cjh 华为AR路由器:配置公网和私网用户通过公网口的IP地址访问内部服务器和Internet示例
华为AR路由器:配置公网和私网用户通过公网口的IP地址访问内部服务器和Internet示例
组网需求
如图所示,某小型企业内网部署了一台路由器、一台FTP服务器和一台Web服务器。路由器作为接入网关,为下挂的内网用户提供上网服务,主要包括浏览网页、使用即时通信工具、观看视频、访问邮箱等。企业内网的FTP/Web服务器对内网和外网用户分别提供FTP服务和WWW服务。由于IP地址资源有限,该企业只有一个可用的公网IP地址1.1.1.1/24,部署在网关的上行接口。企业希望在路由器上配置NAT功能,使内网用户可以访问Internet,同时外网和内网用户都可以通过公网口的IP地址访问内部FTP/Web服务器。
配置公网和私网用户通过公网口的IP地址访问内部FTP/Web服务器和Internet
数据准备
项目 | 数据 | 说明 |
|---|---|---|
路由器上行接口IP地址 | GE0/0/1:1.1.1.1/24(公网口) | 使用三层接口GE0/0/1连接Internet。 |
路由器下行接口IP地址 | GE0/0/2:192.168.1.1/24 | 使用三层接口GE0/0/2连接企业内网用户。如果有多个内网用户需要上网,可以在路由器上下挂一个二层交换机来扩展用户个数。 |
对端运营商接口的IP地址 | 1.1.1.2/24 | 对端运营商接口的IP地址用于配置路由信息,否则内网用户上网的报文无法转发到Internet。 |
FTP服务器的内网IP地址和端口号 Web服务器的内网IP地址和端口号 | 192.168.1.2/24:21 192.168.1.3/24:80 | 企业内网分配给FTP/Web服务器的内网IP地址和端口号。本例中,虽然内网用户和FTP/Web服务器都在内网,但是为了防止内部服务器受内网用户的攻击,要求内网用户也通过公网口的IP地址来访问FTP/Web服务器。 |
FTP服务器映射后的公网IP地址和端口号 Web服务器映射后的公网IP地址和端口号 | 1.1.1.1/24:21 1.1.1.1/24:9080 | 由于该企业只有一个可用的公网IP地址,部署在路由器上行接口。因此,只能使用该接口的IP地址作为FTP/Web服务器映射后的公网IP地址。同时,需要规划不同的公网端口号21和9080来区分FTP/Web服务器。 |
内网用户HostA的IP地址 | 192.168.1.10/24 | 企业内部分配给用户的内网IP地址,用于验证内网用户访问Internet、FTP和Web服务器是否正常。 |
外网用户HostC的IP地址 | 2.2.2.2/24 | 外部用户的公网IP地址,用于验证外网用户访问内网的FTP/Web服务器是否正常。 |
配置思路
配置路由器的接口IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。
由于只有一个可用的公网IP地址,在路由器的上行接口配置Easy IP方式的NAT Outbound,实现内网用户访问Internet功能。
在路由器的上行接口配置服务器映射NAT Static,实现外网用户访问内部FTP/Web服务器功能。
在路由器上,开启FTP的NAT ALG功能。FTP协议是一个多通道协议,需要配置NAT ALG功能,否则报文无法穿越NAT,HTTP协议不需要配置NAT ALG功能。
在路由器的下行接口配置服务器映射NAT Static和Easy IP方式的NAT Outbound,将内部服务器与内网PC之间的流量都引到路由器上进行转发,实现内网用户通过公网口的IP地址访问FTP/Web服务器功能。
操作步骤
配置Router的接口IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。
配置上行接口和下行接口的IP地址。
<Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] undo portswitch //有些二层接口需要切换成三层接口后,才可以配置IP地址
[Router-GigabitEthernet0/0/1] ip address 1.1.1.1 24
[Router-GigabitEthernet0/0/1] quit
[Router] interface gigabitethernet 0/0/2 //下行接口如果不是三层接口,这里可以使用VLANIF接口代替
[Router-GigabitEthernet0/0/2] undo portswitch
[Router-GigabitEthernet0/0/2] ip address 192.168.1.1 24
[Router-GigabitEthernet0/0/2] quit
配置缺省路由,下一跳为对端运营商接口的IP地址,保证内网用户上网的报文可以到达Internet。
[Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
在Router的上行接口配置Easy IP方式的NAT Outbound,使内网用户可以访问Internet。
[Router] acl 3000
[Router-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 //只允许192.168.1.0网段的用户访问Internet
[Router-acl-adv-3000] quit
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] nat outbound 3000
[Router-GigabitEthernet0/0/1] quit
在Router的上行接口配置服务器映射NAT Static。由于只有一个可用的公网IP地址部署在上行接口,配置成current-interface,使用公网口的IP地址作为内部服务器映射后的IP地址,实现外网用户通过公网口的IP地址访问内部FTP/Web服务器功能。
[Router] interface gigabitethernet 0/0/1
[Router-GigabitEthernet0/0/1] nat static protocol tcp global current-interface 21 inside 192.168.1.2 21 //current-interface表示使用当前接口的IP地址进行NAT转换
Warning: The port is well-known(1~1023) port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]: y
[Router-GigabitEthernet0/0/1] nat static protocol tcp global current-interface 9080 inside 192.168.1.3 80 //对于知名端口号,可以配置成80,也可以配置成它代表的应用www
[Router-GigabitEthernet0/0/1] quit
在Router上开启FTP的NAT ALG功能。
[Router] nat alg ftp enable
在Router的下行接口配置Easy IP方式的NAT Outbound,将内部服务器与内网PC之间的流量都引到路由器上进行转发。
[Router] acl 3001
[Router-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1.1.1.1 0 //只有内部主机使用公网IP地址访问服务器的流量,才会引到Router上进行NAT转换
[Router-acl-adv-3001] quit
[Router] interface gigabitethernet 0/0/2
[Router-GigabitEthernet0/0/2] nat outbound 3001
[Router-GigabitEthernet0/0/2] quit
在Router的下行接口配置服务器映射NAT Static。由于只有一个可用的公网IP地址部署在上行口GE0/0/1,只能指定该接口的IP地址作为内部服务器映射后的IP地址,实现内网用户通过公网口的IP地址访问内部FTP/Web服务器功能。
[Router] interface gigabitethernet 0/0/2
[Router-GigabitEthernet0/0/2] nat static protocol tcp global interface gigabitethernet 0/0/1 21 inside 192.168.1.2 21 //指明使用GE0/0/1接口的IP地址进行NAT转换
Warning: The port is well-known(1~1023) port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]: y
[Router-GigabitEthernet0/0/2] nat static protocol tcp global interface gigabitethernet 0/0/1 9080 inside 192.168.1.3 80
[Router-GigabitEthernet0/0/2] quit
[Router] quit
验证
在Router上执行命令display nat outbound,查看动态NAT地址池配置。
<Router> display nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/1 3000 1.1.1.1 easyip
GigabitEthernet0/0/2 3001 192.168.1.1 easyip
--------------------------------------------------------------------------
Total : 2
在Router上执行命令display nat static,查看静态NAT地址映射关系。
<Router> display nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : current-interface/21(ftp) (Real IP : 1.1.1.1)
Inside IP/Port : 192.168.1.2/21(ftp)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Vrrp id : ----
Netmask : 255.255.255.255
Description : ----
Global IP/Port : current-interface/9080 (Real IP : 1.1.1.1)
Inside IP/Port : 192.168.1.3/80(www)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Vrrp id : ----
Netmask : 255.255.255.255
Description : ----
Interface : GigabitEthernet0/0/2
Global IP/Port : gigabitethernet0/0/1/21(ftp) (Real IP : 1.1.1.1)
Inside IP/Port : 192.168.1.2/21(ftp)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Vrrp id : ----
Netmask : 255.255.255.255
Description : ----
Global IP/Port : gigabitethernet0/0/1/9080 (Real IP : 1.1.1.1)
Inside IP/Port : 192.168.1.3/80(www)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Vrrp id : ----
Netmask : 255.255.255.255
Description : ----
Total : 4
在内网主机HostA上执行命令ping 1.1.1.2,模拟内网主机访问Internet,流量能Ping通,同时在Router上执行命令display nat session all可以查看到地址转换结果。
在内网主机HostA上执行命令ftp 1.1.1.1 21,模拟内网主机访问内部FTP服务器,FTP能正常访问,同时在Router上执行命令display nat session all可以查看到地址转换结果。
在外网主机HostC上执行命令ftp 1.1.1.1 21,模拟外网主机访问内部FTP服务器,FTP能正常访问,同时在Router上执行命令display nat session all可以查看到地址转换结果。
配置文件
Router配置文件
#
sysname Router
#
acl number 3000
rule 5 permit ip source 192.168.1.0 0.0.0.255
acl number 3001
rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1.1.1.1 0
#
nat alg ftp enable
#
interface GigabitEthernet0/0/1
undo portswitch
ip address 1.1.1.1 255.255.255.0
nat static protocol tcp global current-interface ftp inside 192.168.1.2 ftp netmask 255.255.255.255
nat static protocol tcp global current-interface 9080 inside 192.168.1.3 www netmask 255.255.255.255
nat outbound 3000
#
interface GigabitEthernet0/0/2
undo portswitch
ip address 192.168.1.1 255.255.255.0
nat static protocol tcp global interface GigabitEthernet 0/0/1 ftp inside 192.168.1.2 ftp netmask 255.255.255.255
nat static protocol tcp global interface GigabitEthernet 0/0/1 9080 inside 192.168.1.3 www netmask 255.255.255.255
nat outbound 3001
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
return
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为AR路由器:配置公网和私网用户通过公网口的IP地址访问内部服务器和Internet示例
作者: cjh
| 手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm