H3C路由器NAT典型配置案例課件

學海無

涯H3C

路由器NAT

典型配置案列（史上最詳細）神馬

CCIE，H3CIE,HCIE

等網(wǎng)絡工程師日常實施運維必備，你懂的。NAT

典型配置舉例內網(wǎng)用戶通過NAT

地址訪問外網(wǎng)（靜態(tài)地址轉換）組網(wǎng)需求內部網(wǎng)絡用戶

/24

使用外網(wǎng)地址

00

訪問

Internet。組網(wǎng)圖圖

1-5靜態(tài)地址轉換典型配置組網(wǎng)圖配置步驟#

按照組網(wǎng)圖配置各接口的

IP

地址，具體配置過程略。#

配置內網(wǎng)

IP

地址

到外網(wǎng)地址

00

之間的一對一靜態(tài)地址轉換映射。<Router>system-view[Router]natstaticoutbound

00#

使配置的靜態(tài)地址轉換在接口

GigabitEthernet1/2

上生效。[Router]interfacegigabitethernet1/2[Router-GigabitEthernet1/2]natstaticenable[Router-GigabitEthernet1/2]

quit驗證配置#

以上配置完成后，內網(wǎng)主機可以訪問外網(wǎng)服務器。通過查看如下顯示信息，可以驗證以上配置成功。[Router]displaynatstaticStaticNAT

mappings:Thereare1outboundstaticNATmappings.IP-to-IP:LocalIP:GlobalIP:

00Interfacesenabledwithstatic

NAT:Thereare1interfacesenabledwithstatic

NAT.Interface:

GigabitEthernet1/2#

通過以下顯示命令，可以看到

Host

訪問某外網(wǎng)服務器時生成

NAT

會話信息。[Router]displaynatsessionverboseInitiator:Source IP/port:/42496DestinationIP/port:11/2048VPNinstance/VLANID/VLLID:-/-/-1學海無涯H3C路由器NAT典型配置案列（史上最詳學海無

涯Protocol:

ICMP(1)Responder:Source IP/port:11/42496DestinationIP/port:00/0VPNinstance/VLANID/VLLID:-/-/-Protocol:

ICMP(1)State:ICMP_REPLYApplication:

INVALIDStarttime:2012-08-1609:30:49TTL:

27sInterface(in):GigabitEthernet1/1Interface(out):

GigabitEthernet1/2Initiator->Responder:Responder->Initiator:5

packets5

packets420

bytes420

bytesTotalsessionsfound:

11.11.2內網(wǎng)用戶通過NAT

地址訪問外網(wǎng)（地址不重疊）1.

組網(wǎng)需求某公司內網(wǎng)使用的

IP

地址為

/16。該公司擁有

和

兩個外網(wǎng)

IP

地址。需要實現(xiàn)，內部網(wǎng)絡中

/24

網(wǎng)段的用戶可以訪問

Internet，其它網(wǎng)段的用戶不能訪問

Internet。使用的外網(wǎng)地址為

和

。2.

組網(wǎng)圖圖

1-6內網(wǎng)用戶通過NAT

訪問外網(wǎng)（地址不重疊）3.

配置步驟#

按照組網(wǎng)圖配置各接口的

IP

地址，具體配置過程略。#

配置地址組

0，包含兩個外網(wǎng)地址

和

。<Router>system-view[Router]nataddress-group

0[Router-nat-address-group-0]address[Router-nat-address-group-0]quit#

配置

ACL

2000，僅允許對內部網(wǎng)絡中

/24

網(wǎng)段的用戶報文進行地址轉換。[Router]aclnumber

2000[Router-acl-basic-2000]rulepermitsource

552學海無涯Protocol:ICMP(1)Res3學海無

涯[Router-acl-basic-2000]

quit#

在接口

GigabitEthernet1/2

上配置出方向動態(tài)地址轉換，允許使用地址組

0

中的地址對匹配

ACL

2000

的報文進行源地址轉換，并在轉換過程中使用端口信息。[Router]interfacegigabitethernet

1/2[Router-GigabitEthernet1/2]natoutbound2000address-group0[Router-GigabitEthernet1/2]

quit4.

驗證配置以上配置完成后，Host

A

能夠訪問

WWW

server，Host

B

和

Host

C

無法訪問

WWW

server。通過查看如下顯示信息，可以驗證以上配置成功。[Router]displaynatallNATaddressgroup

information:Thereare1NATaddress

groups.Group

Number Start

Address End

Address0

NAToutbound

information:Thereare1NAToutboundrules.Interface:

GigabitEthernet1/2Port-preserved:

NACL:2000NO-PAT:

NAddressgroup:

0Reversible:

NNATlogging:Logenable:DisabledFlow-begin:

DisabledFlow-end:

DisabledFlow-active:

DisabledNATmapping

behavior:Mappingmode:AddressandPort-DependentACL :---NAT

ALG:DNS:EnabledFTP:EnabledH323:

EnabledICMP-ERROR:

Enabled#

通過以下顯示命令，可以看到

Host

A

訪問

WWW

server

時生成

NAT

會話信息。[Router]displaynatsessionverboseInitiator:Source IP/port:0/52992DestinationIP/port:0/2048VPNinstance/VLANID/VLLID:-/-/-Protocol:

ICMP(1)Responder:3學海無涯Port-preserved:NAC學海無

涯Source IP/port:0/4DestinationIP/port:/0VPNinstance/VLANID/VLLID:-/-/-Protocol:

ICMP(1)State:ICMP_REPLYApplication:

INVALIDStarttime:2012-08-1514:53:29TTL:

12sInterface(in):GigabitEthernet1/1Interface(out):

GigabitEthernet1/2Initiator->Responder:1

packets84

bytesResponder->Initiator:1

packets84

bytesTotalsessionsfound:

11.11.3內網(wǎng)用戶通過NAT

地址訪問外網(wǎng)（地址重疊）1.

組網(wǎng)需求某公司內網(wǎng)網(wǎng)段地址為

/24，該網(wǎng)段與要訪問的外網(wǎng)

Web

服務器所在網(wǎng)段地址重疊。該公司擁有

和

兩個外網(wǎng)

IP

地址。需要實現(xiàn)，內網(wǎng)用戶可以通過域名訪問外網(wǎng)的

Web

服務器。2.

組網(wǎng)圖圖

1-7內網(wǎng)用戶通過NAT

訪問外網(wǎng)（地址重疊）3.

配置思路這是一個典型的雙向NAT

應用，具體配置思路如下。內網(wǎng)主機通過域名訪問外網(wǎng)

Web

服務器時，首先需要向外網(wǎng)的

DNS

服務器發(fā)起

DNS

查詢請求。由于外網(wǎng)

DNS

服務器回復給內網(wǎng)主機的DNS

應答報文載荷中的攜帶的

Web服務器地址與內網(wǎng)主機地址重疊，因此

NAT設備需要將載荷中的

Web服務器地址轉換為動態(tài)分配的一個

NAT

地址。動態(tài)地址分配可以通過入方向動態(tài)地址轉換實現(xiàn)，載荷中的地址轉換需要通過

DNS

ALG

功能實現(xiàn)。內網(wǎng)主機得到外網(wǎng)

Web

服務器的

IP

地址之后（該地址為臨時分配的

NAT

地址），通過該地址訪問外網(wǎng)Web

服務器。由于內網(wǎng)主機的地址與外網(wǎng)

Web

服務器的真實地址重疊，因此也需要為其動態(tài)分配一個的NAT

地址，可以通過出方向動態(tài)地址轉換實現(xiàn)。外網(wǎng)

Web

服務器對應的NAT

地址在NAT

設備上沒有路由，因此需要手工添加靜態(tài)路由，使得目的地址為外網(wǎng)服務器

NAT

地址的報文出接口為

GigabitEthernet1/2。4學海無涯Initiator->Responder:15學海無

涯配置步驟#

按照組網(wǎng)圖配置各接口的

IP

地址，具體配置過程略。#

開啟

DNS

的

NAT

ALG

功能。<Router>system-view[Router]natalg

dns#

配置

ACL

2000，僅允許對

/24

網(wǎng)段的用戶報文進行地址轉換。[Router]aclnumber

2000[Router-acl-basic-2000]rulepermitsource55[Router-acl-basic-2000]

quit#

創(chuàng)建地址組

1。[Router]nataddress-group

1#

添加地址組成員

。[Router-nat-address-group-1]address[Router-nat-address-group-1]quit#

創(chuàng)建地址組

2。[Router]nataddress-group

2#

添加地址組成員

。[Router-nat-address-group-2]address[Router-nat-address-group-2]quit#

在接口GigabitEthernet1/2

上配置入方向動態(tài)地址轉換，允許使用地址組

1

中的地址對

DNS應答報文載荷中的外網(wǎng)地址進行轉換，并在轉換過程中不使用端口信息，以及允許反向地址轉換。[Router]interfacegigabitethernet

1/2[Router-GigabitEthernet1/2]natinbound2000address-group1no-pat

reversible#

在接口

GigabitEthernet1/2

上配置出方向動態(tài)地址轉換，允許使用地址組

2

中的地址對內網(wǎng)訪問外網(wǎng)的報文進行源地址轉換，并在轉換過程中使用端口信息。[Router-GigabitEthernet1/2]natoutbound2000address-group2[Router-GigabitEthernet1/2]

quit#

配置靜態(tài)路由，目的地址為外網(wǎng)服務器

NAT

地址

，出接口為

GigabitEthernet1/2，下一跳地址為

（

為本例中的直連下一跳地址，實際使用中請以具體組網(wǎng)情況為準）。[Router]iproute-static32gigabitethernet1/2

驗證配置以上配置完成后，Host

A

能夠通過域名訪問Web

server。通過查看如下顯示信息，可以驗證以上配置成功。[Router]displaynatallNATaddressgroup

information:Thereare2NATaddress

groups.Group

Number Start

Address EndAddress1202.38.1.2202.38.1.22202.38.1.3202.38.1.3NATinbound

information:Thereare1NATinbound

rules.5學海無涯1202.38.16學海無

涯Interface:

GigabitEthernet1/2Addroute:

NACL:2000NO-PAT:

YAddressgroup:

1Reversible:

YNAToutboundinformation:Thereare1NAToutboundrules.Interface:

GigabitEthernet1/2Port-preserved:

NACL:2000NO-PAT:

NAddressgroup:

2Reversible:

NNATlogging:Logenable:

DisabledFlow-begin:DisabledFlow-end:

DisabledFlow-active:

DisabledNATmapping

behavior:Mappingmode:AddressandPort-DependentACL :---NAT

ALG:DNS:EnabledFTP:EnabledH323:

EnabledICMP-ERROR:

Enabled#

通過以下顯示命令，可以看到

Host

A

訪問

WWW

server

時生成

NAT

會話信息。[Router]displaynatsessionverboseInitiator:Source IP/port:0/1694DestinationIP/port:/8080VPNinstance/VLANID/VLLID:-/-/-Protocol:

TCP(6)Responder:Source IP/port:0/8080DestinationIP/port:

/1025VPNinstance/VLANID/VLLID:-/-/-Protocol:

TCP(6)State:

TCP_ESTABLISHEDApplication:

HTTPStarttime:2012-08-1514:53:29TTL:

3597sInterface(in):GigabitEthernet1/1Interface(out):

GigabitEthernet1/2Initiator->Responder:7

packets308

bytesResponder->Initiator:5

packets312

bytes6學海無涯Addroute:NACL:2000學海無

涯Totalsessionsfound:

11.11.4外網(wǎng)用戶通過外網(wǎng)地址訪問內網(wǎng)服務器1.

組網(wǎng)需求某公司內部對外提供

Web、FTP

和

SMTP

服務，而且提供兩臺

Web

服務器。公司內部網(wǎng)址為

/16。其中，內部

FTP

服務器地址為

/16，內部

Web

服務器

1

的

IP地址為

/16，內部

Web

服務器

2

的

IP

地址為

/16，內部

SMTP

服務器IP

地址為

/16。公司擁有

至

三個公網(wǎng)

IP

地址。需要實現(xiàn)如下功能：外部的主機可以訪問內部的服務器。選用

作為公司對外提供服務的

IP

地址，Web

服務器

2

對外采用

8080

端口。2.

組網(wǎng)圖圖

1-8外網(wǎng)用戶通過外網(wǎng)地址訪問內網(wǎng)服務器配置步驟#

按照組網(wǎng)圖配置各接口的

IP

地址，具體配置過程略。#

進入接口GigabitEthernet1/2。<Router>system-view[Router]interfacegigabitethernet

1/2#

配置內部FTP

服務器，允許外網(wǎng)主機使用地址

、端口號

21訪問內網(wǎng)FTP服務器。[Router-GigabitEthernet1/2]natserverprotocoltcpglobal21inside

ftp#

配置內部

Web

服務器

1，允許外網(wǎng)主機使用地址

、端口號

80

訪問內網(wǎng)

Web

服務器

1。[Router-GigabitEthernet1/2]natserverprotocoltcpglobal80insidewww#

配置內部

Web

服務器

2，允許外網(wǎng)主機使用地址

、端口號

8080

訪問內網(wǎng)

Web服務器

2。[Router-GigabitEthernet1/2]natserverprotocoltcpglobal8080insidewww#

配置內部

SMTP

服務器，允許外網(wǎng)主機使用地址

以及

SMTP

協(xié)議定義的端口訪問內網(wǎng)

SMTP

服務器。[Router-GigabitEthernet1/2]

nat

server

protocol

tcp

global

smtp

inside

smtp[Router-GigabitEthernet1/2]

quit驗證配置7學海無涯配置步驟78學海無

涯以上配置完成后，外網(wǎng)

Host

能夠通過NAT地址訪問各內網(wǎng)服務器。通過查看如下顯示信息，可以驗證以上配置成功。[Router]displaynatallNATinternalserver

information:Thereare4internalservers.Interface:GigabitEthernet1/2Protocol:

6(TCP)GlobalIP/port:/21LocalIP/port:

/21Interface:GigabitEthernet1/2Protocol:

6(TCP)GlobalIP/port:/25LocalIP/port:

/25Interface:GigabitEthernet1/2Protocol:

6(TCP)GlobalIP/port:/80LocalIP/port:

/80Interface:GigabitEthernet1/2Protocol:

6(TCP)GlobalIP/port:/8080LocalIP/port:

/80NATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:

DisabledNATmapping

behavior:Mappingmode:AddressandPort-DependentACL :---NAT

ALG:DNS:EnabledFTP:EnabledH323:

EnabledICMP-ERROR:

Enabled#

通過以下顯示命令，可以看到

Host

訪問

FTP

server

時生成NAT

會話信息。[Router]displaynatsessionverboseInitiator:Source IP/port:

0/16948學海無涯學海無

涯DestinationIP/port:/21VPNinstance/VLANID/VLLID:-/-/-Protocol:

TCP(6)Responder:Source IP/port:/21DestinationIP/port:0/1694VPNinstance/VLANID/VLLID:-/-/-Protocol:

TCP(6)State:

TCP_ESTABLISHEDApplication:

FTPStarttime:2012-08-1514:53:29TTL:

3597sInterface(in):GigabitEthernet1/2Interface(out):

GigabitEthernet1/1Initiator->Responder:7

packets308

bytesResponder->Initiator:5

packets312

bytesTotalsessionsfound:

11.11.5外網(wǎng)用戶通過域名訪問內網(wǎng)服務器（地址不重疊）1.

組網(wǎng)需求某公司內部對外提供

Web

服務，Web

服務器地址為

/24。該公司在內網(wǎng)有一臺

DNS

服務器，IP

地址為

/24，用于解析

Web

服務器的域名。該公司擁有兩個外網(wǎng)

IP

地址：

和

。需要實現(xiàn)，外網(wǎng)主機可以通過域名訪問內網(wǎng)的

Web

服務器。2.

組網(wǎng)圖圖

1-9外網(wǎng)用戶通過域名訪問內網(wǎng)服務器（地址不重疊）3.

配置思路外網(wǎng)主機通過域名訪問

Web

服務器，首先需要通過訪問內網(wǎng)

DNS

服務器獲取

Web

服務器的

IP

地址，因此需要通過配置

NAT

內部服務器將

DNS

服務器的內網(wǎng)

IP

地址和

DNS

服務端口映射為一個外網(wǎng)地址和端口。DNS

服務器回應給外網(wǎng)主機的

DNS

報文載荷中攜帶了

Web

服務器的內網(wǎng)

IP

地址，因此需要將

DNS

報文載荷中的內網(wǎng)

IP

地址轉換為一個外網(wǎng)

IP

地址。外網(wǎng)地址分配可以通過出方向動態(tài)地址轉換功能實現(xiàn)，轉換載荷信息可以通過

DNSALG

功能實現(xiàn)。9學海無涯Initiator->Responder:710學海無

涯配置步驟#

按照組網(wǎng)圖配置各接口的

IP

地址，具體配置過程略。#

開啟

DNS

協(xié)議的

ALG

功能。<Router>system-view[Router]natalg

dns#

配置

ACL

2000，允許對內部網(wǎng)絡中

的報文進行地址轉換。[Router]aclnumber

2000[Router-acl-basic-2000]rulepermitsource0[Router-acl-basic-2000]

quit#

創(chuàng)建地址組

1。[Router]nataddress-group

1#

添加地址組成員

。[Router-nat-address-group-1]address[Router-nat-address-group-1]quit#

在接口

GigabitEthernet1/2

上配置

NAT

內部服務器，允許外網(wǎng)主機使用地址

訪問內網(wǎng)

DNS

服務器。[Router]interfacegigabitethernet

1/2[Router-GigabitEthernet1/2]natserverprotocoludpglobalinsidedomain#在接口GigabitEthernet1/2

上配置出方向動態(tài)地址轉換，允許使用地址組

1

中的地址對

DNS應答報文載荷中的內網(wǎng)地址進行轉換，并在轉換過程中不使用端口信息，以及允許反向地址轉換。[Router-GigabitEthernet1/2]natoutbound2000address-group1no-patreversible[Router-GigabitEthernet1/2]

quit驗證配置以上配置完成后，外網(wǎng)

Host

能夠通過域名訪問內網(wǎng)Web

server。通過查看如下顯示信息，可以驗證以上配置成功。[Router]displaynatallNATaddressgroup

information:Thereare1NATaddress

groups.Group

Number Start

Address End

Address1

NAToutbound

information:Thereare1NAToutboundrules.Interface:

GigabitEthernet1/2ACL:2000NO-PAT:

YAddressgroup:1 Port-preserved:

NReversible:

YNATinternalserverinformation:Thereare1internal

servers.Interface:GigabitEthernet1/2Protocol:

17(UDP)GlobalIP/port:/53LocalIP/port:

/5310學海無涯ACL:2000NO-PAT:11學海無

涯NATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:

DisabledNATmapping

behavior:Mappingmode:AddressandPort-DependentACL :---NAT

ALG:DNS:

EnabledFTP:

EnabledH323：EnabledICMP-ERROR:

Enabled#

通過以下顯示命令，可以看到

Host

訪問

Webserver

時生成

NAT

會話信息。[Router]displaynatsessionverboseInitiator:Source IP/port:/1694DestinationIP/port:/8080VPNinstance/VLANID/VLLID:-/-/-Protocol:

TCP(6)Responder:Source IP/port:/8080DestinationIP/port:/1694VPNinstance/VLANID/VLLID:-/-/-Protocol:

TCP(6)State:

TCP_ESTABLISHEDApplication:

HTTPStarttime:2012-08-1514:53:29TTL:

3597sInterface(in):GigabitEthernet1/2Interface(out):

GigabitEthernet1/1Initiator->Responder:7

packets308

bytesResponder->Initiator:5

packets312

bytesTotalsessionsfound:

11.11.6外網(wǎng)用戶通過域名訪問內網(wǎng)服務器（地址重疊）1.

組網(wǎng)需求某公司內網(wǎng)使用的

IP

地址為

/24。該公司內部對外提供

Web

服務，Web

服務器地址為

/24。該公司在內網(wǎng)有一臺

DNS

服務器，IP

地址為

/24，用于解析

Web

服務器的域名。該公司擁有三個外網(wǎng)

IP

地址：、

和

。11學海無涯NATlogging:Initiato學海無

涯需要實現(xiàn)，外網(wǎng)主機可以通過域名訪問與其地址重疊的內網(wǎng)

Web

服務器。2.

組網(wǎng)圖圖

1-10

外網(wǎng)用戶通過域名訪問內網(wǎng)服務器（地址重疊）3.

配置思路這是一個典型的雙向NAT

應用，具體配置思路如下。外網(wǎng)主機通過域名訪問

Web

服務器，首先需要訪問內部的

DNS

服務器獲取

Web

服務器的

IP

地址，因此需要通過配置

NAT

內部服務器將

DNS

服務器的內網(wǎng)

IP

地址和

DNS

服務端口映射為一個外網(wǎng)地址和端口。DNS

服務器回應給外網(wǎng)主機的

DNS

報文載荷中攜帶了

Web

服務器的內網(wǎng)

IP

地址，該地址與外網(wǎng)主機地址重疊，因此在出方向上需要為內網(wǎng)

Web

服務器動態(tài)分配一個

NAT

地址，并將載荷中的地址轉換為該地址。NAT

地址分配可以通過出方向動態(tài)地址轉換功能實現(xiàn)，轉換載荷信息可以通過

DNS

ALG

功能實現(xiàn)。外網(wǎng)主機得到內網(wǎng)

Web

服務器的

IP

地址之后（該地址為

NAT

地址），使用該地址訪問內網(wǎng)

Web

服務器，因為外網(wǎng)主機的地址與內網(wǎng)

Web

服務器的真實地址重疊，因此在入方向上也需要為外網(wǎng)主機動態(tài)分配一個NAT

地址，可以通過入方向動態(tài)地址轉換實現(xiàn)。NAT

設備上沒有目的地址為外網(wǎng)主機對應NAT地址的路由，因此需要手工添加靜態(tài)路由，使得目的地址為外網(wǎng)主機NAT

地址的報文的出接口為

GigabitEthernet1/2。4.

配置步驟#

按照組網(wǎng)圖配置各接口的

IP

地址，具體配置過程略。#

開啟

DNS

協(xié)議的

ALG

功能。<Router>system-view[Router]natalg

dns#

配置

ACL

2000，允許對內部網(wǎng)絡中

/24

網(wǎng)段的報文進行地址轉換。[Router]aclnumber

2000[Router-acl-basic-2000]rulepermitsource55[Router-acl-basic-2000]

quit#

創(chuàng)建地址組

1。[Router]nataddress-group

1#

添加地址組成員

。[Router-nat-address-group-1]address[Router-nat-address-group-1]quit#

創(chuàng)建地址組

2。[Router]nataddress-group

212學海無涯3.配置思路1213學海無

涯#

添加地址組成員

。[Router-nat-address-group-2]address[Router-nat-address-group-2]quit#

在接口

GigabitEthernet1/2

上配置

NAT

內部服務器，允許外網(wǎng)主機使用地址

訪問內網(wǎng)

DNS

服務器。[Router]interfacegigabitethernet

1/2[Router-GigabitEthernet1/2]natserverprotocoludpglobalinside

domain#

在接口GigabitEthernet1/2

上配置出方向動態(tài)地址轉換，允許使用地址組

1

中的地址對

DNS應答報文載荷中的內網(wǎng)地址進行轉換，并在轉換過程中不使用端口信息，以及允許反向地址轉換。[Router-GigabitEthernet1/2]natoutbound2000address-group1no-pat

reversible#

在接口

GigabitEthernet1/2

上配置入方向動態(tài)地址轉換，允許使用地址組

2

中的地址對外網(wǎng)訪問內網(wǎng)的報文進行源地址轉換，并在轉換過程中使用端口信息。[Router-GigabitEthernet1/2]natinbound2000address-group2[Router-GigabitEthernet1/2]

quit#

配置到達

地址的靜態(tài)路由，出接口為

GigabitEthernet1/2，下一跳地址為

（

為本例中的直連下一跳地址，實際使用中請以具體組網(wǎng)情況為準）。[Router]iproute-static32gigabitethernet1/2

5.

驗證配置以上配置完成后，外網(wǎng)

Host

能夠通過域名訪問內網(wǎng)相同

IP

地址的

Web

server。通過查看如下顯示信息，可以驗證以上配置成功。[Router]displaynatallNATaddressgroup

information:Thereare2NATaddress

groups.Group

Number Start

Address EndAddress1202.38.1.2202.38.1.22202.38.1.3202.38.1.3NATinbound

information:Thereare1NATinboundrules.Interface:

GigabitEthernet1/2Addroute:

NACL:2000NO-PAT:

NAddressgroup:

2Reversible:

NNAToutboundinformation:Thereare1NAToutboundrules.Interface:

GigabitEthernet1/2Port-preserved:

NACL:2000NO-PAT:

YAddressgroup:

1Reversible:

YNATinternalserverinformation:Thereare1internal

servers.Interface:GigabitEthernet1/2Protocol:

17(UDP)13學海無涯1202.38.14學海無

涯GlobalIP/port:/53LocalIP/port:

/53NATlogging:Logenable:DisabledFlow-begin:DisabledFlow-end:DisabledFlow-active:

DisabledNATmapping

behavior:Mappingmode:AddressandPort-DependentACL :---NAT

ALG:DNS:

EnabledFTP:

EnabledH323：EnabledICMP-ERROR:

Enabled#

通過以下顯示命令，可以看到

Host

訪問

Webserver

時生成

NAT

會話信息。[Router]displaynatsessionverboseInitiator:SourceIP/port:/1694DestinationIP/port:/8080VPNinstance/VLANID/VLLID:

-/-/-Protocol:

TCP(6)Responder:Source IP/port:/8080DestinationIP/port:/1025VPNinstance/VLANID/VLLID:-/-/-Protocol:

TCP(6)State:

TCP_ESTABLISHEDApplication:

HTTPStarttime:2012-08-1514:53:29TTL:

3597sInterface(in):GigabitEthernet1/2Interface(out):

GigabitEthernet1/1Initiator->Responder:7

packets308

bytesResponder->Initiator:5

packets312

bytesTotalsessionsfound:

11.11.7內網(wǎng)用戶通過NAT

地址訪問內網(wǎng)服務器1.

組網(wǎng)需求某公司內部網(wǎng)絡中有一臺

FTP

服務器，地址為

/24。該公司擁有兩個外網(wǎng)

IP

地址：

和

。需要實現(xiàn)如下功能：14學海無涯Initiator->Responder學海無

涯外網(wǎng)主機可以通過

訪問內網(wǎng)中的FTP

服務器。內網(wǎng)主機也可以通過

訪問內網(wǎng)中的

FTP

服務器。2.

組網(wǎng)圖圖

1-11

內網(wǎng)用戶通過NAT

地址訪問內網(wǎng)服務器3.

配置思路該需求為典型的C-S模式的

NAThairpin

應用，具體配置思路如下。為使外網(wǎng)主機可以通過外網(wǎng)地址訪問內網(wǎng)

FTP

服務器，需要在外網(wǎng)側接口配置NAT內部服務器。為使內網(wǎng)主機通過外網(wǎng)地址訪問內網(wǎng)

FTP

服務器，需要在內網(wǎng)側接口使能NAThairpin

功能。其中，目的

IP

地址轉換通過匹配外網(wǎng)側接口上的內部服務器配置來完成，源地址轉換通過匹配內部服務器所在接口上的出方向動態(tài)地址轉換或出方向靜態(tài)地址轉換來完成，本例中采用出方向動態(tài)地址轉換配置。配置步驟#

按照組網(wǎng)圖配置各接口的

IP

地址，具體配置過程略。#

配置

ACL

2000，允許對內部網(wǎng)絡中

/24

網(wǎng)段的報文進行地址轉換。<Router>system-view[Router]aclnumber

2000[Router-acl-basic-2000]rulepermitsource55[Router-acl-basic-2000]

quit#

在接口

GigabitEthernet1/2

上配置

NAT