图片-稻子网
图片-稻子网
图片-稻子网
图片-稻子网

外网登录内网服务器-华为路由器使用公网IP和NAT上网的典型模拟实验

前两个实验模拟了两种典型的上网方式,DHCP+NAT和PPPoE+NAT。本实验模拟使用路由器的外网接口固定公网IP+NAT方式上网,这在很多小单位中也很常见。还可以解决外网用户如何访问内网服务器的常见问题(现在很多单位都有业务需要外网主机访问内网主机)。

本次实验的拓扑与前两次大体相同,反映了很多小单元的网络拓扑。

一、实验目的

在命令行模式下,通过配置路由器的外网接口固定公网IP+NAT外网登录内网服务器,使本机可以上网,本机的内外网用户可以通过以下方式访问本机的内部服务器域名。

二、实验内容

模拟一个单元的网络场景:该单元是一个局域网,有多个接入交换机(如SW2~SW3)用于连接用户设备,接入交换机通过汇聚交换机SW1连接;内部划分VLAN,如PC1、共享打印机被分配到VLAN 100,PC2、共享打印机被分配到VLAN 200。路由器R1,内部局域网通过汇聚交换机SW1与其相连,划分VLAN 10;R1与运营商光猫的网口1相连。

目前对外访问可能需要VPN,外网用户需要访问公司内部服务器,但是公司内部和公司内部服务器上网的用户数量并不是很大。与运营商协商后外网登录内网服务器,申请临时使用A固定公网IP接入——假设R1本地地址为12.12.12.2/24,反之结尾是 12.12.12.1/24;另外,内网WWW服务器划分为VLAN 20,内网服务器的公有DNS域名为,组织内部用户也可以通过该域名访问该服务器。

拓扑如图1所示:

图片[1]-外网登录内网服务器-华为路由器使用公网IP和NAT上网的典型模拟实验-稻子网

图1

图 1 顶部的灰色椭圆区域模拟了准备访问组织内部 WWW 服务器的外部网络用户和 ISP 侧路由设备。

图1底部矩形区域,即SW1和SW3之间的配置,与《华为交换机配置DHCP实现终端自动配置IP地址信息实验总结》中的配置大致相同,但还有额外的VLAN 20 需要配置的网段;

其中,图1中间绿色矩形区域为R1与SW1互联接口的IP地址和VLAN 10、R1与SW1的静态路由配置,与《模拟实验》相关华为路由器使用 DHCP 和 NAT 连接 的典型模式》基本相同;但是因为VLAN 20的网段比较多,所以要相应增加一条静态路由(局域网的网段不连续,所以暂时没有聚合方式配置路由)。

上述配置相同的部分可以分别点击链接查看,此处不再赘述。

本实验将主要配置:

1、SW1 的 VLAN 20;

2、R1到VLAN 20网段的静态路由;

3、R1连接外网接口的固定公网IP地址;

4、R1到外网的默认路由;

5、R1上内网IP到公网IP所需的NAT;

6、R1上的用户访问内网服务器需要NAT;

7、可以在R1上配置机构内部用户通过域名访问机构内部WWW服务器。

三、实验配置

(一) SW1 的 VLAN 20 配置

[SW1]vlan 20

[SW1-]退出

[SW1] 20

[SW1-]ip 192.168.20.254 24

[SW1-]g0/0/10

[SW1-/0/10]端口 pvid vlan 20

[SW1-/0/10]端口vlan 20

[SW1-/0/10] 退出

(二) R1到VLAN 20网段的静态路由配置

[R1]ip 路由- 192.168.20.0 255.255.255.0 192. 168.10.253

(三) R1连接外网接口的固定公网IP地址配置

[R1] g1/0/0

[R1-/0/0]ip 12.12.12.2 24

[R1-/0/0] 退出

(四) R1到外网的默认路由配置

[R1]ip 路由- 0.0.0.0 0.0.0.0 12.12. 12.1

(五) R1 上从内部 IP 到公共 IP 的 NAT

[R1] acl 名称 nat1 3001

[R1-acl-adv-nat1]规则 5 ip

[R1-acl-adv-nat1] 退出

[R1] g1/0/0

[R1-/0/0]nat 3001

(六) R1 上的 用户访问内网服务器需要 NAT 配置

[R1-/0/0]nat tcp - www 192.168.20.1 www

[R1-/0/0] 退出

命令说明:

该命令的作用是将内网WWW服务器的IP地址192.168.20.1()映射到R1的G1/0/0接口(-) 固定公网IP地址12.12.12.2,TCP端口号www还是映射到www,这样外网用户可以访问内网网络服务器。另一个域名也映射为 12.12.12.2。

笔记:

如果流量较大,可以根据实际需要申请多个固定的公网IP地址,使用地址池做动态NAT。

(七)在R1上,配置内网用户通过域名访问企业WWW服务器。

[R1]nat 算法 dns

[R1]nat dns-map 12.12.12.2 80 tcp

命令说明:

1、一些服务的包应用层还携带了访问服务所需的IP地址和端口信息。为了替换服务器IP地址和端口,需要在系统视图(Level,应用层网关)中配置NAT ALG。假设外网用户访问公司内网的FTP服务,服务器在应用层会携带服务器IP地址192.168.20.1响应包。换成R1的公网IP12.12.12.2。在这种情况下,需要配置 nat alg ftp。

2、内网用户使用公网DNS服务器提供的域名访问内网服务器时,公网DNS服务器的响应报文携带公网IP(12.12. 12.2),内网用户实际使用服务器的私网IP地址(192.168.20.1)来访问,需要配置nat dns-map -name -gobla-port tcp 配合nat alg DNS,将公网DNS服务器响应报文中携带的公网IP替换为内网用户服务器的私网IP。

四、配置验证

(一) 外网用户访问组织内部的WWW服务器

© 版权声明
THE END
喜欢就支持一下吧
点赞0 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码图片