SR8800-X核心路由器NAT配置手册_第1页
SR8800-X核心路由器NAT配置手册_第2页
SR8800-X核心路由器NAT配置手册_第3页
SR8800-X核心路由器NAT配置手册_第4页
SR8800-X核心路由器NAT配置手册_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、H3C SR8800-X 核心路由器NAT 配置手册i目 录 HYPERLINK l _bookmark0 简介 HYPERLINK l _bookmark1 1 HYPERLINK l _bookmark0 配置前提 HYPERLINK l _bookmark2 1 HYPERLINK l _bookmark0 使用限制 HYPERLINK l _bookmark3 1 HYPERLINK l _bookmark0 NAT配置举例 HYPERLINK l _bookmark4 1 HYPERLINK l _bookmark0 组网需求 HYPERLINK l _bookmark5 1 HYP

2、ERLINK l _bookmark6 配置思路 HYPERLINK l _bookmark8 2 HYPERLINK l _bookmark6 使用版本 HYPERLINK l _bookmark9 2 HYPERLINK l _bookmark6 配置步骤 HYPERLINK l _bookmark10 2 HYPERLINK l _bookmark11 验证配置 HYPERLINK l _bookmark12 4 HYPERLINK l _bookmark13 配置文件 HYPERLINK l _bookmark14 6 HYPERLINK l _bookmark15 相关资料 HYPE

3、RLINK l _bookmark16 7 PAGE 7简介本文介绍 NAT 配置举例。配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请参考相关产品手册,或以设备实际情况为准。本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。本文档假设您已了解 NAT 特性。使用限制目前除 SPC-CP2LA 和 SPC-CP2LB 单板外,其他业务板都可以提供 NAT 处理。实现 NAT 功能时,需要配置 QoS 策略将流量入接口收到的报文重定向

4、到出接口上指定的提供 NAT 处理的业务板,这样流量才会进行 NAT 处理。关于 Qos 策略的相关介绍请参见“ACL 和 QoS 配置指导”中的“QoS”。NAT 功能目前仅在独立运行模式下支持。NAT配置举例组网需求如 HYPERLINK l _bookmark7 图 1 所示,某公司内网地址是 /22,向运营商申请的公网地址是 。公司内网用户使用 55 地址段内IP地址;公司内网目前共有 3 台FTP服务器可以同时提供服务,服务器使用 的IP地址。要求实现如下功能:内网用户经过地址转换后使用 公网地址访问 Internet;外网主机和内网主机都可以通过 访问内网中的 FTP 服务器;3

5、台 FTP 服务器提供服务时进行负载分担,但不允许主动访问外网。图1 NAT 配置组网图配置思路为了实现55 可以转换成 公网地址访问Internet, 需要定义 ACL 规则,实现只对内网匹配指定的 ACL 规则的报文在 Device 的GigabitEthernet2/0/2 出方向上进行动态地址转换。为了保证 3 台FTP 服务器同时提供服务,需要配置 NAT 内部服务器组,并采用负载分担方式。为了实现内网用户也可以使用 地址访问 FTP 服务器,需要在 Device 的GigabitEthernet2/0/1 上使能 NAT hairpin 功能。使用版本本举例是在 SR8800-CM

6、W710-R7143 版本上进行配置和验证的。配置步骤配置接口IP地址# 配置接口 GigabitEthernet 2/0/1 和 GigabitEthernet 2/0/2 的 IP 地址。 system-viewDevice interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 ip address Device-GigabitEthernet2/0/1 quitDevice interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 ip address Device

7、-GigabitEthernet2/0/2 quit配置内网用户访问外网# 配置地址组 0,包含两个外网地址 和 。Device nat address-group 0Device-nat-address-group-0 address Device-nat-address-group-0 quit# 配置 ACL 2000,仅允许对内部网络中 55 网段的用户报文进行地址转换。Device acl number 2000Device-acl-basic-2000 rule permit source 55Device-acl-basic-2000 rule permit source 55

8、Device-acl-basic-2000 quit# 在接口 GigabitEthernet2/0/2 上配置出方向动态地址转换,允许使用地址组 0 中的地址对匹配 ACL2000 的报文进行源地址转换,并在转换过程中使用端口信息。Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 nat outbound 2000 address-group 0 Device-GigabitEthernet2/0/2 quit配置FTP服务器同时提供服务# 配置内部服务器组 0 及其成员 、 和 。Device nat ser

9、ver-group 0Device-nat-server-group-0insideipport21Device-nat-server-group-0insideipport21Device-nat-server-group-0insideipport21Device-nat-server-group-0quit# 在接口 Gigabitethernet2/0/2 上配置负载分担内部服务器,引用内部服务器组 0,该组内的主机共同提供 FTP 服务。Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 nat serv

10、er protocol tcp global ftp inside server-group 0# 在接口 GigabitEthernet2/0/1 上使能 NAT hairpin 功能。Device interface gigabitethernet 2/0/1Device-GigabitEthernet2/0/1 nat hairpin enable指定提供NAT服务的业务板# 在接口 GigabitEthernet2/0/1 上指定 4 号单板为提供 NAT 服务的业务板。Device-GigabitEthernet2/0/1 nat service slot 4 Device-Giga

11、bitEthernet2/0/1 quit# 在接口 GigabitEthernet2/0/2 上指定 4 号单板为提供 NAT 服务的业务板。Device interface gigabitethernet 2/0/2Device-GigabitEthernet2/0/2 nat service slot 4 Device-GigabitEthernet2/0/2 quit配置QoS重定向策略将符合条件的报文重定向到 4 号单板# 配置重定向报文的访问控制列表 2001。由于本例中重定向到提供 NAT 服务的业务板的报文为需要地址转换的报文,因此 ACL 2001 中定义的 ACL 规则与

12、ACL 2000 相同,但也可以根据实际组网需求定义不同的规则。Device acl number 2001Device-acl-basic-2001 rule permit source 55Device-acl-basic-2001 rule permit source 55 Device-acl-basic-2001 quit# 创建流分类 1,匹配 ACL 2001Device traffic classifier 1Device-classifier-1 if-match acl 2001 Device-classifier-1 quit# 创建流行为 1,用于将报文重定向到 4 号

13、单板。Device traffic behavior 1 Device-behavior-1 redirect slot 4 Device-behavior-1 quit# 创建 QoS 策略 1,将流分类 1 和流行为 1 进行关联。Device qos policy 1Device-qospolicy-1 classifier 1 behavior 1 Device-qospolicy-1 quit# 将 QoS 策略 1 应用到接口 GigabitEthernet2/0/1。Device interface Gigabitethernet 2/0/1Device-GigabitEther

14、net2/0/1 qos apply policy 1 inbound Device-GigabitEthernet2/0/1 quit验证配置# 当 PC 1 访问 WWW server 时,可以看到生成的 NAT 会话信息。Device display nat session verbose Initiator:SourceIP/port: 0/1024 Destination IP/port: 0/80DS-Lite tunnel peer: -VPN instance/VLAN ID/VLL ID: -/-/- Protocol: UDP(17)Responder:SourceIP/p

15、ort: 0/80 Destination IP/port: /1025 DS-Lite tunnel peer: -VPN instance/VLAN ID/VLL ID: -/-/- Protocol: UDP(17)State: UDP_READY Application: HTTPStart time: 2014-07-08 13:30:47TTL: 60sInterface(in) : GigabitEthernet2/0/1 Interface(out): GigabitEthernet2/0/2Initiator-Responder:21946552 packets 241412

16、0720 bytesResponder-Initiator:650389 packets71542790 bytesTotal sessions found: 1# 当有两个外网用户(0、1)同时请求 FTP 服务时,可以查看到建立了 2 条 NAT会话,并且 FTP server 1 和 FTP server 2 分别为这两个用户提供 FTP 服务。Device display nat session verbose Initiator:SourceIP/port: 1/1024 Destination IP/port: /21DS-Lite tunnel peer: -VPN instan

17、ce/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)Responder:SourceIP/port: /21 Destination IP/port: 1/1024 DS-Lite tunnel peer: -VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)State: TCP_ESTABLISHEDApplication: FTPStart time: 2014-07-08 14:11:41TTL: 3600sInterface(in) : GigabitEthernet2/0/2 Interface(out

18、): GigabitEthernet2/0/1Initiator-Responder:598098 packets65790780 bytesResponder-Initiator:0 packets0 bytesInitiator:SourceIP/port: 0/1024 Destination IP/port: /21DS-Lite tunnel peer: -VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)Responder:SourceIP/port: /21 Destination IP/port: 0/1024 DS-Lite

19、 tunnel peer: -VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)State: TCP_ESTABLISHEDApplication: FTPStart time: 2014-07-08 14:12:00TTL: 3600sInterface(in) : GigabitEthernet2/0/2 Interface(out): GigabitEthernet2/0/1Initiator-Responder:74783 packets8226130 bytesResponder-Initiator:0 packets0 bytes

20、Total sessions found: 2# 当 PC 1 通过 地址访问 FTP 服务器时,可以查看到建立的 NAT 会话。Device display nat session verbose Initiator:SourceIP/port: 0/1024 Destination IP/port: /21DS-Lite tunnel peer: -VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)Responder:SourceIP/port: /21Destination IP/port: /1025 DS-Lite tunnel p

21、eer: -VPN instance/VLAN ID/VLL ID: -/-/- Protocol: TCP(6)State: TCP_ESTABLISHEDApplication: FTPStart time: 2014-07-08 14:24:15TTL: 3600sInterface(in) : GigabitEthernet2/0/1 Interface(out): GigabitEthernet2/0/1Initiator-Responder:209716 packets23068760 bytesResponder-Initiator:0 packets0 bytesTotal sessions found: 1配置文件#traffic classifie

人人文库> 全部分类> 专业文献 > IT计算机

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论