《H3C路由器双出口NAT服务器的典型配置》由会员分享,可在线阅读,更多相关《H3C路由器双出口NAT服务器的典型配置(4页珍藏版)》请在金锄头文库上搜索。
1、H3C MSR路由器双出口NAT服务器的典型配置一、需求:MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是,对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通
2、过NAT任意访问电信网络或教育网络。设备清单:MSR一台二、拓扑图:三、配置步骤:适用设备和版本:MSR系列、Version 5.20, Release 1205P01后所有版本。MSR关键配置(路由部分配置略)#/地址池0用于访问电信的NAT/地址池1用于访问教育网的NAT/静态NAT用于外部访问内部服务器#/ACL 2000用于内网访问教育网和电信的NAT,允许的源acl number 2000description NAT/ACL 2222用于策略路由的允许节点,即内部服务器往外发的HTTP从G5/1出去acl number 2222description policy-based-ro
3、ute permit noderule 0 permit source 192.168.34.55 0#/用于内部主机访问的NAT映射acl number 3000description 192.168.0.0/24 access 211.1.1.4rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.34.55 0/ACL 3333用于策略路由拒绝节点,即内部服务器返回内部主机的不需要被策略acl number 3333description policy-based-route deny node#inter
4、face GigabitEthernet0/0port link-mode route/内部主机访问时,将替换成nat outbound static/内部主机访问时,将内部主机地址转换成nat outbound 3000description to neibu-Lan/策略路由,内部服务器返回内部的不被策略,返回外部的从G5/1出去ip policy-based-route aaa#interface GigabitEthernet5/0port link-mode route/内部访问电信时需要NATnat outbound 2000 address-group 0description
5、connect to ChinaNettcp mss 1420#interface GigabitEthernet5/1port link-mode route/外部访问内部服务器时静态转换成nat outbound static/内部访问教育网时需要NATnat outbound 2000 address-group 1description connect to Cernettcp mss 1420#/策略路由aaa拒绝节点序号3policy-based-route aaa deny node 3/匹配条件ACL 3333,即内部服务器返回内部的流量不需要被策略if-match acl 3
6、333/策略路由aaa允许节点5policy-based-route aaa permit node 5/匹配ACL 2222,即内部服务器发出的流量if-match acl 2222/应用下一跳,即从G5/1出去#四、配置关键点:1) 此案例所实现之功能只在MSR上验证过,不同设备由于内部处理机制差异不能保证能够实现;2) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址会被电信给过滤掉,因此必须使用策略路由从G5/1出去;3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策略;4) 在G0/0
7、应用2个NAT的作用是使内网可以通过访问访问内部服务器,如果只使用NAT Outbound Static,那么内部主机发送HTTP请求的源、目的地址对会变成然后发送给内部服务器,那么内部服务器会把HTTP响应以源、目的地址对直接返回给内部主机(可以经过内部路由不需要经过MSR到达)因此对于内部主机来说始终没有接收到返回的HTTP响应,因此打开网页失败。解决问题的办法就是让内部服务器返回时经过MSR路由器,让MSR把HTTP响应变成,方法就是再做一次NAT,通过NAT Outbound ACL 3000使HTTP请求变成MSR发送的,这样HTTP响应就会变成发送到MSR,MSR再变成返回给内部主机。
