• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C VSR1000虚拟路由器典型配置举例-6W100

目录

06-H3C VSR1000虚拟路由器内网用户通过NAT地址访问内网服务器典型配置举例

本章节下载 06-H3C VSR1000虚拟路由器内网用户通过NAT地址访问内网服务器典型配置举例  (126.83 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/NFV/H3C_VSR/Configure/Typical_Configuration_Example/H3C_VSR1000_CE-6W100/201411/845093_30005_0.htm

06-H3C VSR1000虚拟路由器内网用户通过NAT地址访问内网服务器典型配置举例

H3C VSR1000虚拟路由器内网用户通过NAT地址访问内网服务器典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

 



1  简介

本文档介绍VSR1000虚拟路由器内网用户通过NAT地址访问内网服务器典型配置。

2  配置前提

本文档不严格与具体软件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT特性。

3  配置举例

3.1  组网需求

图1所示,Host A和FTP服务器同在一个局域网内,Router作为该局域网的网关,具体要求如下:

·     外网主机可以通过Router访问内网FTP服务器;

·     内网主机在访问FTP服务器时,需要通过外网地址访问,从而有效的避免服务器受到来自内部网络的攻击。

图1 内网用户通过外网地址访问内网服务器

 

3.2  配置思路

·     通过定义ACL规则,并将其与NAT配置关联,实现只对内网匹配指定的ACL规则的报文进行地址转换。

·     为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器功能。

·     为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。

3.3  使用版本

本举例是在E0301版本上进行配置和验证的。

3.4  配置步骤

# 配置Router的内网接口GigabitEthernet1/0和外网接口GigabitEthernet2/0的IP地址。

<Router> system-view

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] ip address 192.168.1.1 24

[Router-GigabitEthernet1/0] quit

[Router] interface gigabitethernet 2/0

[Router-GigabitEthernet2/0] ip address 10.0.0.1 24

[Router-GigabitEthernet2/0] quit

# 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2000] quit

# 在接口GigabitEthernet2/0上配置NAT内部服务器,允许外网主机使用地址10.0.0.1访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。

[Router] interface gigabitethernet 2/0

[Router-GigabitEthernet2/0] nat server protocol tcp global 10.0.0.1 inside 192.168.1.5 ftp

# 在接口GigabitEthernet2/0上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet2/0的IP地址进行源地址转换。

[Router-GigabitEthernet2/0] nat outbound 2000

[Router-GigabitEthernet2/0] quit

# 在接口GigabitEthernet1/0上使能NAT hairpin功能。

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] nat hairpin enable

[Router-GigabitEthernet1/0] quit

3.5  验证配置

# 以上配置完成后,内网主机和外网主机均能够通过外网地址访问内网FTP Server。通过display nat all命令查看所有NAT的配置信息,可以看到GigabitEthernet1/0接口上使能了NAT hairpin功能。

[Router] display nat all

NAT outbound information:

  There are 1 NAT outbound rules.

  Interface: GigabitEthernet2/0

    ACL: 2000         Address group: ---    Port-preserved: N

    NO-PAT: N         Reversible: N

NAT internal server information:

  There are 1 internal servers.

  Interface: GigabitEthernet2/0

    Protocol: 6(TCP)

    Global IP/port: 10.0.0.1/21

    Local  IP/port: 192.168.1.5/21

 

NAT logging:

  Log enable          : Disabled

  Flow-begin          : Disabled

  Flow-end            : Disabled

  Flow-active         : Disabled

  Port-block-assign   : Disabled

  Port-block-withdraw : Disabled

  Alarm               : Disabled

 

NAT hairpinning:

  There are 1 interfaces enabled with NAT hairpinning.

  Interface: GigabitEthernet1/0

 

NAT mapping behavior:

  Mapping mode: Address and Port-Dependent

  ACL         : ---

 

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Enabled

  ICMP-ERROR : Enabled

  ILS        : Enabled

  MGCP       : Enabled

  NBT        : Enabled

  PPTP       : Enabled

  RSH        : Enabled

  RTSP       : Enabled

  SCCP       : Enabled

  SIP        : Enabled

  SQLNET     : Enabled

  TFTP       : Enabled

  XDMCP      : Enabled

# 通过display nat session verbose命令查看NAT会话的详细信息,可以看到Host A访问FTP server时生成NAT会话信息。

[Router] display nat session verbose

Initiator:

  Source      IP/port: 192.168.1.2/1694

  Destination IP/port: 10.0.0.1/21

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 192.168.1.5/21

  Destination IP/port: 10.0.0.1/1025

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2013-08-15 14:53:29  TTL: 3597s

Interface(in) : GigabitEthernet1/0

Interface(out): GigabitEthernet2/0

Initiator->Responder:            7 packets        308 bytes

Responder->Initiator:            5 packets        312 bytes

 

Total sessions found: 1

3.6  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

 nat hairpin enable

#  

interface GigabitEthernet2/0

 port link-mode route

 ip address 10.0.0.1 255.255.255.0

 nat outbound 2000

 nat server protocol tcp global 10.0.0.1 21 inside 192.168.1.5 21

#

acl number 2000 

 rule 0 permit source 192.168.1.0 0.0.0.255

#

4  相关资料

·     《H3C VSR1000虚拟路由器配置指导》中的“三层技术-IP业务配置指导”

·     《H3C VSR1000虚拟路由器命令参考》中的“三层技术-IP业务命令参考”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们