配置NAPT
应用环境
在校园网和企业网的应用中,NE20E路由器和NE16E路由器往往会作为网络的出口路由器控制内部网络访问Internet。
由于公网IP地址日益短缺,校园网和企业网的内部网络会使用私网IP地址进行编址,因此当内网主机访问Internet时,需要给该主机分配一个公网IP地址,就需要在出口路由器上部署NAT特性,这样通过NAT将内部主机的私网IP地址转换成公网IP地址使主机可以访问Internet上的资源。
配置思路
采用以下思路进行配置:
配置NAT地址池和访问控制列表。
在与公网连接的接口上应用NAT。
配置注意事项
无
配置实例
组网需求
如下图所示,一个校园网通过NE20E连接到Internet和Cernet。校园内部分为三个个区域:教学区、宿舍区和图书馆区。要求在NE20E上提供NAT功能,使教学区和宿舍区的主机可以与Internet和Cernet进行通讯,图书馆区的主机不可以。学校从ISP申请了100.1.1.1和100.1.1.2两个公网IP地址用于NAT转换。
NAT转换
适用产品和版本
出口路由器采用NE20E设备,版本为(VRP5.30-23)及后续版本。
配置步骤
步骤 1 配置NAT地址池和访问控制列表。
# 配置地址池和访问控制列表。
<CK-HW-NE20E-1> system-view
[CK-HW-NE20E-1] nat address-group 1 100.1.1.1 100.1.1.2 mask 255.255.255.252
[CK-HW-NE20E-1] ip route-static 100.1.1.0 255.255.255.252 null0
[CK-HW-NE20E-1] acl number 2000
[CK-HW-NE20E-1-acl-basic-2000] rule permit source 10.10.0.0 0.0.255.255
[CK-HW-NE20E-1-acl-basic-2000] rule permit source 10.20.0.0 0.0.255.255
[CK-HW-NE20E-1-acl-basic-2000] rule deny source any
[CK-HW-NE20E-1-acl-basic-2000] quit
步骤 2 在与公网连接的接口上应用NAT。
# 允许校园用户访问Internet。
[CK-HW-NE20E-1] interface ethernet 1/0/0
[CK-HW-NE20E-1-Ethernet1/0/0] description to Internet
[CK-HW-NE20E-1-Ethernet1/0/0] ip address 110.1.1.1 255.255.255.252
[CK-HW-NE20E-1-Ethernet1/0/0] nat outbound 2000 address-group 1
# 允许校园用户访问Cernet。
[CK-HW-NE20E-1] interface ethernet 1/0/1
[CK-HW-NE20E-1-Ethernet1/0/1] description to Cernet
[CK-HW-NE20E-1-Ethernet1/0/1] ip address 120.1.1.1 255.255.255.252
[CK-HW-NE20E-1-Ethernet1/0/1] nat outbound 2000 address-group 1
验证结果
当配置完成后,在CK-HW-NE20E-1路由器执行display nat all和命令,可以看到如下信息。
[CK-HW-NE20E-1] display nat all
NAT address-group information:
1 : from 100.1.1.1 to 100.1.1.2(29), reference 1 times
Total 1 address-groups
NAT outbound information:
Ethernet1/0/6: acl(2000) --- NAT address-group( 1)
Total 1 nat outbounds
Server in private network information:
Total 0 NAT servers
NAT application level gateway information:
netbios NAT application level gateway is enabled
ils NAT application level gateway is enabled
ftp NAT application level gateway is enabled
icmp NAT application level gateway is enabled
[CK-HW-NE20E-1] display firewall session table
FTP,10.10.11.2:55257[100.1.1.1:2048]+->120.10.10.6:21
TELNET,10.20.1.2:50030[100.1.1.1:2049]-->200.1.1.6:23
WWW,10.10.22.2:50804[100.1.1.1:2050]+->100.0.0.6:80
FTP DATA,110.1.1.6:20-->110.1.1.1:12291[10.1.1.2:50213]
上面的显示信息表示内网中有用户正在访问外网的FTP服务器、Telnet服务器和WWW服务器。
配置文件
#
sysname CK-HW-NE20E-1
#
nat address-group 1 100.1.1.1 100.1.1.2 mask 255.255.255.252
#
acl number 2000
rule 5 permit source 10.10.0.0 0.0.255.255
rule 10 permit source 10.20.0.0 0.0.255.255
rule 15 deny source any
#
interface Ethernet1/0/0
description to Internet
ip address 110.1.1.1 255.255.255.252
nat outbound 2000 address-group 1
#
interface Ethernet1/0/1
description to Cernet
ip address 120.1.1.1 255.255.255.252
nat outbound 2000 address-group 1
#
ip route-static 100.1.1.0 255.255.255.252 null0
#
return
|
|
||
|
|
||
|
|
7月26 |
H3CNE认证 |
热报中 |
8月16 |
H3C-IMC认证 |
热报中 |
7月26 |
H3CNE认证 |
热报中 |
7月26 |
H3CIE+认证 |
热报中 |
8月16 |
H3C-IMC认证 |
热报中 |
7月26 |
H3CNE培训 |
热报中 |
7月26 |
H3CSE认证 |
热报中 |
8月16 |
H3C无线 |
热报中 |
7月26 |
H3CSE培训 |
热报中 |
8月16 |
H3CIMC培训 |
热报中 |
8月16 |
H3C无线培训 |
热报中 |
8月31 |
H3CEAD培训 |
热报中 |
8月16 |
H3CPME认证 |
热报中 |
8月16 |
H3C安全认证 |
热报中 |
8月16 |
H3CIMC培训 |
热报中 |
8月16 |
H3C无线培训 |
热报中 |
8月09 |
H3CEAD培训 |
热报中 |
8月16 |
H3CPME认证 |
热报中 |
8月16 |
H3C安全认证 |
热报中 |
8月16 |
H3CIMC培训 |
热报中 |
8月09 |
H3C无线培训 |
热报中 |
8月09 |
H3CEAD培训 |
热报中 |
8月09 |
H3CPME认证 |
热报中 |
8月09 |
H3C安全认证 |
热报中 |