51CTO下载-NAT应用组网配置分析

NAT应用组网配置分析H3C北京办事处何楠NAT基础配置案例分析NAT+ACL综合组网分析NATServer组网排错分析案例一之组网分析组网需求：用户使用最简单的组网方案：服务器放在DMZ区域，普通用户在trust区域。服务器提供FTP服务，普通用户能上公网。需求分析：普通用户要上公网，在外网口作NATOutbound，将私网地址转换成公网地址后上Internet；服务器要提供服务，在外网口作NATServer，外网用户访问公网地址，路由器映射为Server的私网地址后进入内网。案例一之实现流程（NATOutbound）路由器InternetTrustUntrustDMZEth0/0:192.0.3.1/24Eth1/1:202.0.0.1/24Eth1/0:192.0.1.1/24SrcIP：192.0.3.1SrcIP：202.0.0.1注意：路由器进行目的地址转换案例一之实现流程（NATServer）路由器InternetTrustUntrustDMZEth0/0:192.0.3.1/24Eth1/1:202.0.0.1/24Eth1/0:192.0.1.1/24DesIP：192.0.1.100ftpDesIP：202.0.0.100ftp注意：根据协议类型进行目的地址映射注：Server发送的回应报文在路由器上通过匹配原报文触发建立的NATSession表进行地址转换案例一之配置分析//定义NATOutbound转换的数据流aclnumber2000rule0permitsource192.0.0.00.0.255.255rule1deny//在出接口配置NATOutbound和NATServerinterfaceEthernet1/1ipaddress202.0.0.1255.255.255.0natoutbound2000（使用接口IP作为转换后的IP）natserverprotocoltcpglobal202.0.0.100ftpinside192.0.1.100ftp案例一之配置分析（续）如果使用其它单个的公网IP作为转换后的IP：在全局上添加配置：natstaticinsideip192.168.1.100globalip202.38.1.100然后在接口下配置：interfaceEthernet1/1natoutboundstatic如果使用地址池作为转换后的：在全局上添加配置：nataddress-group0202.0.0.3202.0.0.6然后在接口下配置：interfaceEthernet1/1natoutbound2000address-group0案例二之组网分析组网需求：作了案例一的配置后，内网用户只能通过私网地址192.0.0.100访问服务器，现在需要通过该服务器对外的公网地址或者该公网地址对应的域名访问。需求分析：目前不能使内网用户同时通过私网和公网地址访问在DMZ的服务器。如果客户只想通过统一的公网地址访问服务器，则只需要在内网口加上和外网口一样的NATServer配置即可。但是这样更改后，内网用户不能通过服务器的私网地址访问了。案例二之实现流程路由器InternetTrustUntrustDMZEth0/0:192.0.3.1/24Eth1/1:202.0.0.1/24Eth1/0:192.0.1.1/24DesIP：192.0.1.100ftpDesIP：202.0.0.100ftp注意：根据协议类型进行目的地址映射案例二之配置分析//在案例一的配置基础上在内网口上添加NATServer配置interfaceEthernet0/0(内网口)ipaddress192.0.3.1255.255.255.0natserverprotocoltcpglobal202.0.0.100ftpinside192.0.1.100ftp案例三之组网分析组网需求：DMZ区域也想加入普通的用户，里面的用户也要通过服务器的公网地址访问服务器。需求分析：如果还有多余的端口，把该端口划入DMZ区域，在该端口上作与案例二相同的配置即可。如果没有多余的接口，只有划分子接口了。案例三之实现流程路由器InternetTrustUntrustDMZEth0/0:192.0.3.1/24Eth1/1:202.0.0.1/24Eth1/0:192.0.1.1/24注意：根据协议类型进行目的地址映射DesIP：192.0.1.100ftp案例三之配置分析//在案例二的配置基础上在路由器上添加配置interfaceEthernet1/0.1(内网口划分子接口)ipaddress192.0.1.1255.255.255.0vlan-typedot1qvid2#interfaceEthernet1/0.2(内网口划分子接口)ipaddress192.0.2.1255.255.255.0natserverprotocoltcpglobal202.0.0.100ftpinside192.0.1.100ftpvlan-typedot1qvid3NAT基础配置案例分析NAT+ACL综合组网分析NATServer组网排错分析NATServer排错案例之真实组网情况组网情况：客户通过如下组网(核心三层交换机终结VLAN)实现内网通过域名和公网IP访问服务器。Internet出口路由器三层交换机内网PC192.168.1.0/24192.168.1.1192.168.1.66Server对外218.6.6.6排错案例之遇到问题说明问题分析：参照操作手册把NATdns－map配上，这时通过域名能访问了，但公网IP还是不行。再参照案例二的方法在内网口也做了NAT转换，将外网口下的natserver在出口路由器内网口上照着配一遍，还是不行。通过公网IP访问不了，IE状态栏显示已找到地址，然后就停在“正在连接….”状态。NATServer排错案例之问题原因解析Internet出口路由器三层交换机内网PC192.168.1.200/24192.168.1.1192.168.1.66、TCPSYN（S:192.168.1.200;D:218.6.6.6）3、TCPSYN（S:192.168.1.61;D:192.168.1.66）4、TCPSYNACK（S:192.168.1.66;D:192.168.1.200）2、NATServerProtocolTCPGloble218.6.6.6排错案例之解决方案解决方案：方案1：交换机不起三层，所有内网网关都在出口路由器上。也就是说192.168.1.x这个网段的三层终结必须在路由器上而不是三层交换机上。方案2：如果内网交换机(或者其他三层设备)支持NAT，在此设备出口上做对转换。6、TCPSYN（S:218.6.6.6;D:192.168.1.200）4、TCPSYNACK（S:192.168.1.66;D:192.168.1.200）NATServer排错案例之正确流程Internet出口路由器三层交换机内网PC192.168.1.200/24192.168.1.1192.168.1.66、TCPSYN（S:192.168.1.200;D:218.6.6.6）3、TCPSYN（S:192.168.1.61;D:192.168.1.66）2&5、NATServerProtocolTCPGloble218.6.6.6综合组网分析NATServer组网排错分析NAT+ACL案例之网络拓扑1、对公司局域网的策略所有业务系统服务器对公司局域网外网124.193.27.0开放所有协议及端口。2、对INTERNET的策略219.141.223.102-111对外(对所有公网地址)开放80端口219.141.223.104对外(对所有公网地址)开放8801端口219.141.223.108-110对外(对所有公网地址)开放8080和7001端口3、对个别客户IP的策略219.141.223.102对218.206.93.9/29和220.196.19.34-36）开放12008端口219.141.223.103对211.99.195.178开放20001端口4、防火墙内部策略防火墙信任所有内网服务器允许外出（192.168.1.0）NAT+ACL案例之组网需求1、对公司局域网的策略所有业务系统服务器对公司局域网外网124.193.27.0开放所有协议及端口。aclnumber2001rule0permitsource192.168.1.00.0.0.255rule1denyinterfaceEthernet1/0ipaddress219.141.223.101255.255.255.0natoutbound2001interfaceEthernet1/1ipaddress192.168.1.2255.255.255.0NAT+ACL案例之配置分析一2、对INTERNET的策略219.141.223.102-111对外(对所有公网地址)开放80端口.219.141.223.104对外(对所有公网地址)开放8801端口219.141.223.108-110对外(对所有公网地址)开放8080和7001端口NAT+ACL案例之配置分析二会出现怎样的问题？很自然的想到出端口配置NATServer，直接在配置中指定80、8801等端口。natserver3000protocoltcpglobal219.141.223.102、3中各拿出一条需求为例：219.141.223.102对外(对所有公网地址)开放80端口219.141.223.102对218.206.93.9/29和220.196.19.34-36）开放12008端口路由器上不能够对同一条公网-私网的NATServer做两次映射配置，系统会提示冲突。这样就需要统一规划配置。NAT+ACL案例之配置分析三路由器在出端口上会先进行NATServer映射后，再进行ACL包过滤（FirewallPacket-filter）。这样我们可以对所有地址先进行NATServer映射，其余什么地址能访问什么端口的事就交给包过滤了！interfaceEthernet1/0natserverprotocoltcpglobal219.141.223.102anyinside192.168.1.12anyfirewallpacket-filter3010inboundaclnumber3010rule0permitipsource124.193.27.00.0.0.255rule6permittcpdestination192.168.1.120destination-porteq案例之配置分析三（续）4、防火墙内部策略防火墙信任所有内网服务器允许外出（192.168.1.0）NAT+ACL案例之配置分析四aspf-policy1detecth323detectrtspdetecthttpdetectsmtpdetectftpdetecttcpdetectudpinterfaceEthernet1/0（出端口）firewallaspf1outbound