• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C VSR1000虚拟路由器典型配置举例-6W100

目录

05-H3C VSR1000虚拟路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例

本章节下载 05-H3C VSR1000虚拟路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例  (123.39 KB)

docurl=/cn/Service/Document_Software/Document_Center/Routers/Catalog/NFV/H3C_VSR/Configure/Typical_Configuration_Example/H3C_VSR1000_CE-6W100/201411/845092_30005_0.htm

05-H3C VSR1000虚拟路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例

H3C VSR1000虚拟路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

H3C_彩色.emf

 



1  简介

本文档介绍VSR1000虚拟路由器内网用户通过NAT地址访问地址重叠的外网典型配置举例。

2  配置前提

本文档不严格与具体软件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT特性。

3  配置举例

3.1  组网需求

图1所示,Router作为某公司内网访问外网的网关,内网网段与外网Web server所在网段地址重叠。该公司拥有202.38.1.2和202.38.1.3两个公网地址。现要求Host可以通过域名访问外网的Web server。

图1 内网用户通过NAT地址访问地址重叠的外网典型配置组网图

 

3.2  配置思路

·     由于外网DNS服务器回复给内网主机的Web服务器地址与内网主机地址重叠,因此NAT设备需要将Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可以通过入方向动态地址转换实现,地址转换需要通过DNS ALG功能实现。

·     由于内网主机的地址与外网Web服务器的真实地址重叠,因此也需要为内网主机动态分配一个的NAT地址,可以通过出方向动态地址转换实现。

·     外网Web服务器对应的NAT地址在NAT设备上没有路由,因此需要手工添加静态路由。

3.3  使用版本

本举例是在E0301版本上进行配置和验证的。

3.4  配置步骤

# 配置路由器各接口的IP地址。

<Router> system-view

[Router] interface gigabitethernet 1/0

[Router-GigabitEthernet1/0] ip address 192.168.1.1 24

[Router-GigabitEthernet1/0] quit

[Router] interface gigabitethernet 2/0

[Router-GigabitEthernet2/0] ip address 10.0.1.1 24

[Router-GigabitEthernet2/0] quit

# 开启DNS协议的ALG功能。

[Router] nat alg dns

# 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换。

[Router] acl number 2000

[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2000] quit

# 创建地址组1。

[Router] nat address-group 1

# 添加地址组成员202.38.1.2。

[Router-nat-address-group-1] address 202.38.1.2 202.38.1.2

[Router-nat-address-group-1] quit

# 创建地址组2。

[Router] nat address-group 2

# 添加地址组成员202.38.1.3。

[Router-nat-address-group-2] address 202.38.1.3 202.38.1.3

[Router-nat-address-group-2] quit

# 在接口GigabitEthernet2/0上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换。

[Router] interface gigabitethernet 2/0

[Router-GigabitEthernet2/0] nat inbound 2000 address-group 1 no-pat reversible

# 在接口GigabitEthernet1/2上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息。

[Router-GigabitEthernet2/0] nat outbound 2000 address-group 2

[Router-GigabitEthernet2/0] quit

# 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet2/0,下一跳地址为10.0.1.1。

[Router] ip route-static 202.38.1.2 32 gigabitethernet 2/0 10.0.1.1

3.5  验证配置

# 以上配置完成后,Host能够通过域名访问Web server。在路由器上通过display nat all命令显示NAT配置信息。

[Router] display nat all

NAT address group information:

  There are 2 NAT address groups.

  Address group 1:

    Address information:

      Start address         End address

      202.38.1.2            202.38.1.2

 

  Address group 2:

    Address information:

      Start address         End address

      202.38.1.3            202.38.1.3

 

NAT inbound information:

  There are 1 NAT inbound rules.

  Interface: GigabitEthernet2/0

    ACL: 2000         Address group: 1      Add route: N

    NO-PAT: Y         Reversible: Y

 

NAT outbound information:

  There are 1 NAT outbound rules.

  Interface: GigabitEthernet2/0

    ACL: 2000         Address group: 2      Port-preserved: N

    NO-PAT: N         Reversible: N

 

NAT logging:

  Log enable          : Disabled

  Flow-begin          : Disabled

  Flow-end            : Disabled

  Flow-active         : Disabled

  Port-block-assign   : Disabled

  Port-block-withdraw : Disabled

  Alarm               : Disabled

 

NAT mapping behavior:

  Mapping mode: Address and Port-Dependent

  ACL         : ---

 

NAT ALG:

  DNS        : Enabled

  FTP        : Enabled

  H323       : Enabled

  ICMP-ERROR : Enabled

  ILS        : Enabled

  MGCP       : Enabled

  NBT        : Enabled

  PPTP       : Enabled

  RSH        : Enabled

  RTSP       : Enabled

  SCCP       : Enabled

  SIP        : Enabled

  SQLNET     : Enabled

  TFTP       : Enabled

  XDMCP      : Enabled

# 通过display nat session verbose命令显示NAT会话的详细信息,可以看到Host访问Web server时生成NAT会话信息。

[Router] display nat session verbose

Initiator:

  Source      IP/port: 192.168.1.10/1694

  Destination IP/port: 202.38.1.2/8080

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

Responder:

  Source      IP/port: 192.168.1.10/8080

  Destination IP/port: 202.38.1.3/1025

  VPN instance/VLAN ID/VLL ID: -/-/-

  Protocol: TCP(6)

State: TCP_ESTABLISHED

Application: HTTP

Start time: 2013-08-15 14:53:29  TTL: 3597s

Interface(in) : GigabitEthernet1/0

Interface(out): GigabitEthernet2/0

Initiator->Responder:            7 packets        308 bytes

Responder->Initiator:            5 packets        312 bytes

 

Total sessions found: 1

3.6  配置文件

#

interface GigabitEthernet1/0

 port link-mode route

 ip address 192.168.1.1 255.255.255.0

#

interface GigabitEthernet2/0

 port link-mode route

 ip address 10.0.1.1 255.255.255.0

 nat inbound 2000 address-group 1 no-pat reversible

 nat outbound 2000 address-group 2

#

 ip route-static 202.38.1.2 32 GigabitEthernet2/0 10.0.1.1

#

acl number 2000

 rule 0 permit source 192.168.1.0 0.0.0.255

#

nat address-group 1

 address 202.38.1.2 202.38.1.2

#

nat address-group 2

 address 202.38.1.3 202.38.1.3

#

4  相关资料

·     《H3C VSR1000虚拟路由器配置指导》中的“三层技术-IP业务配置指导”

·     《H3C VSR1000虚拟路由器命令参考》中的“三层技术-IP业务命令参考”

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们