js 文件不让通过地址访问_配置公网和私网用户通过公网口的IP地址访问内部服务器和Internet示例...

组网需求

如图1所示，某小型企业内网部署了一台路由器、一台FTP服务器和一台Web服务器。路由器作为接入网关，为下挂的内网用户提供上网服务，主要包括浏览网页、使用即时通信工具、观看视频、访问邮箱等。企业内网的FTP/Web服务器对内网和外网用户分别提供FTP服务和WWW服务。由于IP地址资源有限，该企业只有一个可用的公网IP地址1.1.1.1/24，部署在网关的上行接口。企业希望在路由器上配置NAT功能，使内网用户可以访问Internet，同时外网和内网用户都可以通过公网口的IP地址访问内部FTP/Web服务器。

图1 配置公网和私网用户通过公网口的IP地址访问内部FTP/Web服务器和Internet

数据准备

配置思路

1.      配置路由器的接口IP地址、缺省路由，实现内部网络和外部Internet之间三层互通。

2.      由于只有一个可用的公网IP地址，在路由器的上行接口配置Easy IP方式的NAT Outbound，实现内网用户访问Internet功能。

3.      在路由器的上行接口配置服务器映射NAT Static，实现外网用户访问内部FTP/Web服务器功能。

4.      在路由器上，开启FTP的NAT ALG功能。FTP协议是一个多通道协议，需要配置NAT ALG功能，否则报文无法穿越NAT，HTTP协议不需要配置NAT ALG功能。

5.      在路由器的下行接口配置服务器映射NAT Static和Easy IP方式的NAT Outbound，将内部服务器与内网PC之间的流量都引到路由器上进行转发，实现内网用户通过公网口的IP地址访问FTP/Web服务器功能。

操作步骤

1.      配置Router的接口IP地址、缺省路由，实现内部网络和外部Internet之间三层互通。

a.      配置上行接口和下行接口的IP地址。

b.  system-view

c.  [Huawei] sysname Router

d.  [Router] interface gigabitethernet 0/0/1 

e.  [Router-GigabitEthernet0/0/1] undo portswitch       //有些二层接口需要切换成三层接口后，才可以配置IP地址

f.  [Router-GigabitEthernet0/0/1] ip address 1.1.1.1 24 

g.  [Router-GigabitEthernet0/0/1] quit      

h.  [Router] interface gigabitethernet 0/0/2         //下行接口如果不是三层接口，这里可以使用VLANIF接口代替

i.  [Router-GigabitEthernet0/0/2] undo portswitch

j.  [Router-GigabitEthernet0/0/2] ip address 192.168.1.1 24 

[Router-GigabitEthernet0/0/2] quit

k.      配置缺省路由，下一跳为对端运营商接口的IP地址，保证内网用户上网的报文可以到达Internet。

[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

2.      在Router的上行接口配置Easy IP方式的NAT Outbound，使内网用户可以访问Internet。

3.  [Router] acl 3000

4.  [Router-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 //只允许192.168.1.0网段的用户访问Internet

5.  [Router-acl-adv-3000] quit

6.  [Router] interface gigabitethernet 0/0/1

7.  [Router-GigabitEthernet0/0/1] nat outbound 3000 

[Router-GigabitEthernet0/0/1] quit

8.      在Router的上行接口配置服务器映射NAT Static。由于只有一个可用的公网IP地址部署在上行接口，配置成current-interface，使用公网口的IP地址作为内部服务器映射后的IP地址，实现外网用户通过公网口的IP地址访问内部FTP/Web服务器功能。

9.  [Router] interface gigabitethernet 0/0/1

10. [Router-GigabitEthernet0/0/1] nat static protocol tcp global current-interface 21 inside 192.168.1.2 21  //current-interface表示使用当前接口的IP地址进行NAT转换

11. Warning: The port is well-known(1~1023) port. If you continue it may cause function failure.                                                                   

12. Are you sure to continue?[Y/N]: y

13. [Router-GigabitEthernet0/0/1] nat static protocol tcp global current-interface 9080 inside 192.168.1.3 80  //对于知名端口号，可以配置成80，也可以配置成它代表的应用www

[Router-GigabitEthernet0/0/1] quit

14.  在Router上开启FTP的NAT ALG功能。

[Router] nat alg ftp enable

15.  在Router的下行接口配置Easy IP方式的NAT Outbound，将内部服务器与内网PC之间的流量都引到路由器上进行转发。

16. [Router] acl 3001

17. [Router-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1.1.1.1 0   //只有内部主机使用公网IP地址访问服务器的流量，才会引到Router上进行NAT转换

18. [Router-acl-adv-3001] quit

19. [Router] interface gigabitethernet 0/0/2

20. [Router-GigabitEthernet0/0/2] nat outbound 3001 

[Router-GigabitEthernet0/0/2] quit

21.  在Router的下行接口配置服务器映射NAT Static。由于只有一个可用的公网IP地址部署在上行口GE0/0/1，只能指定该接口的IP地址作为内部服务器映射后的IP地址，实现内网用户通过公网口的IP地址访问内部FTP/Web服务器功能。

22. [Router] interface gigabitethernet 0/0/2

23. [Router-GigabitEthernet0/0/2] nat static protocol tcp global interface gigabitethernet 0/0/1 21 inside 192.168.1.2 21  //指明使用GE0/0/1接口的IP地址进行NAT转换

24. Warning: The port is well-known(1~1023) port. If you continue it may cause function failure.                                                                   

25. Are you sure to continue?[Y/N]: y

26. [Router-GigabitEthernet0/0/2] nat static protocol tcp global interface gigabitethernet 0/0/1 9080 inside 192.168.1.3 80 

27. [Router-GigabitEthernet0/0/2] quit

[Router] quit