一、示例一
当通过NAT Server配置内网服务器对公网提供服务时,如果使用外网接口IP地址,配置时可能会出现如下报错。
[AR6210-GigabitEthernet0/0/1] ip address 124.204.78.18 24
[AR6210-GigabitEthernet0/0/1] nat server protocol 80 global 124.204.78.18 inside 10.1.1.1
Error: The address conflicts with interface or ARP IP.
此时,需要在配置nat server命令时将公网口IP地址改为current-interface,如下:
[AR6210-GigabitEthernet0/0/1] nat server protocol 80 global current-interface inside 10.1.1.1
二、示例二
#
acl number 3000
rule 5 permit ip source 2.2.2.0 0.0.0.255 //仅允许指定网段内的用户能够访问内网服务器
#
nat alg ftp enable //使能FTP协议的NAT ALG功能
#
interface Ethernet2/0/0
ip address 192.168.1.1 255.255.255.0
nat outbound 3000 //配置NAT Outbound功能,对外网用户访问内网的源IP地址进行转换,保证内网无需引入外网的路由
#
interface GigabitEthernet1/0/0
ip address 1.1.1.1 255.255.255.0
nat server protocol tcp global 1.1.1.3 ftp inside 192.168.1.2 ftp //在出接口上配置NAT Server,使外网用户能够访问内网服务器
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2 //配置静态路由,保证内网到外网报文的下一跳地址是1.1.1.2
#
return
三、示例三
公网用户通过NAT Server访问内部服务器
项目 | 数据 | 说明 | |
---|---|---|---|
10GE0/0/1 | IP地址:1.1.1.1/24 | 实际配置时需要按照ISP的要求进行配置。 | |
10GE0/0/2 | IP地址:10.2.0.1/24 | 内网服务器需要将10.2.0.1配置为默认网关。 | |
NAT Server | 名称:policy_web 公网地址:1.1.1.10 私网地址:10.2.0.7 公网端口:8080 私网端口:80 | 通过该映射,使用外网用户能够访问1.1.1.10,且端口号为8080的流量能够送给内网的Web服务器。 Web服务器的私网地址为10.2.0.7,私网端口号为80。 | |
名称:policy_ftp 公网地址:1.1.1.10 私网地址:10.2.0.8 公网端口:21 私网端口:21 | 通过该映射,使用外网用户能够访问1.1.1.10,且端口号为21的流量能够送给内网的FTP服务器。 FTP服务器的私网地址为10.2.0.8,私网端口号为21。 | ||
缺省路由 | 目的地址:0.0.0.0 下一跳:1.1.1.254 | 为了内网服务器对外提供的服务流量可以正常转发至ISP的路由器,可以在DeviceA上配置去往Internet的缺省路由。 |
配置思路
- 配置接口IP地址,完成网络基本参数配置,并在接口10GE0/0/1下开启NAT功能。
- 配置NAT Server,分别映射内网Web服务器和FTP服务器。
- 在DeviceA上配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
- 在Router上配置到NAT Server的公网地址的静态路由。
操作步骤
1、配置接口IP地址,完成网络基本参数配置,并在接口10GE0/0/1下开启NAT功能。
# 配置接口10GE0/0/1的IP地址,并开启NAT功能。
<HUAWEI> system-view
[HUAWEI] sysname DeviceA
[DeviceA] interface 10ge 0/0/1
[DeviceA-10GE0/0/1] undo portswitch
[DeviceA-10GE0/0/1] ip address 1.1.1.1 24
[DeviceA-10GE0/0/1] nat enable
[DeviceA-10GE0/0/1] quit
# 配置接口10GE0/0/2的IP地址。
[DeviceA] interface 10ge 0/0/2
[DeviceA-10GE0/0/2] undo portswitch
[DeviceA-10GE0/0/2] ip address 10.2.0.1 24
[DeviceA-10GE0/0/2] quit
2、配置NAT Server功能。
[DeviceA] nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www route
[DeviceA] nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp route
开启FTP协议的NAT ALG功能。
[DeviceA] firewall detect ftp
配置缺省路由,使内网服务器对外提供的服务流量可以正常转发至ISP的路由器。
[DeviceA] ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
- 在Router上配置到服务器映射的公网地址(1.1.1.10)的静态路由,下一跳为1.1.1.1,使得去服务器的流量能够送往DeviceA。
-
通常需要联系ISP的网络管理员来配置此静态路由。
检查配置结果
- 公网用户可以访问内网服务器。
- 当公网用户访问内网服务器时,查询目的地址为内网服务器的公网地址的表项,查看本次NAT转换的信息。存在该表项,且NAT转换后的IP地址为服务器私网地址,表示NAT策略配置成功。
<HUAWEI> display session all verbose
Session Table Information:
Protocol : 6(TCP)
SrcAddr Port Vpn : 1.2.1.3 2474
DestAddr Port Vpn : 1.1.1.10 8080
Time To Live : 60s
NAT Info
New SrcAddr : -
New SrcPort : -
New DestAddr : 10.2.0.7
New DestPort : 80
Total : 1
配置脚本
#
sysname DeviceA
#
nat server policy_web protocol tcp global 1.1.1.10 8080 inside 10.2.0.7 www route
nat server policy_ftp protocol tcp global 1.1.1.10 ftp inside 10.2.0.8 ftp route
#
interface 10GE0/0/1
ip address 1.1.1.1 255.255.255.0
nat enable
#
interface 10GE0/0/2
ip address 10.2.0.1 255.255.255.0
#
firewall detect ftp
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.254
#
return