6静态路由典型配置举例(路由应用).........................................................................1-3 1.5 IPv6静态路由典型配置举例(交换应用).........................................................................1-5
华为nat配置实例
窗体顶端 NAT 【Router】 华为路由器单臂路由配置实例 组网描述: PC---------------------3050C-------------------------AR28-31-------------------------INTERNET 组网实现: 3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公
网,所有的PC机都通过AR28-31分配IP地址和DNS [AR28-31]dis cu # sysname Quidway # FTP server enable # nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池# radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp local-user huawei telnet用户,用于远程管理 password simple huawei service-type telnet level 3 # dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 100.100.100.100 # dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 100.100.100.100 # dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 dns-list 100.100.100.100 # dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 dns-list 100.100.100.100 # interface Aux0 async mode flow # interface Ethernet1/0用于与交换机的管理IP互通 ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound # interface Ethernet1/0.1终结交换机上的VLAN10 tcp mss 1024 ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10 # interface Ethernet1/0.2终结交换机上的VLAN20
联想网御Power V系列配置案例集11(静态、默认、策略、ISP路由配置案例)
11.1 静态路由配置 配置需求:访问目的网络2.2.2.0/24,下一跳为192.168.83.108。 (1)进入到【路由管理】-【基本路由】-【静态路由表】中,新建一条静态路由表。 (2)目的地址:需要访问的目标网络 掩码:目标网络的掩码 下一跳地址:防火墙流出网口的对端设备地址 Metric:优先级,metric值越小优先级越高 网络接口:防火墙的流出接口 (3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果静态路由生效,如下图所示。
注意事项: (1)下一跳地址一定要输入正确,这个地址不是防火墙的出口地址。 (2)下一跳地址一定可达有效的地址,可以在【状态监控】-【状态信息】-【网络测试】测试下可达性。 11.2 默认路由配置 配置需求:经过防火墙的数据包全部转发给211.211.211.210. (1)进入到【路由管理】-【基本路由】-【默认路由】中,新建一条默认路由。 (2)默认网关:211.211.211.210; 权重值:多条默认路由时使用,权重越大负载分担时流经的数据包所占比重越高
(3)在进入到【状态监控】-【状态信息】-【网络测试】中选择【routeshow】,开始调试。 如果默认路由生效,如下图所示。 注意事项: (1) 配置多条默认路由时,一定勾选【启用基于状态回包功能】,权重值越大,分担的流量越多。 (2) 默认路由生效了,在【状态监控】-【状态信息】-【网络测速】中选择【ping】下网关地址,确保可达性。 11.3 策略路由配置
配置需求:内网192.168.1.0/24网段访问8.8.8.0/24通过eth0口路由出去。 (1)进入到【路由管理】-【基本路由】-【策略路由】中,新建一条高级路由表。 命名路由表名称和路由表ID 点击新建路由表后面的操作按钮,新建路由表内容
华为NAT配置案例
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
Cisco路由器静态路由配置实例
Cisco路由器静态路由配置实例 初学路由器的配置,下面就用Boson NetSim for CCNP 6.1模拟软件进行配置…这篇文章主要是对路由表进行静态路由配置… 拓扑结构图如下: 下面开始: 1.对Router1进行配置,配置命令如下: Router>enable进入特权模式 Router#configure terminal 进入配置模式 Enter configuration commands, one per line. End with CNTL/Z. Router(config)#interface ethernet0 进入E0端口模式
Router(config-if)#ip address 192.168.1.1 255.255.255.0 配置IP地址Router(config-if)#no shutdown 激活该端口 %LINK-3-UPDOWN: Interface Ethernet0, changed state to up Router(config-if)#exit 返回上一级 Router(config)#interface serial0 进入S0 端口模式 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#no shutdown %LINK-3-UPDOWN: Interface Serial0, changed state to up %LINK-3-UPDOWN: Interface Serial0, changed state to down %LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0, changed state to down Router(config-if)#clock rate 6400 注意这里是设置时钟..如有不明白,可以打”?”.但是系统给的参数是 64000 .而我们要配置成 6400 ..可能是模拟软件的一个小BUG 吧!现在是在模拟软件中,如果是真实环境,我们要参照说 明书..按照说明书来配置参数…. Router(config-if)#exit Router(config)#ip route 192.168.3.0 255.255.255.0 192.168.2.2 配置路由表
华为NAT配置案例
华为NAT配置案例
华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet (公网) 静态一对一: AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试:
查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet (公网) 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1) [AR1]dis cu | begin acl acl number 2000 (定义转换的源IP)
华为路由器配置举例
华为路由器配置举例 通过在外网口配置nat基本就OK了,以下配置假设Ethernet0/0为局域网接口,Ethernet0/1为外网口。 1、配置内网接口(Ethernet0/0): [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 192.168.1.1 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 192.168.1.0 24 [MSR20-20-dhcp-pool-1]dns-list 202.96.134.133 [MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口(Ethernet0/1) [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5.加默缺省路由 [MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关 总结: 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok!
路由器静态路由配置案例
路由器静态路由配置 【案例背景】 学校有新旧两个校区,每个校区是一个独立的局域网,为了使新旧校区能够正常相互通讯,共享资源。每个校区出口利用一台路由器进行连接,两台路由器间学校申请了一条2M的DDN专线进行相连,要求你做适当配置实现两个校区间的正常相互访问。【案例目的】 掌握静态路由的配置方法和技巧,熟悉广域网线缆的连接方式。 【技术原理】 路由器属于网络层设备,能够根据IP包头的信息,选择一条最佳路径,将数据包转发出去。实现不同网段的主机之间的互相访问。 路由器是根据路由表进行选路和转发的。而路由表里就是由一条条的路由信息组成。路由表的产生方式一般有3种: 直连路由给路由器接口配置一个IP地址,路由器自动产生本接口IP所在网段的路由信息。 静态路由在拓扑结构简单的网络中,网管员通过手工的方式配置本路由器未知网段的路由信息,从而实现不同网段之间的连接。 动态路由协议学习产生的路由在大规模的网络中,或网络拓扑相对复杂的情况下,通过在路由器上运行动态路由协议,路由器之间互相自动学习产生路由信息。 【案例内容】 1、按照拓扑进行网络连接 2、配置路由器的接口地址参数 3、配置静态路由 4、测试 【实现功能】 实现网络的互连互通,从而实现信息的共享和传递。 【案例设备】 R1762(2台),PC(2台)、直连线(2条)、V.35线缆(1对) 【案例拓扑】
【主要命令】 Ip route ,clock rate , no shutdown, ip address 【案例步骤】 1、在路由器 Router1 上配置接口的 IP 地址和串口上的时钟频率。 router#conf router#host Router1 Router1(config)# interface fastethernet 1/0 !进入接口fastethernet 1/0的配置模式 Router1(config-if)# ip address 192.168.1.1 255.255.255.0 !配置路由器接口fastethernet 1/0的 IP 地址 Router1(config)# no shutdown !开启路由器 fastethernet0 接口 Router1(config)# interface serial 1/2 !进入接口 S1/2 配置模式 Router1(config-if)# ip address 192.168.2.1 255.255.255.0 !配置路由器接口 S1/2 的 IP 地址 Router1(config-if)#clock rate 64000 !配置 Router1 的时钟频率(DCE ) Router1(config)# no shutdown !开启路由器serial 1/2接口 Router1(config)#end 验证测试:验证路由器接口的配置 Router1#show ip interface brief Interface IP-Address(Pri) OK? Status serial 1/2 192.168.2.1/24 YES UP serial 1/3 no address YES DOWN FastEthernet 1/0 192.168.1.1/24 YES UP FastEthernet 1/1 no address YES DOWN Null 0 no address YES UP Router1#show interface serial 1/2 serial 1/2 is UP , line protocol is UP Hardware is PQ2 SCC HDLC CONTROLLER serial Interface address is: 192.168.2.1/24 MTU 1500 bytes, BW 2000 Kbit Encapsulation protocol is HDLC, loopback not set Keepalive interval is 10 sec , set Carrier delay is 2 sec RXload is 1 ,Txload is 1 Queueing strategy: WFQ 5 minutes input rate 15 bits/sec, 0 packets/sec 5 minutes output rate 17 bits/sec, 0 packets/sec 1030 packets input, 22660 bytes, 0 no buffer Received 1030 broadcasts, 0 runts, 0 giants 14 input errors, 1 CRC, 12 frame, 0 overrun, 1 abort 1031 packets output, 22682 bytes, 0 underruns 0 output errors, 0 collisions, 3 interface resets 1 carrier transitions V35 DCE cable F 1/0 N I C F 1/0 N I C S 1/2 S 1/2 R o u t e r 1 R o u t e r 2
静态路由与缺省路由配置案例
Router 0 Router> Router> Router> Router>en Router#confi Router#configure Configuring from terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#int Router(config)#interface f Router(config)#interface fastEthernet 0/0 Router(config-if)#ip add Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#no shutdown Router(config-if)# %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up Router(config-if)# Router(config-if)# Router(config-if)# Router(config-if)#exit Router(config)#int Router(config)#interface s Router(config)#interface serial 0/0/0 Router(config-if)#cl Router(config-if)#clock ra Router(config-if)#clock rate 64000 Router(config-if)#ip add Router(config-if)#ip address 192.168.2.1 % Incomplete command. Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#no shut Router(config-if)#no shutdown %LINK-5-CHANGED: Interface Serial0/0/0, changed state to down Router(config-if)#exit Router(config)#ip route Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 Router(config)# Router 1
配置NAT Outbound示例
配置NAT Outbound示例 组网需求 如图1所示,某公司A区的网络通过AR200-S的地址转换功能访问广域网。使用公网地址池中的地址(202.169.10.100~202.169.10.200)采用一对一的方式替换A区内部的主机地址(网段为192.168.20.0/24),访问广域网。 B区的网络通过AR200-S的地址转换功能访问广域网。结合B区的公网IP地址比较少的情况,使用公网地址池(202.169.10.80~202.169.10.83)采用IP地址和端口的替换方式替换B区内部的主机地址(网段为10.0.0.0/24),访问广域网。 其中AR200-S上接口Ethernet2/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。 图1 配置NAT Outbound组网图 配置思路 采用如下思路配置NAT Outbound: 1.配置接口IP地址。 2.配置缺省路由。 3.在WAN侧接口下配置NAT Outbound,实现内部主机访问外网服务功能。 操作步骤
1.在AR200-S上配置接口IP地址。 2.
华为配置内网用户通过NAT地址池方式访问Internet外网
配置内网用户通过NAT地址池方式访问Internet外网的示例 规格 适用于所有版本、所有形态的AR路由器。 组网需求 如图1所示,内网用户通过路由器的NAT地址池方式来访问Internet。 图1 配置通过NAT地址池方式访问Internet 操作步骤 1.配置Router。 2.# 3.vlan batch 100 4.# 5.a cl number 2000 //配置允许进行NAT转换的内网地址段 6.rule 5 permit source 192.168.20.0 0.0.0.255 7.# 8.nat address-group 1 202.169.10.100 202.169.10.200 //配置NAT地址池 9.# 10.interface vlanif100 //配置内网网关的IP地址 11. ip address 192.168.20.1 255.255.255.0 12.# 13.interface Ethernet2/0/0 14. port link-type access
15. port default vlan 100 16.# 17.interface GigabitEthernet3/0/0 18. ip address 202.169.10.1 255.255.255.0 19. nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound 20.# 21. ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 //配置默认路由 22.验证配置结果。 # 执行命令display nat outbound,查看NAT Outbound的配置信息。 # 内网用户可以通过路由器的NAT地址池方式来访问Internet。
相关文档
- 华为路由器NAT命令详解
- 华为NAT转换
- 华为防火墙web配置教程-华为防火墙典型案例PPT课件
- 华为_MSR路由器_教育网双出口NAT服务器的典型配置
- 华为NAT技术
- 配置NAT Outbound示例
- (完整word版)策略路由和NAT实现负载均衡实例(华为防火墙)
- 华为配置手册
- 华为AR路由器NAT命令详解
- 华为NAT配置案例
- 华为静态NAT
- 华为路由器配置实战汇总-nat
- 动态NAT的配置命令-华为
- 华为防火墙NAT配置命令
- 华为NAT配置案例
- 华为NAT原理与基本应用
- 华为NAT配置案例
- ACL和NAT的配置(修正版)华为.
- 华为E1000设备NAT配置案例
- 华为nat配置实例