- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-H3C SR8800 NAT典型配置举例
本章节下载: 01-H3C SR8800 NAT典型配置举例 (243.2 KB)
H3C SR8800 NAT配置举例
|
Copyright © 2014 杭州华三通信技术有限公司 版权所有,保留一切权利。 非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部, 并不得以任何形式传播。本文档中的信息可能变动,恕不另行通知。 |
|
目 录
本文介绍NAT配置举例。
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要应用在连接两个网络的边缘设备上,用于实现允许内部网络用户访问外部公共网络以及允许外部公共网络访问部分内部网络资源(例如内部服务器)的目的。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文假设您已了解NAT特性。
· 不同类型的NAT单板对NAT应用场景的支持情况有所不同,具体见表1。
|
应用场景 |
NAT单板类型 |
|
|
具有NAT功能的单板(包括:SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板、SPC单板、MPE单板) |
NAT单板(单板丝印以“IM-NAT”开头的单板,如IM-NAT-II) |
|
|
√ |
√ |
|
|
√(不支持NAT连接限制功能) |
√ |
|
|
× |
√ |
|
· 一个业务接口可以绑定多个配置NAT功能的接口,一个配置NAT功能的接口只能与一个业务接口绑定。
· 将接口绑定到NAT业务接口后,该接口不能作为QoS重定向的出接口,因为从该接口出去的报文会进行NAT业务处理,会导致QoS重定向功能失效。
如图1所示,某学校拥有三条公网ISP线路,并且分别向各ISP申请了一段公网IP地址:ISP1分配的地址为202.12.6.2~202.12.6.6,ISP2分配的地址为61.16.5.2~61.16.5.6,ISP3分配的地址为210.22.3.2~210.22.3.6。
· Router上3号槽位安装的是SPE单板。
· Router上6号槽位安装的单板为SPC单板、MPE单板、NAT单板或丝印为SPE-1010-II、SPE-1010-E-II、SPE-1020-II、SPE-1020-E-II的单板。
要求实现:
校园网内的用户(网段为10.0.0.0/8)可以正常访问各ISP公网;且Router可以根据访问的目的网络自动选择合适的ISP出接口。
· 访问目的网段为202.0.0.0/8的流量优先选择ISP1出接口(GigabitEthernet3/1/1),ISP2出接口(GigabitEthernet3/1/2)作为备选;
· 访问目的网段为61.0.0.0/8的流量优先选择ISP2出接口(GigabitEthernet3/1/2),ISP3出接口(GigabitEthernet3/1/3)作为备选;
· 访问目的网段为210.0.0.0/8的流量优先选择ISP3出接口(GigabitEthernet3/1/3),ISP2出接口(GigabitEthernet3/1/2)作为备选;
图1 多ISP出口配置组网图
· 为了实现为每条链路配置一个备份下一跳,需要将访问三个ISP的流量分别定义为三种流,并指定该流的下一跳和备份下一跳;
· 为了实现用户访问各个ISP时,都可以转换为对应的公网地址,需要在三个ISP出接口配置出方向NAT,分别使用不同的地址池。
本举例是在SR8800-CMW520-R3725版本上进行配置和验证的。
# 配置接口GigabitEthernet3/1/5的IP地址。
<Router> system-view
[Router] interface GigabitEthernet 3/1/5
[Router-GigabitEthernet3/1/5] ip address 10.0.0.1 255.0.0.0
# 请参考以上方法配置图1中其它接口的IP地址,配置步骤这里省略。
#创建三个ACL,编号分别为3100、3101、3102,分别用于匹配访问ISP1、ISP2、ISP3网络的流量。
[Router] acl number 3100
[Router-acl-adv-3100] rule 0 permit ip destination 202.0.0.0 0.255.255.255
[Router-acl-adv-3100] quit
[Router] acl number 3101
[Router-acl-adv-3101] rule 0 permit ip destination 61.0.0.0 0.255.255.255
[Router-acl-adv-3101] quit
[Router] acl number 3102
[Router-acl-adv-3102] rule 0 permit ip destination 210.0.0.0 0.255.255.255
[Router-acl-adv-3102] quit
# 创建流分类。
[Router] traffic classifier ISP1
[Router-classifier-ISP1] if-match acl 3100
[Router-classifier-ISP1] quit
[Router] traffic classifier ISP2
[Router-classifier-ISP2] if-match acl 3101
[Router-classifier-ISP2] quit
[Router] traffic classifier ISP3
[Router-classifier-ISP3] if-match acl 3102
[Router-classifier-ISP3] quit
#将访问ISP1的流量下一跳优先重定向202.12.0.1,如果202.12.0.1不可达则下一跳重定向到61.16.5.1。
[Router] traffic behavior ISP1
[Router-behavior-ISP1] redirect next-hop 202.12.0.1 61.16.5.1
[Router-behavior-ISP1] quit
#将访问ISP2的流量下一跳优先重定向61.16.5.1,如果61.16.5.1不可达则下一跳重定向到210.22.3.1。
[Router] traffic behavior ISP2
[Router-behavior-ISP2] redirect next-hop 61.16.5.1 210.22.3.1
[Router-behavior-ISP2] quit
#将访问ISP3的流量下一跳优先重定向210.22.3.1,如果210.22.3.1不可达则下一跳重定向到61.16.5.1。
[Router] traffic behavior ISP3
[Router-behavior-ISP3] redirect next-hop 210.22.3.1 61.16.5.1
[Router-behavior-ISP3] quit
# 定义QOS策略,绑定流类型和流动作。
[Router] qos policy ISP
[Router-qospolicy-ISP] classifier ISP1 behavior ISP1
[Router-qospolicy-ISP] classifier ISP2 behavior ISP2
[Router-qospolicy-ISP] classifier ISP3 behavior ISP3
[Router-qospolicy-ISP] quit
#在Router上与内网侧相连接口的入方向应用该策略。
[Router] interface GigabitEthernet 3/1/5
[Router-GigabitEthernet3/1/5] qos apply policy ISP inbound
[Router-GigabitEthernet3/1/5] quit
# 配置NAT转换使用的地址池。
[Router] nat address-group 1 202.12.6.3 202.12.6.6
[Router] nat address-group 2 61.16.5.3 61.16.5.6
[Router] nat address-group 3 210.22.3.3 210.22.3.6
# 配置ACL规则允许10.0.0.0/8网段地址转换。
[Router] acl number 2100
[Router-acl-basic-2100] rule 0 permit source 10.0.0.0 0.255.255.255
[Router-acl-basic-2100] quit
# 配置在各个ISP出接口做NAT,分别使用不同的地址池。
[Router] interface GigabitEthernet 3/1/1
[Router-GigabitEthernet3/1/1] nat outbound 2100 address-group 1
[Router-GigabitEthernet3/1/1] quit
[Router] interface GigabitEthernet 3/1/2
[Router-GigabitEthernet3/1/2] nat outbound 2100 address-group 2
[Router-GigabitEthernet3/1/2] quit
[Router] interface GigabitEthernet 3/1/3
[Router-GigabitEthernet3/1/3] nat outbound 2100 address-group 3
[Router-GigabitEthernet3/1/3] quit
# 在NAT业务接口NAT6/0/1上绑定已经配置NAT功能的接口GigabitEthernet3/1/1、GigabitEthernet3/1/2和GigabitEthernet3/1/3。
[Router] interface nat 6/0/1
[Router-NAT6/0/1] nat binding interface GigabitEthernet3/1/1
[Router-NAT6/0/1] nat binding interface GigabitEthernet3/1/2
[Router-NAT6/0/1] nat binding interface GigabitEthernet3/1/3
[Router-NAT6/0/1] quit
# 查看NAT地址池的信息,已建立3个对应的地址池。
<Router> display nat address-group
NAT address-group information:
There are currently 3 nat address-group(s)
1 : from 202.12.6.3 to 202.12.6.6
2 : from 61.16.5.3 to 61.16.5.6
3 : from 210.22.3.3 to 210.22.3.6
# 显示配置的地址转换的信息。
<Router> display nat bound
NAT bound information:
There are currently 3 nat bound rule(s)
Interface: GigabitEthernet3/1/1
Direction: outbound ACL: 2100 Address-group: 1 NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Active
Interface: GigabitEthernet3/1/2
Direction: outbound ACL: 2100 Address-group: 2 NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Active
Interface: GigabitEthernet3/1/3
Direction: outbound ACL: 2100 Address-group: 3 NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Active
#显示用户定义的ISP1、ISP2、ISP3三个行为配置的下一跳和备用下一跳。
<Router> display traffic behavior user-defined
User Defined Behavior Information:
Behavior: ISP2
Redirect enable:
Redirect type: next-hop
Redirect destination:
61.16.5.1
210.22.3.1
Redirect fail-action: forward
Behavior: ISP3
Redirect enable:
Redirect type: next-hop
Redirect destination:
210.22.3.1
61.16.5.1
Redirect fail-action: forward
Behavior: ISP1
Redirect enable:
Redirect type: next-hop
Redirect destination:
202.12.0.1
61.16.5.1
Redirect fail-action: forward
#
nat address-group 1 202.12.6.3 202.12.6.6
nat address-group 2 61.16.5.3 61.16.5.6
nat address-group 3 210.22.3.3 210.22.3.6
#
acl number 2100
rule 0 permit source 10.0.0.0 0.255.255.255
acl number 3100
rule 0 permit ip destination 202.0.0.0 0.255.255.255
acl number 3101
rule 0 permit ip destination 61.0.0.0 0.255.255.255
acl number 3102
rule 0 permit ip destination 172.0.0.0 0.255.255.255
#
traffic classifier ISP1 operator and
if-match acl 3100
traffic classifier ISP2 operator and
if-match acl 3101
traffic classifier ISP3 operator and
if-match acl 3102
#
traffic behavior ISP1
accounting
redirect next-hop 202.12.0.1 61.16.5.1
traffic behavior ISP2
redirect next-hop 210.22.3.1 61.16.5.1
accounting
traffic behavior ISP3
redirect next-hop 61.16.5.1 210.22.3.1
accounting
#
qos policy mul-ISP
classifier ISP1 behavior ISP1
classifier ISP2 behavior ISP2
classifier ISP3 behavior ISP3
#
interface GigabitEthernet3/1/5
port link-mode route
ip address 10.0.0.1 255.0.0.0
qos apply policy mul-ISP inbound
#
interface GigabitEthernet3/1/6
port link-mode route
#
interface GigabitEthernet3/1/1
nat outbound 2100 address-group 2
ip address 202.12.0.2 255.255.255.0
#
interface GigabitEthernet3/1/2
nat outbound 2100 address-group 0
ip address 61.16.5.2 255.255.255.0
#
interface GigabitEthernet3/1/3
nat outbound 2100 address-group 1
ip address 210.22.3.2 255.255.255.0
#
interface NAT6/0/1
nat binding interface GigabitEthernet3/1/1
nat binding interface GigabitEthernet3/1/2
nat binding interface GigabitEthernet3/1/3
#
ip route-static 0.0.0.0 0.0.0.0 61.16.5.1
如图2所示,某公司的内网地址是10.110.0.0/22,向运营商租用了两条线路,每条线路的带宽为10M,并申请了两段公网IP地址,分别为61.16.5.51~61.16.5.52和61.16.81.0~61.16.81.15。
· Router上3号槽位安装的是SPE单板。
· Router上6号槽位安装的是NAT单板。
要求实现:
· 公司内10.110.1.0~10.110.1.255和10.110.2.0~10.110.2.255地址段的用户使用61.16.5.51~61.16.5.52公网地址进行动态地址转换,并通过等价路由负载分担访问Internet;
· 公司内10.110.3.0~10.110.3.15地址段的用户使用61.16.81.0~61.16.81.15公网地址进行静态地址转换,并通过等价路由负载分担访问Internet;
· 对内网用户进行如下连接限制:
¡ 10.110.1.0~10.110.1.255地址段的每个用户最多1M带宽、HTTP、UDP和TCP都限制为最多连接数100个;
¡ 10.110.2.0~10.110.2.255地址段的所有用户共享5M带宽,HTTP、UDP和TCP都限制为最多连接数1000个。
图2 同一ISP多NAT出口配置组网图
· 由于内网10.110.1.0~10.110.1.255和10.110.2.0~10.110.2.255两个地址段的用户共用61.16.5.51~61.16.5.52两个公网地址与Internet通信,所以需要使用NAPT方式进行内网IP地址与公网IP地址的动态映射;
· 为实现负载分担,需要分别配置访问Internet1和Internet2的缺省路由,且2条路由优先级相同;
· 为实现10.110.3.0~10.110.3.15地址段到61.16.81.0~61.16.81.15地址段的静态地址转换,可以配网段对网段静态地址转换规则,并在Router出接口上配置静态转换生效;
本举例是在SR8800-CMW520-R3725版本上进行配置和验证的。
· 通过使用等价路由实现NAT出口负载分担时,需要保证路由出接口上指定相同的动态地址转换使用的地址池和静态地址转换规则;
· 仅NAT单板支持NAT连接限制功能。
# 配置接口GigabitEthernet3/1/5的IP地址。
<Router> system-view
[Router] interface GigabitEthernet 3/1/5
[Router-GigabitEthernet3/1/5] ip address 10.110.0.1 255.255.252.0
# 请参考以上方法配置5.1 图2中其它接口的IP地址,配置步骤这里省略。
# 配置两条等价缺省路由,下一跳分别指向Internet1和Internet2。
[Router] ip route-static 0.0.0.0 0.0.0.0 61.11.5.1 preference 60
[Router] ip route-static 0.0.0.0 0.0.0.0 61.12.5.1 preference 60
# 配置IP地址池10,包括两个公网地址61.16.5.51和61.16.5.52。
[Router] nat address-group 10 61.16.5.51 61.16.5.52
# 配置访问控制列表2101,允许10.110.1.0~10.110.1.255和10.110.2.0~10.110.2.255两个地址段进行地址转换。
[Router] acl number 2101
[Router-acl-basic-2101] rule 0 permit source 10.110.1.0 0.0.0.255
[Router-acl-basic-2101] rule 5 permit source 10.110.2.0 0.0.0.255
[Router-acl-basic-2101] quit
# 在Router出接口GigabitEthernet3/1/1和GigabitEthernet3/1/2的出方向上配置访问控制列表2101和IP地址池10相关联,并配置静态转换生效。
[Router] interface GigabitEthernet 3/1/1
[Router-GigabitEthernet3/1/1] nat outbound 2101 address-group 10
[Router-GigabitEthernet3/1/1] nat outbound static
[Router-GigabitEthernet3/1/1] quit
[Router] interface GigabitEthernet 3/1/2
[Router-GigabitEthernet3/1/2] nat outbound 2101 address-group 10
[Router-GigabitEthernet3/1/2] nat outbound static
[Router-GigabitEthernet3/1/2] quit
# 配置在NAT业务接口NAT6/0/1上绑定已经配置NAT功能的接口GigabitEthernet3/1/1和GigabitEthernet3/1/2。
[Router] interface nat 6/0/1
[Router-NAT6/0/1] nat binding interface GigabitEthernet 3/1/1
[Router-NAT6/0/1] nat binding interface GigabitEthernet 3/1/2
# 配置10.110.3.0~10.110.3.15地址段到61.16.81.0~61.16.81.15地址段的网段对网段静态地址转换规则。
[Router-NAT6/0/1] nat static net-to-net 10.110.3.0 61.16.81.0 28
[Router-NAT6/0/1] quit
# 创建连接限制策略视图,限制10.110.1.0~10.110.1.255网段的每个用户最多使用1M(125KBytes/s)带宽,HTTP、UDP和TCP都限制为最多连接数100个;限制10.110.2.0~10.110.2.255网段的所有用户共享5M(625KBytes/s)带宽,HTTP、UDP和TCP都限制为最多连接数1000个。
[Router] connection-limit policy 10
[Router-connection-limit-policy-10] limit 12000 source 10.110.1.0 24 bandwidth 125 amount http 100 tcp 100 other 100
[Router-connection-limit-policy-10] limit 8000 source 10.110.2.0 24 bandwidth 625 amount http 1000 tcp 1000 other 1000 shared
[Router-connection-limit-policy-10] quit
# 配置连接限制策略与NAT业务接口NAT6/0/1绑定。
[Router] interface nat 6/0/1
[Router-NAT6/0/1] connection-limit apply policy 10
# 删除所有旧的会话表,使连接限制功能立即生效。
[Router-NAT6/0/1] return
<Router> reset session
# 查看地址转换关联的配置信息,接口GigabitEthernet3/1/1和GigabitEthernet3/1/2上同时建立了访问控制列表2101和IP地址池10的关联。
<Router> display nat bound
NAT bound information:
There are currently 2 nat bound rule(s)
Interface: GigabitEthernet3/1/1
Direction: outbound ACL: 2101 Address-group: 10 NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Active
Interface: GigabitEthernet3/1/2
Direction: outbound ACL: 2101 Address-group: 10 NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Active
# 查看访问控制列表2101匹配的网段和IP地址池10绑定的地址范围。
<Router> display acl 2101
Basic ACL 2101, named -none-, 2 rules,
ACL's step is 5
rule 0 permit source 10.110.1.0 0.0.0.255
rule 5 permit source 10.110.2.0 0.0.0.255
<Router> display nat address-group 10
NAT address-group information:
10 : from 61.16.5.51 to 61.16.5.52
#查看静态地址转换规则,GigabitEthernet3/1/1和GigabitEthernet3/1/2上都实现了10.110.3.0~10.110.3.15地址段到61.16.81.0~61.16.81.15地址段的静态地址转换。
<Router> display nat static
NAT static information:
There are currently 1 NAT static configuration(s)
net-to-net:
Local-IP : 10.110.3.0
Global-IP : 61.16.81.0
Netmask : 255.255.255.240
Unidirectional : N
Local-VPN : ---
Global-VPN : ---
Destination : ---
Destination Mask: ---
Out-interface : ---
Next-hop : ---
Status : Active
NAT static enabled information:
Interface Direction
GigabitEthernet3/1/1 out-static
GigabitEthernet3/1/2 out-static
# 查看连接限制策略10,确认10.110.1.0~10.110.1.255和10.110.2.0~10.110.2.255两个地址段用户的访问连接受到了限制。
<Router> display connection-limit policy 10
Connection-limit policy 10, refcount 1, 2 limits
limit 8000 source 10.110.2.0 24 amount http 1000 tcp 1000 other 1000 bandwidth
625 shared
limit 12000 source 10.110.1.0 24 amount http 100 tcp 100 other 100 bandwidth 1
25
nat address-group 10 61.16.5.51 61.16.5.52
#
acl number 2101
rule 0 permit source 10.110.1.0 0.0.0.255
rule 5 permit source 10.110.2.0 0.0.0.255
#
connection-limit policy 10
limit 8000 source 10.110.2.0 24 amount http 1000 tcp 1000 other 1000 bandwidth 625 shared
limit 12000 source 10.110.1.0 24 amount http 100 tcp 100 other 100 bandwidth 125
#
interface GigabitEthernet3/1/1
nat outbound static
nat outbound 2101 address-group 10
ip address 61.11.5.2 255.255.255.0
#
interface GigabitEthernet3/1/2
nat outbound static
nat outbound 2101 address-group 10
ip address 61.12.5.2 255.255.255.0
#
interface GigabitEthernet3/1/5
port link-mode route
ip address 10.110.0.1 255.255.252.0
#
interface NAT6/0/1
connection-limit apply policy 10
nat binding interface GigabitEthernet3/1/1
nat binding interface GigabitEthernet3/1/2
nat static net-to-net 10.110.3.0 61.16.81.0 255.255.255.240
#
ip route-static 0.0.0.0 0.0.0.0 61.11.5.1 preference 60
ip route-static 0.0.0.0 0.0.0.0 61.12.5.1 preference 60
#
如图3所示,某公司内网地址是10.110.0.0/22,向运营商申请的公网地址是:61.16.1.31~61.16.1.35和61.16.0.2,通过NAT访问Internet。
· Router上3号槽位安装的是SPE单板。
· Router上6号槽位安装的单板为NAT单板。
要求实现:
· 内网用户NAT变换后使用61.16.1.31~61.16.1.35公网地址访问Internet;
· 内网10.110.3.0~10.110.3.255地址段内的服务器对外提供FTP服务,对外的公网IP地址为61.16.0.2。共有3台FTP服务器可以同时提供服务,并进行负载分担,但不允许主动访问外网。
· 为了实现内网用户可以共用61.16.1.31~61.16.1.35公网地址访问Internet,需要使用NAPT方式进行内网IP地址与公网IP地址的动态映射;
· 为保证除10.110.3.0~10.110.3.255地址段外其他内网用户可以通过NAT访问Internet:
¡ 配置访问Internet的缺省路由;
¡ 配置访问控制列表阻止源地址为10.110.3.0~10.110.3.255地址段与外网通信,并与NAT地址池绑定;
本举例是在SR8800-CMW520-R3725版本上进行配置和验证的。
负载分担内部服务器功能需要NAT单板支持。
# 配置接口GigabitEthernet3/1/5的IP地址。
<Router> system-view
[Router] interface GigabitEthernet 3/1/5
[Router-GigabitEthernet3/1/5] ip address 10.110.0.1 255.255.252.0
# 请参考以上方法配置6.1 图3中其它接口的IP地址,配置步骤这里省略。
# 配置缺省路由,下一跳为Internet接口。
[Router] ip route-static 0.0.0.0 0.0.0.0 61.16.0.1
# 配置访问控制列表,除10.110.3.0~10.110.3.255地址段外其他内网用户可以通过NAT访问Internet。
[Router] acl number 2000
[Router-acl-basic-2000] rule 0 deny source 10.110.3.0 0.0.0.255
[Router-acl-basic-2000] rule 5 permit source 10.110.0.0 0.0.3.255
[Router-acl-basic-2000] quit
# 配置内网用户进行NAT动态变换使用的公网地址池。
[Router] nat address-group 100 61.16.1.31 61.16.1.35
# 配置内部服务器组0并添加对应的成员:10.110.3.1、10.110.3.2和10.110.3.3的21端口。
[Router] nat server-group 0
[Router-nat-server-group-0] inside ip 10.110.3.1 port 21
[Router-nat-server-group-0] inside ip 10.110.3.2 port 21
[Router-nat-server-group-0] inside ip 10.110.3.3 port 21
# 在出接口GigabitEthernet3/1/6的出方向上配置访问控制列表2000和地址池100关联。
[Router] interface GigabitEthernet 3/1/6
[Router-GigabitEthernet3/1/6] nat outbound 2000 address-group 100
# 配置NAT server,引用内部服务器组0,该组内的主机共同对外提供FTP服务。
[Router-GigabitEthernet3/1/6] nat server protocol tcp global 61.16.0.2 ftp inside server-group 0
[Router-GigabitEthernet3/1/6] quit
#配置在NAT业务接口NAT6/0/1上绑定已经配置NAT功能的接口GigabitEthernet3/1/6。
[Router] interface nat 6/0/1
[Router-NAT6/0/1] nat binding interface gigabitethernet 3/1/6
# 查看NAT地址池的信息、NAT地址转换的信息和ACL2000,除10.110.3.0~10.110.3.255地址段外,其他10.110.0.0/22网段用户可以进行NAT变换并使用61.16.1.31~61.16.1.35公网地址访问Internet。
<Router> display nat address-group
NAT address-group information:
There are currently 1 nat address-group(s)
100 : from 61.16.1.31 to 61.16.1.35
<Router> display nat bound
NAT bound information:
There are currently 1 nat bound rule(s)
Interface: Vlan-interface1
Direction: outbound ACL: 2000 Address-group: 100 NO-PAT: N
VPN-instance: ---
Out-interface: ---
Next-hop: ---
Status: Active
<Router> display acl 2000
Basic ACL 2000, named -none-, 2 rules,
ACL's step is 5
rule 0 deny source 10.110.3.0 0.0.0.255
rule 5 permit source 10.110.0.0 0.0.3.255
#查看NAT内部服务器的信息,确认内网的服务器组(3台FTP服务器)可以向Internet提供FTP服务,源地址变换为公网地址61.16.0.2,实现内部服务器的负载分担。
<Router> display nat server
NAT server in private network information:
There are currently 1 internal server(s)
Interface: GigabitEthernet3/1/6, Protocol: 6(tcp)
Global: 61.16.0.2 : 21(ftp)
Local : (server-group 0)
10.110.3.1 : 21(ftp)
10.110.3.2 : 21(ftp)
10.110.3.3 : 21(ftp)
Status: Active
acl number 2000
rule 0 deny source 10.110.3.0 0.0.0.255
rule 5 permit source 10.110.0.0 0.0.3.255
#
nat address-group 10 61.16.1.31 61.16.1.35
#
nat server-group 0
inside ip 10.110.3.1 port 21
inside ip 10.110.3.2 port 21
inside ip 10.110.3.3 port 21
#
interface GigabitEthernet3/1/5
port link-mode route
ip address 10.110.0.1 255.255.252.0
#
interface GigabitEthernet3/1/6
port link-mode route
nat outbound 2000 address-group 100
nat server protocol tcp global 61.16.0.2 ftp inside server-group 0
ip address 61.16.0.2 255.255.255.0
#
interface NAT6/0/1
nat binding interface GigabitEthernet3/1/6
#
ip route-static 0.0.0.0 0.0.0.0 61.16.0.1
· 《H3C SR8800万兆核心路由器 三层技术-IP业务配置指导》中的“NAT”
· 《H3C SR8800万兆核心路由器 三层技术-IP业务命令参考》中的“NAT”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
