本文介绍了如何配置内网用户通过Easy IP方式访问外网,详细阐述了路由器的NAT设置,包括联通Router和内网Router的配置步骤,以及限制特定内网IP访问外网的规则。通过配置示例,展示了Easy IP转换的实现和验证过程。
组网需求
企业内网用户需要访问外网时,可以通过配置NAT,将IP数据报文头中的内网IP地址转换为外网IP地址,实现内部网络访问外部网络的功能。当用户拥有的外网IP地址个数较少时,配置了NAT设备出接口的IP地址和其他应用之后,没有可用的空闲外网IP地址,此时可以选择Easy IP方式的动态NAT,实现内网主机访问外网的功能。Easy IP方式直接使用出接口的IP地址作为内网主机转换后的外网IP地址,无需额外的外网IP地址。
如图所示,Router的出接口GE0/0/0的IP地址为1.1.1.2/24(专线地址),接口GE0/0/1的IP地址为192.168.0.1/24。连接联通Router接口GE0/0/0的IP地址为1.1.1.1/24(专线网关)。通过在Router上配置Easy IP方式的动态NAT,可以实现内网主机访问外网功能,并且限制IP地址为192.168.0.3的用户访问外网。
如图配置出接口做 EASY IP 组网图
配置命令
1、联通Router的配置[模拟联通专线开通后的默认配置]
〈Huawei〉sys
//进入系统视图
[Huawei] sysname LIAN-TONG
//修改当前设备名称为“LIAN-TONG ”
[LIAN-TONG] interface GigabitEthernet0/0/0
//进入GigabitEthernet0/0/0端口视图
[LIAN-TONG-GigabitEthernet0/0/0] ip address 1.1.1.1 255.255.255.0
//配置外网网关接口地址为1.1.1.1 子网掩码255.255.255.0
2、内网Router的配置
〈Huawei〉 sys
//进入系统视图
[Huawei] sysname Router
//修改当前设备名称为“Router ”
[Router] acl number 2000
//创建并进入访问控制列表编号“2000”
[Router-acl-basic-2000] rule 5 deny source 192.168.0.3 0
//配置拒绝访问外网的地址192.168.0.3/24
[Router-acl-basic-2000] rule 6 permit source 192.168.0.0 0.0.0.255
//配置允许进行NAT转换的内网地址段192.168.0.0/24
[Router-acl-basic-2000] quit
//退出访问控制列表
[Router] interface Ethernet0/0/1
//进入Ethernet0/0/1端口视图
[Router-GigabitEthernet0/0/1] undo portswhich
//开启三层路由接口
[Router-GigabitEthernet0/0/1] ip address 192.168.0.1 255.255.255.0
//配置内网网关地址为192.168.0.1 子网掩码255.255.255.0
[Router-GigabitEthernet0/0/1] quit
//退出端口视图
[Router] interface GigabitEthernet0/0/0
//进入GigabitEthernet0/0/0端口视图
[Router-GigabitEthernet0/0/0] ip address 1.1.1.2 255.255.255.0
//配置外网接口地址为1.1.1.2 子网掩码255.255.255.0
[Router-GigabitEthernet0/0/0] nat outbound 2000
//在出接口GE0/0/0上做Easy IP 方式的NAT进行地址转换
[Router-GigabitEthernet0/0/0] quit
//退出端口视图
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
//配置默认路由,保证路由器外网接口到联通交换机的路由可达
3、内网用户1的电脑IP配置【正常上网用户】
4、内网用户2的电脑IP配置【被限制上网用户】
检查配置结果
1、在Router上执行display nat outbound命令查看出接口的Easy IP配置信息。
[Router]display nat outbound
NAT Outbound Information:
----------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
----------------------------------------------------------
GigabitEthernet0/0/0 2000 1.1.1.2 easyip
----------------------------------------------------------
Total : 1
【根据结果显示内网用户电脑IP地址192.168.0.0号段成功转换成了联通分配的外网IP地址1.1.1.2】
2、在内网用户1的电脑上ping 外网网关地址1.1.1.1,如下结果;
PC>ping 1.1.1.1
Ping 1.1.1.1: 32 data bytes, Press Ctrl_C to break
From 1.1.1.1: bytes=32 seq=1 ttl=254 time=16 ms
From 1.1.1.1: bytes=32 seq=2 ttl=254 time=31 ms
From 1.1.1.1: bytes=32 seq=3 ttl=254 time=15 ms
From 1.1.1.1: bytes=32 seq=4 ttl=254 time=15 ms
From 1.1.1.1: bytes=32 seq=5 ttl=254 time=15 ms
--- 1.1.1.1 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 15/18/31 ms
【根据结果显示内网用户1的电脑可以正常访问外网】
3、在内网用户2的电脑上ping 外网网关地址1.1.1.1,如下结果;
PC>ping 1.1.1.1
Ping 1.1.1.1: 32 data bytes, Press Ctrl_C to break
Request timeout!
Request timeout!
Request timeout!
Request timeout!
Request timeout!
--- 1.1.1.1 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss
【根据结果显示内网用户2的电脑无法访问外网】
配置注意事项
● 配置ACL,确定对哪些网段进行NAT转换。
● 在出接口视图下配置NAT转换,注意转换方向。
扫一扫
822
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
