收藏
下载资源

H3C+NAT+配置方法

上传人:鲁** 文档编号:563480408 上传时间:2024-01-03 格式:DOC 页数:9 大小:150.50KB
返回 下载 相关 举报
H3C+NAT+配置方法_第1页
第1页 / 共9页
H3C+NAT+配置方法_第2页
第2页 / 共9页
H3C+NAT+配置方法_第3页
第3页 / 共9页
H3C+NAT+配置方法_第4页
第4页 / 共9页
H3C+NAT+配置方法_第5页
第5页 / 共9页
点击查看更多>>
资源描述

《H3C+NAT+配置方法》由会员分享,可在线阅读,更多相关《H3C+NAT+配置方法(9页珍藏版)》请在金锄头文库上搜索。

1、4.3 NAT的配置NAT配置包括:l 配置地址池l 配置Easy IPl 配置静态地址转换l 配置多对多地址转换l 配置NAPTl 配置内部服务器l 配置地址转换应用层网关l 配置内部主机通过域名区分并访问其对应的内部服务器l 配置地址转换有效时间l 配置最大连接数限制l 配置报文匹配方式l 配置地址转换表项的老化刷新速度4.3.1 配置地址池地址池是一些连续的IP地址集合,当内部数据包通过地址转换到达外部网络时,将会选择地址池中的某个地址作为转换后的源地址。表4-1 配置地址池操作命令定义一个地址池nat address-group group-number start-addr end-

2、addr删除一个地址池undo nat address-group group-number& 说明:l NAT地址池中的地址不应包含公网主机已使用的地址,否则会造成地址冲突。l 如果防火墙仅提供Easy IP功能,则不需要配置NAT地址池,直接使用接口地址作为转换后的IP地址。l 当某个地址池已经和某个访问控制列表关联进行地址转换,是不允许删除这个地址池的。l 地址池长度(地址池中包含的所有地址个数)不能超过255个地址。4.3.2 配置地址转换将访问控制列表和地址池关联(或接口地址)后,即可实现地址转换。这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址(或接口地址)

3、”。当内部网络有数据包要发往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据转换关联找到与之对应的地址池(或接口地址)进行转换。不同形式的地址转换,配置方法稍有不同。1. Easy IP如果地址转换命令不带address-group参数,即仅使用nat outbound acl-number命令,则实现了easy-ip的特性。地址转换时,直接使用接口的IP地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。表4-2 配置Easy IP操作命令配置访问控制列表和接口地址关联nat outbound acl-number 删除访问控制列表和接口地址的关联undo nat

4、 outbound acl-number 2. 使用指定loopback接口进行地址转换表4-3 使用指定loopback接口进行地址转换操作命令配置访问控制列表和指定的loopback接口地址关联nat outbound acl-number interface interface-type interface-number删除访问控制列表和指定loopback接口地址的关联undo nat outbound acl-number interface interface-type interface-number匹配访问控制列表的数据报文的源地址将转换为指定的loopback接口的IP地址。

5、3. 配置静态地址转换表(1) 配置一对一静态地址转换表表4-4 配置一对一地址转换操作命令配置从内部地址到外部地址的一对一转换nat static ip-addr1 ip-addr2删除已经配置得NAT一对一转换undo nat static ip-addr1 ip-addr2(2) 配置静态网段地址转换表使用静态网段地址转换时,只进行网段地址的转换,而保持主机地址不变。请在系统视图下进行下列配置。操作命令配置从内部地址到外部地址的静态网段地址转换表nat static inside ip inside-address global ip global-addressnat static i

6、nside ip inside-start-address inside-end-address global ip global-address mask 删除已经配置的NAT网段地址转换表undo nat static inside ip inside-addressundo nat static inside ip inside-address global ip global-addressundo nat static inside ip inside-start-address inside-end-address global ip global-address mask nat

7、 static inside和nat static会分别创建两种不同的NAT静态表项,在具体的配置中,两种NAT静态表项不存在冲突即可。 注意:在配置静态网段地址转换时,应该确保转换后的地址不会被网络拓扑中的其他设备使用。(3) 使静态转换表项在接口上生效请在接口视图下进行下列配置。操作命令使已经配置的NAT静态转换表项在接口上生效nat outbound static禁止在接口上配置的NAT静态转换表项生效undo nat outbound static4. 配置多对多地址转换将访问控制列表和地址池关联后,即可实现多对多地址转换。请在接口视图下进行下列配置。表4-7 配置多对多地址转换操作命

8、令配置访问控制列表和地址池关联nat outbound acl-number address-group group-number no-pat 删除访问控制列表和地址池的关联undo nat outbound acl-number address-group group-number no-pat 5. 配置NAPT将访问控制列表和NAT地址池关联时,如果选择no-pat参数,则表示只转换数据包的IP地址而不使用端口信息,即不使用NAPT功能;如果不选择no-pat参数,则启用NAPT功能。缺省情况是启用。请在接口视图下进行下列配置。表4-8 配置NAPT操作命令配置访问控制列表和地址池关联

9、nat outbound acl-number address-group group-number 删除访问控制列表和地址池的关联undo nat outbound acl-number address-group group-number 6. 配置双向地址转换请在系统视图下进行下面配置。表4-9 配置双向地址转换操作命令配置重叠地址池到临时地址池的映射nat overlapaddress number overlappool-startaddress temppool-startaddress pool-length pool-length | address-mask mask 删除重

10、叠地址池到临时地址池的映射undo nat overlapaddress number7. 配置NAT多实例无论Easy IP、多对多地址转换,还是NAPT,都可以支持NAT多实例的配置。只要在访问控制列表的规则rule中配置vpn-instance vpn-instance-name,指明那些MPLS VPN用户需要进行地址转换,即可以实现对MPLS VPN的支持。4.3.3 配置内部服务器通过配置内部服务器,可将相应的外部地址、端口等映射到内部的服务器上,提供了外部网络可访问内部服务器的功能。内部服务器与外部网络的映射表是由nat server命令配置的。用户需要提供的信息包括:外部地址、

11、外部端口、内部服务器地址、内部服务器端口以及服务协议类型。防火墙支持使用接口地址作为NAT Server的公网地址。当路由器的公网接口通过拨号或DHCP方式获取公网地址时,其NAT Server的公网地址可以动态更新,方便用户配置。当内部服务器位于MPLS VPN时,还应指定所属的vpn-instance-name。如果不设置该值,表示内部服务器属于一个普通的私网,不属于某一个MPLS VPN。请在接口视图下进行下列配置。操作命令配置内部服务器nat server vpn-instance vpn-instance-name protocol pro-type global global-ad

12、dr | current-interface | interface type number global-port inside host-addr host-port nat server vpn-instance vpn-instance-name protocol pro-type global global-addr | current-interface | interface type number global-port1 global-port2 inside host-addr1 host-addr2 host-port删除内部服务器undo nat server vpn-

13、instance vpn-instance-name protocol pro-type global global-addr | current-interface | interface type number global-port inside host-addr host-port undo nat server vpn-instance vpn-instance-name protocol pro-type global global-addr | current-interface | interface type number global-port1 global-port2

14、 inside host-addr1 host-addr2 host-port 注意:global-port和inside-port只要有一个定义了any,则另一个要么不定义,要么是any。l 如果global-port和inside-port都为0、any或未配置的话,则内网服务器可以通过该配置访问公网,但发起访问的协议必须与配置的协议相同。l 当使用端口范围配置FTP服务器的NAT Server时,内部端口号不能配置为20和21;当不使用端口范围配置FTP服务器的NAT Server时,内部端口号不能配置为20。l 由于TFTP协议的特殊性,当配置TFTP服务器的NAT Server时,还应对内部的TFTP服务器配置相应的nat outbound命令。4.3.4 配置地址转换应用层网关请在系统视图下进行下面配置表4-11 配置地址转换应用层网关操作命令配置地址转换应用层网关nat alg dns | ftp | h323 | ils | msn | nbt | pptp | tns 禁用地址转换应用层网关功能undo nat alg dns | ftp | h323 | ils | msn | nb

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号