13-NAT配置
本章节下载: 13-NAT配置 (457.05 KB)
NAT(Network Address Translation,网络地址转换)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式,将有助于减缓可用IP地址空间的枯竭。
私网IP地址是指内部网络或主机的IP地址,公网IP地址是指在因特网上全球唯一的IP地址。
RFC 1918为私有网络预留出了三个IP地址块,如下:
· A类:10.0.0.0~10.255.255.255
· B类:172.16.0.0~172.31.255.255
· C类:192.168.0.0~192.168.255.255
(上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。)
NAT最初的设计目的是用于实现私有网络访问公共网络的功能,后扩展到实现任意两个网络间进行访问时的地址转换应用,本文中将这两个网络分别称为内部网络(内网)和外部网络(外网),通常私网为内部网络,公网为外部网络。
图1-1描述了一个基本的NAT应用。
(2) 内网用户主机(192.168.1.3)向外网服务器(1.1.1.2)发送的IP报文通过NAT设备。
(3) NAT设备查看报头内容,发现该报文是发往外网的,将其源IP地址字段的私网地址192.168.1.3转换成一个可在Internet上选路的公网地址20.1.1.1,并将该报文发送给外网服务器,同时在NAT设备的网络地址转换表中记录这一映射。
(4) 外网服务器给内网用户发送的应答报文(其初始目的IP地址为20.1.1.1)到达NAT设备后,NAT设备再次查看报头内容,然后查找当前网络地址转换表的记录,用内网私有地址192.168.1.3替换初始的目的IP地址。
上述的NAT过程对终端(如图中的Host和Server)来说是透明的。对外网服务器而言,它认为内网用户主机的IP地址就是20.1.1.1,并不知道有192.168.1.3这个地址。因此,NAT“隐藏”了企业的私有网络。
地址转换的优点在于,在为内部网络主机提供了“隐私”保护的前提下,实现了内部网络的主机通过该功能访问外部网络的资源。但它也有一些缺点:
· 由于需要对数据报文进行IP地址的转换,涉及IP地址的数据报文的报头不能被加密。在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,不能使用加密的FTP连接,否则FTP协议的port命令不能被正确转换。
· 网络调试变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟哪一台主机是恶意的,因为主机的IP地址被屏蔽了。
在实际应用中,我们可能希望某些内部网络的主机可以访问外部网络,而某些主机不允许访问,即当NAT设备查看IP数据报文的报头内容时,如果发现源IP地址属于禁止访问外部网络的内部主机,它将不进行地址转换。另外,也希望只有指定的公网地址才可用于地址转换。
设备可以利用ACL(Access Control List,访问控制列表)和地址池来对地址转换进行控制。
· 访问控制列表可以有效地控制地址转换的使用范围,只有满足访问控制列表规则的数据报文才可以进行地址转换。
· 地址池是用于地址转换的一些连续的公网IP地址的集合,它可以有效地控制公网地址的使用。用户可根据自己拥有的合法IP地址数目、内部网络主机数目以及实际应用情况,定义合适的地址池。在地址转换的过程中,NAT设备将会从地址池中挑选一个IP地址做为数据报文转换后的源IP地址。
从图1-1的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,来替代内部网络数据报文的源地址。在图1-1中是选择NAT设备出接口的IP地址(公网IP地址)。这样所有内部网络的主机访问外部网络时,只能拥有一个外部网络的IP地址,因此,这种情况同时只允许最多有一台内部网络主机访问外部网络。
当内部网络的多台主机并发的要求访问外部网络时,NAT也可实现对并发性请求的响应,允许NAT设备拥有多个公有IP地址。当第一个内网主机访问外网时,NAT选择一个公有地址IP1,在地址转换表中添加记录并发送数据报;当另一内网主机访问外网时,NAT选择另一个公有地址IP2,以此类推,从而满足了多台内网主机访问外网的请求。
NAT设备拥有的公有IP地址数目要远少于内部网络的主机数目,因为所有内网主机并不会同时访问外网。公有IP地址数目的确定,应根据网络高峰期可能访问外网的内网主机数目的统计值来确定。
NAPT(Network Address Port Translation,网络地址端口转换)是基本地址转换的一种变形,它允许多个内部地址映射到同一个公有地址上,也可称之为“多对一地址转换”。
NAPT同时映射IP地址和端口号:来自不同内部地址的数据报文的源地址可以映射到同一外部地址,但它们的端口号被转换为该地址的不同端口号,因而仍然能够共享同一地址,也就是“私网IP地址+端口号”与“公网IP地址+端口号”之间的转换。
图1-2描述了NAPT的基本原理。
图1-2 NAPT基本原理示意图
如图1-2所示,三个带有内部地址的数据报文到达NAT设备,其中报文1和报文2来自同一个内部地址但有不同的源端口号,报文1和报文3来自不同的内部地址但具有相同的源端口号。通过NAPT映射,三个数据报的源IP地址都被转换到同一个外部地址,但每个数据报都被赋予了不同的源端口号,因而仍保留了报文之间的区别。当各报文的回应报文到达时,NAT设备仍能够根据回应报文的目的IP地址和目的端口号来区别该报文应转发到的内部主机。
采用NAPT可以更加充分地利用IP地址资源,实现更多内部网络主机对外部网络的同时访问。
目前,NAPT支持两种不同的地址转换模式:
· Endpoint-Independent Mapping(不关心对端地址和端口转换模式)
该模式下,NAT设备通过建立三元组(源地址、源端口号、协议类型)表项来进行地址分配和报文过滤。即,只要是来自相同源地址和源端口号的报文,不论其目的地址是否相同,通过NAPT映射后,其源地址和源端口号都被转换为同一个外部地址和端口号,并且NAT设备允许外部网络的主机通过该转换后的地址和端口来访问这些内部网络的主机。这种模式可以很好得支持位于不同NAT设备之后的主机间进行互访。
· Address and Port-Dependent Mapping(关心对端地址和端口转换模式)
该模式下,NAT设备通过建立五元组(源地址、源端口号、协议类型、目的地址、目的端口号)表项为依据进行地址分配和报文过滤。即,对于来自相同源地址和源端口号的报文,若其目的地址和目的端口号不同,通过NAPT映射后,相同的源地址和源端口号将被转换为不同的外部地址和端口号,并且NAT设备只允许这些目的地址对应的外部网络的主机才可以通过该转换后的地址和端口来访问这些内部网络的主机。这种模式安全性好,但是不便于位于不同NAT设备之后的主机间进行互访。
NAT隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际应用中,可能需要给外部网络提供一个访问内网主机的机会,如给外部网络提供一台Web服务器,或是一台FTP服务器。
NAT设备提供的内部服务器功能,就是通过静态配置“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,实现公网IP地址到私网IP地址的“反向”转换。例如,可以将20.1.1.1:8080配置为内网某Web服务器的外部网络地址和端口号供外部网络访问。
如图1-3所示,外部网络用户访问内部网络服务器的数据报文经过NAT设备时,NAT设备根据报文的目的地址查找地址转换表项,将访问内部服务器的请求报文的目的IP地址和端口号转换成内部服务器的私有IP地址和端口号。当内部服务器回应该报文时,NAT设备再根据已有的地址映射关系将回应报文的源IP地址和端口号转换成公网IP地址和端口号。
Easy IP功能是指进行地址转换时,直接使用接口的外网IP地址作为转换后的源地址,能够最大程度的节省IP地址资源。它也可以利用访问控制列表控制哪些内部地址可以进行地址转换。
NAT不仅实现了一般的地址转换功能,同时提供了完善的地址转换ALG (Application Layer Gateway,应用级网关)机制,使其可以支持一些特殊的应用协议,而不需要对NAT平台进行任何的修改,具有良好的可扩充性。这些特殊协议的报文载荷里携带了地址或端口信息,该信息也可能需要进行地址转换。
可支持的特殊协议包括:FTP(File Transfer Protocol,文件传输协议)、PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)、ICMP(Internet Control Message Protocol,互联网控制消息协议)、DNS(Domain Name System,域名系统)、ILS(Internet Locator Service,Internet定位服务)、RTSP(Real Time Streaming Protocol,实时流协议)、NetMeeting 3.01、NBT(NetBIOS over TCP/IP,基于TCP/IP的网络基本输入输出系统)等。
表1-1 NAT配置任务简介
配置任务 |
说明 |
详细配置 |
|
配置地址转换 |
配置静态地址转换 |
二者必选其一 |
|
配置动态地址转换 |
|||
配置内部服务器 |
必选 |
||
配置地址转换有效时间 |
可选 |
||
配置NAT ALG功能 |
可选 |
||
配置NAT日志 |
可选 |
||
使能链路down时NAT表项老化功能 |
可选 |
接口下的NAT相关配置(地址转换或内部服务器配置)改变时,为保证连接的稳定性,建议用户在完成所有NAT相关的配置之后,保存配置并重启设备(或通过命令reset nat session手工清除与NAT相关的表项),以避免可能会产生的问题。这些问题主要包括:NAT相关的配置删除后,已建立的连接仍然可以进行地址转换处理;在连接过程中进行NAT配置,会因为配置顺序的不一致,导致相同的配置产生不同的处理结果。
通过NAT设备上静态建立或动态生成的地址映射关系,实现内部网络与外部网络IP地址的转换。通常,我们按照地址映射关系的产生方式将地址转换分为动态地址转换和静态地址转换两类:
· 静态地址转换
外部网络和内部网络之间的地址映射关系在配置中确定。适用于内部网络与外部网络之间的少量固定访问需求。
· 动态地址转换
外部网络和内部网络之间的地址映射关系由报文动态决定。通过配置访问控制列表和地址池(或接口地址)的关联,由“具有某些特征的IP报文”挑选使用“地址池中地址(或接口地址)”,从而建立动态地址映射关系。适用于内部网络有大量用户需要访问外部网络的需求。这种情况下,关联中指定的地址池资源由内网报文按需从中选择使用,访问外网的会话结束之后该资源便释放给其它用户。
配置静态地址转换时,需要首先在系统视图下配置静态地址转换映射,然后在接口下使该转换生效。
静态地址转换可以实现一个内部私有网络地址到一个外部公有网络地址的转换。目前,设备只支持一对一静态转换映射。
表1-2 配置一对一静态地址转换
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置一对一静态地址转换映射 |
nat static [ acl-number ] local-ip global-ip |
必选 |
进入接口视图 |
interface interface-type interface-number |
- |
使配置的NAT静态转换在接口上生效 |
nat outbound static |
必选 |
通过在接口上配置访问控制列表和地址池(或接口地址)的关联即可实现动态地址转换。
· 若直接使用接口的IP地址作为转换后的地址,则配置Easy IP功能来实现动态地址转换。
· 若选择使用地址池中的地址作为转换后的地址,则根据地址转换过程中是否使用端口信息可将动态地址转换分为NO-PAT和NAPT两种方式:NO-PAT为不使用TCP/UDP端口信息实现的多对多地址转换;NAPT为使用TCP/UDP端口信息实现的多对一地址转换。
· 若配置出接口地址关联,那么从出接口发送的首个数据包会首先由访问控制列表(或报文源地址)进行判定是否允许进行地址转换,然后根据关联找到与之对应的地址池(或接口地址)进行源地址转换,并建立地址转换表项,后续数据包直接根据地址转换表项进行转换。
· 配置控制地址转换范围的访问控制列表。
· 确定是否直接使用接口的IP地址作为转换后的报文源地址。
· 配置根据实际网络情况,合理规划可用于地址转换的公网IP地址池。
· 确定地址转换过程中是否使用端口信息。
访问控制列表的配置请参见“ACL和QoS配置指导”中的“ACL”。
动态地址转换的过程中,NAT设备将会从配置的地址池中挑选一个IP地址做为转换后的报文源地址。目前,设备只支持配置包含一段连续地址的地址池。
表1-3 定义地址池
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
定义一个地址池 |
nat address-group group-number start-address end-address |
必选 |
不同地址池中定义的IP地址段之间不允许重叠。
通过配置Easy IP功能,实现直接使用接口的IP地址作为转换后的报文源地址。
表1-4 配置Easy IP
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置访问控制列表和接口地址关联,实现Easy IP功能 |
nat outbound [ acl-number ] |
必选 |
通过配置访问控制列表和地址池(或接口地址)的关联,将与访问控制列表匹配的报文的源地址映射为地址池中的地址(或接口地址),且不使用端口信息。
表1-5 配置NO-PAT
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
在出接口配置访问控制列表和地址池关联,且不使用端口信息,实现NO-PAT |
nat outbound [ acl-number ] [ address-group group-number [ no-pat ] ] |
必选 |
通过配置访问控制列表和地址池(或接口地址)的关联,将与访问控制列表匹配的报文的源地址映射为地址池中的地址(或接口地址),且使用端口信息。
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
在出接口配置访问控制列表和地址池关联,并且同时使用IP地址和端口信息,实现NAPT |
nat outbound [ acl-number ] [ address-group group-number ] |
必选 |
通过配置内部服务器,可以将相应的外部地址和端口映射到内部服务器的私有地址和端口上,从而使外部网络用户能够访问内部服务器。内部服务器与外部网络的映射表是通过在接口上配置nat server命令生成的。
配置内部服务器时需要配置的信息包括:外部网络的信息(外部网络地址global-address、外部网络端口global-port)、内部网络的信息(内部网络地址local-address、内部网络端口local-port)以及服务协议类型。
配置普通的内部服务器是将内网服务器的地址和端口(local-address、local-port)映射为外网地址和端口(global-address、global-port),允许外部网络中的主机访问位于内网的服务器。
表1-7 配置普通内部服务器(配置方式一)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置普通内部服务器 |
nat server protocol pro-type global global-address [ global-port ] inside local-address [ local-port ] |
二者必选其一 |
nat server protocol pro-type global global-address global-port1 global-port2 inside local-address1 local-address2 local-port |
表1-8 配置普通内部服务器(配置方式二)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置普通内部服务器 |
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } [ global-port ] inside local-address [ local-port ] |
二者必选其一 |
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } global-port1 global-port2 inside local-address1 local-address2 local-port |
表1-9 配置普通内部服务器(配置方式三)
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入接口视图 |
interface interface-type interface-number |
- |
配置普通内部服务器 |
nat server protocol pro-type global { global-address | current-interface | interface interface-type interface-number } [ global-port ] inside local-address [ local-port ] |
二者必选其一 |
nat server protocol pro-type global { global-address current-interface | interface interface-type interface-number } global-port1 global-port2 inside local-address1 local-address2 local-port |
· 目前设备支持引用接口地址作为内部服务器的外网地址,即可配置Easy IP方式的内部服务器。可以指定的接口只能是Loopback接口,且该Loopback接口必须是已存在的。
· 配置Easy IP方式的内部服务器时,如果指定的接口未配置地址,则对应的内部服务器的配置不生效。
该配置用于设置各协议地址转换表项的有效时间。
表1-10 配置地址转换有效时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置地址转换表项的有效时间 |
nat aging-time { dns | ftp-ctrl | ftp-data | icmp | no-pat | pptp | tcp | tcp-fin | tcp-syn | udp } seconds |
可选 缺省情况下,各协议的地址转换有效时间如下: · DNS协议地址转换表项的有效时间为10秒; · FTP协议控制链路(ftp-ctrl)地址转换表项的有效时间为300秒; · FTP协议数据链路(ftp-data)地址转换表项的有效时间为300秒; · ICMP地址转换表项的有效时间为10秒; · NO-PAT转换方式下的私网地址和公网地址转换表项的有效时间为240秒; · PPTP协议地址转换表项的有效时间为300秒; · TCP地址转换表项的有效时间为300秒; · TCP协议fin、rst连接地址转换表项的有效时间为10秒; · TCP协议syn连接地址转换表项的有效时间为10秒; · UDP地址转换表项的有效时间为240秒 |
该配置用于设置地址转换的应用级网关功能,可支持多种协议。
表1-11 配置NAT ALG功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能地址转换应用网关功能 |
nat alg { all | dns | ftp | ils | nbt | pptp } |
可选 缺省情况下,地址转换应用网关功能处于使能状态 |
NAT日志是NAT设备在进行NAT转换时生成的一种系统信息。该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的源IP地址、转换后的源端口以及用户执行的操作等。它只用于记录内网用户访问外部网络的情况,不记录外部用户对内网服务器的访问。
内网用户通过NAT设备访问外部网络时,多个用户共用一个外网地址,从而无法定位访问网络的用户。利用日志功能可以实时跟踪、记录内网用户访问外部网络的情况,增强网络的安全性。
表1-12 开启NAT日志功能
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
使能NAT日志功能 |
nat log enable [ acl acl-number ] |
必选 缺省情况下,NAT日志功能处于关闭状态 |
|
设置在创建NAT连接时生成NAT日志 |
nat log flow-begin |
二者至少选其一 |
缺省情况下,创建NAT连接时不生成NAT日志 |
使能NAT活跃流的日志功能,并设置生成活跃流日志的时间间隔 |
nat log flow-active minutes |
缺省情况下,NAT活跃流的日志功能处于关闭状态 |
NAT日志信息有两种输出方式:
· 输出至信息中心
NAT日志将被转化成系统日志输出到本设备的信息中心,再通过设置信息中心的输出方向,最终决定NAT日志的输出方向。一次最多可以输出10条NAT日志到信息中心。
· 输出至日志服务器
系统将NAT日志封装成UDP报文发送给网络中的日志服务器,如图1-4所示。输出的NAT日志报文可以有多种版本,不同的版本使用的UDP报文格式不同,目前使用的NAT日志报文格式为版本1。UDP报文中可以包含多条NAT日志记录的原始信息,它由一个报文头和若干条NAT日志记录组成。
NAT日志的两种输出方式互斥,同一时刻只能选择一种输出方式。如果同时配置了两种输出方式,则系统会自动选择输出到信息中心,而不会发送到日志服务器。
图1-4 NAT日志信息输出至日志服务器示意图
表1-13 配置NAT日志输出至信息中心
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置NAT日志输出至信息中心 |
userlog nat syslog |
必选 缺省情况下,NAT日志输出至NAT日志服务器 |
· NAT日志输出到信息中心会占用设备的存储空间,所以,建议在日志量较小的情况下,使用该输出方向。
· NAT日志输出至信息中心时,NAT日志信息的优先级为informational,即作为设备的一般提示信息。
· 有关信息优先级及信息中心的详细介绍请参见“网络管理与监控配置指导”中的“信息中心”。
以UDP报文方式将NAT日志发送给NAT日志服务器时,可以配置三项参数:
· NAT日志服务器的IP地址和UDP端口号。如果不配置输出到信息中心方向,也不指定日志服务器的地址,NAT日志就会无法正常输出。
· NAT日志报文的源IP地址。在日志服务器端,通过识别NAT日志的源IP地址,可以迅速定位日志信息的来源,建议使用Loopback接口地址作为日志报文的源IP地址。
· NAT日志报文版本号。输出的日志报文可以有多种版本,不同的版本使用的报文格式不同,目前设备支持版本1。
表1-14 配置NAT日志服务器
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
设置NAT日志服务器的IP地址和UDP端口号 |
userlog nat export host { ipv4-address | ipv6 ipv6-address } udp-port |
必选
|
设置承载NAT日志的UDP报文的源IP地址 |
userlog nat export source-ip ip-address |
可选 缺省情况下,承载NAT日志的UDP报文的源IP地址为发送该报文的接口的IP地址 |
设置NAT日志报文的版本号 |
userlog nat export version version-number |
可选 缺省情况下,NAT日志报文的版本号为1 |
· NAT日志服务器的IP地址必须是合法的IPv4或IPv6单播地址。
· 为避免与系统自定义的端口号冲突,建议用户使用1024以上的UDP端口作为日志服务器的UDP端口号。
在链路备份组网环境中,NAT设备的主接口和备份接口上均配置了地址转换,当主备链路发生切换时,若NAT设备已使能了NAT表项的老化功能,则可以立即将当前所有NAT表项的状态置为已老化,这样后续报文会使用切换后新接口上的NAT配置重新建立NAT表项,使得已有的NAT流量快速切换到新的链路上。
表1-15 使能链路down时NAT表项老化功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
使能接口链路down时NAT表项老化功能 |
nat link-down reset-session enable |
必选 缺省情况下,接口链路down时NAT表项老化功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示NAT配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行reset命令可以清除地址转换的统计信息。
表1-16 NAT显示和维护
操作 |
命令 |
显示NAT地址池的信息 |
display nat address-group [ group-number ] [ | { begin | exclude | include } regular-expression ] |
显示地址转换的有效时间 |
display nat aging-time [ | { begin | exclude | include } regular-expression ] |
显示所有的NAT配置信息 |
display nat all [ | { begin | exclude | include } regular-expression ] |
显示地址转换关联的配置信息 |
display nat bound [ | { begin | exclude | include } regular-expression ] |
显示内部服务器的信息 |
display nat server [ | { begin | exclude | include } regular-expression ] |
显示内部服务器组的信息 |
display nat server-group [ group-number ] [ | { begin | exclude | include } regular-expression ] |
显示静态配置的信息 |
display nat static [ | { begin | exclude | include } regular-expression ] |
显示当前NAT转换表项信息 |
display nat session [ source { global global-address | inside inside-address } ] [ destination dst-address ] [ | { begin | exclude | include } regular-expression ] |
显示NAT的统计信息 |
display nat statistics [ | { begin | exclude | include } regular-expression ] |
显示NAT日志的配置信息 |
display nat log [ | { begin | exclude | include } regular-expression ] |
查看输出到日志服务器的日志的配置和统计信息 |
display userlog export [ | { begin | exclude | include } regular-expression ] |
清除NAT日志缓存中的记录 |
reset userlog nat logbuffer |
清除NAT日志的统计信息 |
reset userlog nat export |
清除内存中地址转换的映射表,释放动态分配的用于存放映射表的内存 |
清除NAT日志缓存区中的记录会造成NAT日志信息的丢失,正常情况下,建议不要进行清除操作。
如图1-5所示,Device作为PPPoE Server,AP作为PPPoE Client接入网络,AP作为DHCP Server为无线客户端分配地址,无线客户端接入后可访问网络资源,要求:
· PPPoE Server用PAP方式认证PPPoE Client。
· PPPoE Client工作在永久在线模式。
· 配置NAT地址转换,允许客户端主动发起访问网络资源。
图1-5 NAT地址转换典型配置组网图
# 创建一个本地网络接入类用户user1。
<Device> system-view
[Device] local-user user1
# 配置接入密码为明文密码hello,可以使用PPP服务。
[Device-luser-network-user1] password simple hello
[Device-luser-network-user1] service-type ppp
[Device-luser-network-user1] quit
# 创建一个虚拟模板接口1。
[Device] interface virtual-template 1
# 配置本地认证对端的认证方式为PAP认证方式。
[Device-Virtual-Template1] ppp authentication-mode pap domain system
# 配置本端地址,并为对端分配固定地址。
[Device-Virtual-Template1] ip address 1.1.1.1 255.255.255.0
[Device-Virtual-Template1] remote address 1.1.1.2
[Device-Virtual-Template1] quit
# 启用PPPoE Server协议,并将该接口与虚拟模板接口1绑定。
[Device] interface gigabitethernet 1/0/2
[Device-GigabitEthernet1/0/2] pppoe-server bind virtual-template 1
[Device-GigabitEthernet1/0/2] quit
# 在系统缺省的ISP域system下,配置PPP用户使用本地认证方案。
[Device] domain system
[Device-isp-system] authentication ppp local
[Device-isp-system] quit
· 配置AP
(1) 配置AP的接口
# 删除Vlan-interface 1缺省IP地址。
<AP> system-view
[AP] interface vlan-interface 1
[AP-Vlan-interface1] undo ip address
[AP-Vlan-interface1] quit
# 创建VLAN 100及其对应的VLAN接口,并为该接口配置IP地址。客户端将使用该VLAN接入无线网络。
[AP] vlan 100
[AP-vlan100] quit
[AP] interface vlan-interface 100
[AP-Vlan-interface100] ip address 192.1.0.1 24
[AP-Vlan-interface100] quit
(2) 创建WLAN BSS接口并配置接口的PVID为VLAN100
[AP] interface wlan-bss 1
[AP-WLAN-BSS1] port access vlan 100
[AP-WLAN-BSS1] quit
(3) 配置无线服务模板
# 创建服务模板10,并进入无线服务模板视图。
[AP] wlan service-template 10 clear
# 配置SSID为service。
[AP-wlan-st-10] ssid service
# 开启无线服务模板。
[AP-wlan-st-10] service-template enable
[AP-wlan-st-10] quit
# 进入WLAN-Radio 1/0/2接口视图。
[AP] interface wlan-radio 1/0/2
# 将无线服务模板10绑定到WLAN-Radio 1/0/2接口。
[AP-WLAN-Radio1/0/2] service-template 10 interface wlan-bss 1
[AP-WLAN-Radio1/0/2] quit
(4) 配置DHCP Server
# 配置DHCP地址池100,用于为无线Client分配IP地址。
[AP] dhcp server ip-pool 100
[AP-dhcp-pool-100] network 192.1.0.0 mask 255.255.255.0
[AP-dhcp-pool-100] gateway-list 192.1.0.1
[AP-dhcp-pool-100] quit
# 开启DHCP功能。
[AP] dhcp enable
(5) 配置PPPoE Client
# 配置拨号访问组的拨号控制列表,允许IP协议报文通过。
[AP] dialer-rule 1 ip permit
# 配置Dialer1接口。
[AP] interface dialer 1
# 设置对端用户名。
[AP-Dialer1] dialer user user1
# 配置将Dialer1接口与拨号访问组1关联。
[AP-Dialer1] dialer-group 1
# 配置Dialer接口使用的Dialer bundle。
[AP-Dialer1] dialer bundle 1
# 配置Dialer1接口通过协商获取IP地址。
[AP-Dialer1] ip address ppp-negotiate
# 配置本地设备被对端以PAP方式认证时发送的用户名为user1,密码为hello。
[AP-Dialer1] ppp pap local-user user1 password simple hello
[AP-Dialer1] quit
# 配置一个PPPoE会话,该会话对应Dialer bundle 1(Dialer bundle 1对应Dialer1接口)。
[AP] interface vlan-interface 1
[AP-Vlan-interface1] pppoe-client dial-bundle-number 1
[AP-Vlan-interface1] quit
# 配置PPPoE Client工作在永久在线模式。
[AP] interface dialer 1
[AP-Dialer1] dialer timer idle 0
# 配置静态路由。
[AP] ip route-static 0.0.0.0 0 dialer 1
(6) 配置NAT
# 配置ACL 2000,仅允许无线客户端主动访问Internet。
[AP] acl number 2000
[AP-acl-basic-2000] rule 0 permit source 192.1.0.0 0.0.0.255
[AP-acl-basic-2000] quit
# 在接口Dialer 1上配置出方向动态地址转换,允许使用Dialer 1的IPv4地址1.1.1.2对匹配ACL 2000的报文进行源地址转换,并在转换过程中使用端口信息。
[AP] interface dialer 1
[AP-Dialer1] nat outbound 2000
[AP-Dialer1] quit
# 在AP上可以通过display pppoe-client session summary命令查看PPPoE会话。
[AP] display pppoe-client session summary
PPPoE Client Session:
ID Bundle Dialer Intf RemMAC LocMAC State
1 1 1 VLAN1 5cdd70a1d750 00a28099fb00 PPPUP
# 通过无线客户端ping PPPoE Server的IP地址1.1.1.1,在AP上显示当前的NAT转换表项信息。
[AP] display nat session
There are currently 1 NAT session:
Pro GlobalAddr:Port LocalAddr:Port DestAddr:Port
ICMP 1.1.1.2:12289 192.1.0.2:26 1.1.1.1:26
status: 1 TTL: 00:00:10 Left: 00:00:02
故障排除:通过打开NAT的调试信息开关,根据设备上的调试信息,初步定位错误,然后使用其它命令作进一步的判断。调试时,注意观察地址转换后的源地址,要保证这个地址是希望转换的地址,否则可能会是地址池配置错误。同时要保证目的网络到地址池中地址段的路由可达。
故障排除:如果外部主机不能正常访问内部服务器,请检查是否是内部服务器主机的配置有错或路由器上对内部服务器的配置有错,如对内部服务器的IP地址指定错误等等。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!