服务器映射(华为路由器NAT)

一、拓扑二、配置2.1基本配置PC1Clinent1Server1启动http服务启动Ftp服务Client2Server2启动Ftp服务启动http服务2.2路由器配置网关路由器Gateway<Huawei>system-view[Huawei]sysname Gateway[Gateway]interface GigabitEthernet 0/0/2[Gateway-GigabitEthernet0/0/2]ip address 192.168.1.1 24[Gateway]interface GigabitEthernet 0/0/0[Gateway-GigabitEthernet0/0/0]ip address 200.1.1.2 29互联网路由器Interner<Huawei>system-view[Huawei]sysname Internet[Internet]interface GigabitEthernet 0/0/0[Internet-GigabitEthernet0/0/0]ip address 200.1.1.1 29[Internet]interface GigabitEthernet 0/0/2[Internet-GigabitEthernet0/0/2]ip address 100.1.1.1 242.3默认路由配置如果内网用户想要访问公网设备,那么首先内网网关路由器可以访问,本实验中目前网关路由器Gateway无法访问100.1.1.1这台服务器[Gateway]ping 100.1.1.1由上图知悉,网关路由器Ping不通公网上的100.1.1.1这台主机,下面在网关路由器上查看路由表[Gateway]disp ip routing-table由上图知悉,在网关路由器上没有到100.1.1.0网段的路由,自然也就无法ping通。所以在Gateway网关路由器上写一条默认路由到Internet路由器上,[Gateway]ip route-static 0.0.0.0 0 200.1.1.1再测试[Gateway]ping 100.1.1.1由上图知悉,已经链路通了同时公网上的设备Client2也可以访问网关路由器Gateway的200.1.1.2接口此时网关路由器到Internet的链路已经打通。三、实验需求PC1不能访问InternetClient1可以访问InternetServer1为Internet提供http服务,不提供Ftp 服务Client1可以访问Server2的http服务和ftp服务Client2可以访问Server1的http服务Server1被访问的地址是200.1.1.3,Client1的上网方式为Nat 的EasyIp方式四、完成实验要求4.1网关路由器配置先调通所有的网络,再做限制。定义一个规则编号是2001,这个规则的内容是允许源是192.168.1.0网段的设备通过[Gateway]acl 2001[Gateway-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255进入网关路由器连接公网的接口ge0/0/0,把2001规则应用到nat的出口上,这就是EasyIp.[Gateway]interface GigabitEthernet 0/0/0[Gateway-GigabitEthernet0/0/0]nat outbound 2001查看[Gateway-GigabitEthernet0/0/0]disp nat outbound测试在内网的PC1上ping公网上的Server2由上图知悉,内网的PC1可以访问公网上的Server2。内网的Client1也可以访问到公网的Server2的http服务内网的Client1也可以访问到公网的Server2的ftp服务目前为止,内网用户完全可以访问外网设备,为了达到实验要求,必须先使网络全部打通,然后根据策略,完成要求操作,这是配置策略的一般思路。4.2按照要求限制PC1不能访问Internet一种方法是在acl 2001规则中增加一条要求,阻止PC1访问外网即可,这个要求必须放置在rule 5之前。[Gateway]disp acl 2001[Gateway-acl-basic-2001]rule 3 deny source 192.168.1.100 0再次查看[Gateway-acl-basic-2001]dis th测试内网的PC1到外网的Server2由上图知悉,现在内网的PC1到外网的Server2网络不通了。Client1可以访问InternetClient1可以访问Server2的http服务和ftp服务Server1为Internet提供http服务,不提供Ftp 服务,Server1被Client2访问的地址是200.1.1.3首先在内网测试Server1上ftp和http服务是否正常由上图知悉,内网的Client到Server1上ftp和http服务是正常的,说明Server1提供的http和ftp服务是正常的。在网关路由器的公网接口ge0/0/0上做服务器的nat映射[Gateway]int g0/0/0[Gateway-GigabitEthernet0/0/0]nat server protocol tcp global 200.1.1.3 80 inside192.168.1.150 80Nat服务器映射协议是tcp,外网地址是200.1.1.3,端口是80,内网服务器地址是192.168.1.150,端口是80.查看[Gateway-GigabitEthernet0/0/0]disp this这里看到nat server和nat outbound可以同时存在于一个端口上,互不影响。测试抓包显示由以上知悉,外网的Client2可以访问200.1.1.3(内网的192.168.1.150)的http服务,但是不能访问200.1.1.3(内网的192.168.1.150)的ftp服务。

本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.175ku.com/27113.html