来源:蜘蛛抓取(WebSpider)
时间:2018-07-22 02:23
标签:
华为路由器子接口 多路由
华为交换机路由器配置实例,就是这么简单华为交换机路由器配置实例,就是这么简单科技离不开数字百家号华为路由器交换VLAN配置:配置说明:使用4台PC,华为路由器(R2621)、交换机(S3026e)各一台,组建一VLAN,实现虚拟网和物理网之间的连接。实现防火墙策略,和访问控制(ACL)。网络结构如图:四台PC的IP地址、掩码如下列表:P1 192.168.1.1 255.255.255.0 网关IP 为192.168.1.5P2 192.168.1.2 255.255.255.0 网关IP 为192.168.1.5P3 192.168.1.3 255.255.255.0 网关IP 为192.168.1.6P4 192.168.1.4 255.255.255.0 网关IP 为192.168.1.6路由器上Ethernet0的IP 为192.168.1.5Ethernet1的IP 为192.168.1.6firewall 设置默认为deny实施命令列表:交换机上设置,划分VLAN:sys//切换到系统视图[Quidway]vlan enable[Quidway]vlan 2[Quidway-vlan2]port e0/1 to e0/8[Quidway-vlan2]quit//默认所有端口都属于VLAN1,指定交换机的e0/1 到e0/8八个端口属于VLAN2[Quidway]vlan 3[Quidway-vlan3]port e0/9 to e0/16[Quidway-vlan3]quit//指定交换机的e0/9 到e0/16八个端口属于VLAN3[Quidway]dis vlan all[Quidway]dis cu路由器上设置,实现访问控制:[Router]interface ethernet 0[Router-Ethernet0]ip address 192.168.1.5 255.255.255.0[Router-Ethernet0]quit//指定ethernet 0的ip[Router]interface ethernet 1[Router-Ethernet1]ip address 192.168.1.6 255.255.255.0[Router-Ethernet1]quit//开启firewall,并将默认设置为deny[Router]fire enable[Router]fire default deny//允许192.168.1.1访问192.168.1.3//firewall策略可根据需要再进行添加[Router]acl 101[Router-acl-101]rule permit ip source 192.168.1.1 255.255.255.0destination 192.168.1.3 255.255.255.0[Router-acl-101]quit//启用101规则[Router-Ethernet0]fire pa 101[Router-Ethernet1]fire pa 101本文由百家号作者上传并发布,百家号仅提供信息发布平台。文章仅代表作者个人观点,不代表百度立场。未经作者许可,不得转载。科技离不开数字百家号最近更新:简介:运气不够,试着营救!作者最新文章相关文章华为路由器以太网口配置命令_百度文库
您的浏览器Javascript被禁用,需开启后体验完整功能,
享专业文档下载特权
&赠共享文档下载特权
&100W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员,立省24元!
华为路由器以太网口配置命令
&&华为路由器以太网口配置命令
阅读已结束,下载本文需要
定制HR最喜欢的简历
你可能喜欢【华为路由器】基本配置命令学习【祗王夜雪吧】_百度贴吧
&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&签到排名:今日本吧第个签到,本吧因你更精彩,明天继续来努力!
本吧签到人数:0可签7级以上的吧50个
本月漏签0次!成为超级会员,赠送8张补签卡连续签到:天&&累计签到:天超级会员单次开通12个月以上,赠送连续签到卡3张
关注:7贴子:
【华为路由器】基本配置命令学习
搜集华为路由器常用的配置命令,方便学习使用~
删除设备配置 reset saved-configuration 重启 reboot 看当前配置文件 display current-configuration 改设备名 sysname 保存配置 save 进入特权模式 sysview 华为只有2层模式 不像cisco enale之后还要conf t 定义acl acl nubmere XXXX(3000以上)进入以后 rule permit/deny IP/TCP/UDP等 source XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) destination XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX(反向) eq 注意 华为默认没有deny any any 防火墙上端口加载ACL [Quidway-Ethernet0/0]firewall packet-filter 3000 inbound 防火墙上新增加用户 local-user XXX(用户名) password simple XXX(密码) local-user XXX service-type ppp 删除某条命令 undo(类似与cisco的no) 静态路由 ip route-static 0.0.0.0 0.0.0.0 XXX.XXX.XXX.XXX 对vpdn用户设置acl的接口 inte***ce Virtual-Template1 查看路由表 display ip routing-table 设定telnet密码 user-inte***ce vty 0 4 user privilege level 3 set authentication password simple XXX 启动/关闭 启动 un shut 关闭 shut 动态nat设置 acl number 3000 rule 0 permit ip source XXX.XXX.XXX.XXX rule 1 permit ip source XXX.XXX.XXX.XXX rule 2 permit ip source XXX.XXX.XXX.XXX inte***ce Ethernet1/0 des cription ====To-Internet(WAN)==== ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX nat outbound 3000 ipsec policy policy1 利用acl来做 符合acl的IP地址可以出去(注意 此处的ACL隐含了deny any any)不符合的IP地址不可以出去 创建vlan [shzb-crsw-s6506-1]vlan 100 华为vlan不支持name 将port放入vlan 创建了vlan后 进入vlan模式 [shzb-crsw-s6506-1-vlan100]port GigabitEthernet 1/0/1 to GigabitEthernet 1/0/8 表示从G1/0/1 到1/0/8放入VLAN 100 创建trunk inte***ce GigabitEthernet1/0/1 duplex full speed 1000 * port link-type trunk * port trunk permit vlan all port link-aggregation group 1 带*号的是创建trunk链路的语句 vlan地址指定 inte***ce Vlan-inte***ce2 des cription server ip address XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX vrrp vrid 2 virtual-ip XXX.XXX.XXX.XXX vrrp vrid 2 priority 120 vrrp vrid 2 preempt-mode timer delay 10 其中vrrp语句指定vrrp 类似与hsrp 使用vrrp要注意的是华为不支持pvst 只能一台完全是主,一台完全是备份 在主vrrp设备上要指定 stp instance 0 root primary stp TC-protection enable stp enable 在从vrrp设备上要指定 stp instance 0 root secondary stp TC-protection enable stp enable 交换机下面绑acl 首先进入接口模式,输入qos命令 [shzb-crsw-s6506-1-GigabitEthernet1/0/1]qos 在输入如下命令 [shzb-crsw-s6506-1-qoss-GigabitEthernet1/0/1]packet-filter inbound ip-group 3000 华为交换机只能指定inbound方向 启用ospf [shzb-crsw-s6506-1]ospf 100 [shzb-crsw-s6506-1-ospf-100]area 0 [shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]network XXX.XXX.XXX.XXX XXX.XXX.XXX.XXX 配置ospf重发布 [shzb-crsw-s6506-1-ospf-100-area-0.0.0.0]quit [shzb-crsw-s6506-1-ospf-100]import-route static 建立link-group(类似与cisco的channel-group) link-aggregation group 1 mode manual 然后进入接口 port link-aggregation group 1 启用VRRP之前必须输入 vrrp ping-enable 使得客户能ping网关
华为华为路由器交换机配置命令大全一、计算机命令PCAlogin:root;使用root用户password:linux;口令是linux#shutdown-hnow;关机#init 0;关机#logout;用户注销#login;用户登录#ifconfig;显示IP地址#ifconfig eth0 netmask;设置IP地址#ifconfig eht0 netmask down;禁用IP地址#route add 0.0.0.0 gw;设置网关#route del 0.0.0.0 gw;删除网关#route add default gw;设置网关#route del default gw;删除网关#route;显示网关#ping;发ECHO包#telnet;远程登录
二、华为路由器交换机配置命令:交换机命令[Quidway]dis cur;显示当前配置[Quidway]display current-configuration;显示当前配置[Quidway]display interfaces;显示接口信息[Quidway]display vlan;显示vlan信息[Quidway]display version;显示版本信息[Quidway]super password;修改特权用户密码[Quidway]sysname;交换机命名[Quidway]interface ethernet0/1;进入接口视图[Quidway]interface vlan x;进入接口视图[Quidway-Vlan-interfacex]ip address 10.65.1.1 255.255.0.0;配置VLAN的IP地址[Quidway]Ip route-static 0.0.0.0 0.0.0.0 10.65.1.2;静态路由=网关[Quidway]rip; rip协议[Quidway]local-user ftp[Quidway]user-interface vty 0 4;进入虚拟终端[S3026-ui-vty0-4]authentication-mode password;设置口令模式[S3026-ui-vty0-4]set authentication-mode password simple 222;设置口令[S3026-ui-vty0-4]user privilege level 3;用户级别[Quidway]interface ethernet0/1;进入端口模式[Quidway]int e0/1;进入端口模式[Quidway-Ethernet0/1]duplex{half|full|auto};配置端口工作状态[Quidway-Ethernet0/1]speed{10|100|auto};配置端口工作速率[Quidway-Ethernet0/1]flow-control;配置端口流控[Quidway-Ethernet0/1]mdi{across|auto|normal};配置端口平接扭接[Quidway-Ethernet0/1]portlink-type{trunk|access|hybrid};设置端口工作模式[Quidway-Ethernet0/1]port access vlan 3;当前端口加入到VLAN[Quidway-Ethernet0/2]port trunk permit vlan{ID|All};设trunk允许的VLAN[Quidway-Ethernet0/3]port trunk pvid vlan 3;设置trunk端口的PVID[Quidway-Ethernet0/1]undo shutdown;激活端口[Quidway-Ethernet0/1]shutdown;关闭端口[Quidway-Ethernet0/1]quit;返回[Quidway]vlan3;创建VLAN[Quidway-vlan3]port ethernet0/1;在VLAN中增加端口[Quidway-vlan3]port e0/1;简写方式[Quidway-vlan3]port ethernet0/1 to ethernet0/4;在VLAN中增加端口[Quidway-vlan3]port e0/1 to e0/4;简写方式[Quidway]monitor-port;指定镜像端口[Quidway]port mirror;指定被镜像端口[Quidway]port mirror int_list observing-port int_type int_num;指定镜像和被镜像[Quidway]description string;指定VLAN描述字符[Quidway]description;删除VLAN描述字符[Quidway]display vlan[vlan_id];查看VLAN设置[Quidway]stp{enable|disable};设置生成树,默认关闭[Quidway]stp priority 4096;设置交换机的优先级[Quidway]stp root{primary|secondary};设置为根或根的备份[Quidway-Ethernet0/1]stp cost 200;设置交换机端口的花费[Quidway]link-aggregation e0/1 to e0/4 ingress|端口的聚合[Quidway]undo link-aggregation e0/1|始端口为通道号[SwitchA-vlanx]isolate-user-vlan enable;设置主vlan[SwitchA]isolate-user-vlan secondary;设置主vlan包括的子vlan[Quidway-Ethernet0/2]port hybrid pvid vlan;设置vlan的pvid[Quidway-Ethernet0/2]port hybrid pvid;删除vlan的pvid[Quidway-Ethernet0/2]port hybrid vlan vlan_id_list untagged;设置无标识的vlan如果包的vlanid与PVId一致,则去掉vlan信息.默认PVID=1。所以设置PVID为所属vlanid,设置可以互通的vlan为untagged.
三、华为路由器交换机配置命令:路由器命令[Quidway]display version;显示版本信息[Quidway]display current-configuration;显示当前配置[Quidway]display interfaces;显示接口信息[Quidway]display ip route;显示路由信息[Quidway]sysname aabbcc;更改主机名[Quidway]super password 123456;设置口令[Quidway]interface serial0;进入接口[Quidway-serial0]ip address;配置端口IP地址[Quidway-serial0]undo shutdown;激活端口[Quidway]link-protocol hdlc;绑定hdlc协议[Quidway]user-interface vty 0 4[Quidway-ui-vty0-4]authentication-mode password[Quidway-ui-vty0-4]set authentication-mode password simple 222[Quidway-ui-vty0-4]user privilege level 3[Quidway-ui-vty0-4]quit[Quidway]debugging hdlc all serial0;显示所有信息[Quidway]debugging hdlc event serial0;调试事件信息[Quidway]debugging hdlc packet serial0;显示包的信息
四、华为路由器交换机配置命令:静态路由:[Quidway]ip route-static{interfacenumber|nexthop}[value][reject|blackhole]例如:[Quidway]ip route-static 129.1.0.0 16 10.0.0.2[Quidway]ip route-static 129.1.0.0 255.255.0.0 10.0.0.2[Quidway]ip route-static 129.1.0.0 16 Serial2[Quidway]ip route-static 0.0.0.0 0.0.0.0 10.0.0.2
五、华为路由器交换机配置命令:动态路由:[Quidway]rip;设置动态路由[Quidway]rip work;设置工作允许[Quidway]ri pinput;设置入口允许[Quidway]rip output;设置出口允许[Quidway-rip]network 1.0.0.0;设置交换路由网络[Quidway-rip]network all;设置与所有网络交换[Quidway-rip]peer ip-address;[Quidway-rip]summary;路由聚合[Quidway]rip version 1;设置工作在版本1[Quidway]rip version 2 multicast;设版本2,多播方式[Quidway-Ethernet0]rip split-horizon;水平分隔[Quidway]router id A.B.C.D;配置路由器的ID[Quidway]ospf enable;启动OSPF协议[Quidway-ospf]import-routedirect;引入直联路由[Quidway-Serial0]ospf enable area;配置OSPF区域
六、华为路由器交换机配置命令:标准访问列表命令格式如下:acl[match-orderconfig|auto];默认前者顺序匹配。rule[normal|special]{permit|deny}[sourcesource-addrsource-wildcard|any]例:[Quidway]acl10[Quidway-acl-10]rule normal permit source 10.0.0.0 0.0.0.255[Quidway-acl-10]rule normal deny source any
七、华为路由器交换机配置命令:扩展访问控制列表配置命令配置TCP/UDP协议的扩展访问列表:rule{normal|special}{permit|deny}{tcp|udp}source{|any}destination|any}[operate]配置ICMP协议的扩展访问列表:rule{normal|special}{permit|deny}icmpsource{|any]destination{|any][icmp-code][logging]
八、华为路由器交换机配置命令:扩展访问控制列表操作符的含义Equalport number;等于greater-thanport number;大于less-thanport number;小于not-equalport number;不等range port number1 port number2;区间
九、华为路由器交换机配置命令:扩展访问控制列表举例[Quidway]acl101[Quidway-acl-101]rule deny souce any destination any[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo[Quidway-acl-101]rule permit icmp source any destination any icmp-type echo-reply[Quidway]acl102[Quidway-acl-102]rule permit ip source 10.0.0.1 0.0.0.0 destination 202.0.0.1 0.0.0.0[Quidway-acl-102]rule deny ip source any destination any[Quidway]acl 103[Quidway-acl-103]rule permit tcp source any destination 10.0.0.1 0.0.0.0 destination-port equal ftp[Quidway-acl-103]rule permit tcp source any destination 10.0.0.2 0.0.0.0 destination-port equal www[Quidway]firewall enable[Quidway]firewall default permit|deny[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound|outbound
十、华为路由器交换机配置命令:地址转换配置举例[Quidway]firewall enable[Quidway]firewall default permit[Quidway]acl 101;内部指定主机可以进入e0[Quidway-acl-101]rule deny ip source any destination any[Quidway-acl-101]rule permit ip source 129.38.1.10 destination any[Quidway-acl-101]rule permit ip source 129.38.1.20 destination any[Quidway-acl-101]rule permit ip source 129.38.1.30 destination any[Quidway-acl-101]rule permit ip source 129.38.1.40 destination any[Quidway-acl-101]quit[Quidway]int e0[Quidway-Ethernet0]firewall packet-filter 101 inbound[Quidway]acl 102;外部特定主机和大于1024端口的数据包允许进入S0[Quidway-acl-102]rule deny ip source any destination any[Quidway-acl-102]rule permit tcp source 202.39.2.30 destination 202.38.160.10[Quidway-acl-102]rule permit tcp source any destination 202.38.160.10 destination-port great-than 1024[Quidway-acl-102]quit[Quidway]int s0[Quidway-Serial0]firewall packet-filter 102 inbound;设202.38.160.1是路由器出口IP。[Quidway-Serial0]nat outbound 101是Easyip,将acl 101允许的IP从本接口出时变换源地址。
十一、华为路由器交换机配置命令:内部服务器地址转换配置命令(静态nat):natserverglobal[port]insideport[protocol];global_port不写时使用inside_port[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp[Quidway-Serial0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp设有公网IP:202.38.160.101~202.38.160.103可以使用。;对外访问(原例题)[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1;建立地址池[Quidway]acl 1[Quidway-acl-1]rule permit source 10.110.10.0 0.0.0.255;指定允许的内部网络[Quidway-acl-1]rule deny source any[Quidway-acl-1]int serial0[Quidway-Serial0]nat outbound 1 address-group pool1;在s0口从地址池取出IP对外访问[Quidway-Serial0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp[Quidway-Serial0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp[Quidway-Serial0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp[Quidway-Serial0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp华为路由器交换机配置命令:PPP设置:[Quidway-s0]link-默认的协议
十二、华为路由器交换机配置命令:PPP验证:主验方:pap|chap[Quidway]local-userq2password{simple|cipher}路由器1[Quidway]interface serial0[Quidway-serial0]ppp authentication-mode{pap|chap}[Quidway-serial0]ppp chap user q1;pap时,没有此句 十三、华为路由交换机配置命令:pap被验方:[Quidway]interface serial0;路由器2[Quidway-serial0]ppp pap local-user q2 password{simple|cipher}hello十四、华为路由器交换机配置命令:chap被验方:[Quidway]interface serial0;路由器2[Quidway-serial0]ppp chap user q2;自己路由器名[Quidway-serial0]local-user q1 password{simple|cipher}对方路由器名帧中继frame-relay(二分册6-61)[q1]fr switching[q1]int s1[q1-Serial1]ip address 192.168.34.51 255.255.255.0[q1-Serial1]link-封装帧中继协议[q1-Serial1]fr interface-type dce[q1-Serial1]fr dlci 100[q1-Serial1]fr inarp[q1-Serial1]frmapip 192.168.34.52 dlci 100[q2]int s1[q2-Serial1]ip address 192.168.34.52 255.255.255.0[q2-Serial1]link-protocol fr[q2-Serial1]fr interface-type dte[q2-Serial1]f rdlci 100[q2-Serial1]fr inarp[q2-Serial1]fr mapip 192.168.34.51 dlci 100
十五、华为路由器交换机配置命令:帧中继监测[q1]displayfrlmi-info[]interfacetypenumber][q1]display frmap[q1]display fr pvc-info[serialinterface-number][dlcidlci-number][q1]display fr dlci-switch[q1]display fr interface[q1]reset fr inarp-info[q1]debugging fr all[interfacetype number][q1]debugging fr arp[interfacetype number][q1]debugging fr event[interfacetype number][q1]debugging fr lmi[interfacetype number] 十六、华为路由器交换机配置命令:启动ftp服务:[Quidway]local-user ftp password{simple|cipher}aaa service-type ftp[Quidway]ftp server enable
贴吧热议榜
使用签名档&&
保存至快速回贴华为路由器NAT经典配置
NAT概述NAT(Network Address
Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。
私有网络地址和公有网络地址私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。IANA(Internet
Assigned Number
Authority)规定将下列的IP地址保留用作私网地址,不在Internet上被分配,可在一个单位或公司内部使用。RFC1918中规定私有地址如下:
A类私有地址:10.0.0.0~10.255.255.255
B类私有地址:172.16.0.0~172.31.255.255
C类私有地址:192.168.0.0~192.168.255.255
NAT基本原理
内部网络的地址是10.0.0.0网段,而对外的公有网络IP地址是203.196.3.23。内部的主机10.1.1.48访问外部HTTP服务器202.18.245.251,主机10.1.1.48发出一个数据报文,随机选择一个源端口6084,目的端口为80。在经过NAT设备后,该报文的源地址和端口可能改为203.196.3.23:32814,目的地址与端口不改变。在NAT设备中维护着一张地址和端口对应表,也称为转换表项,或转换槽位,当外部网络的WWW服务器返回数据包时,NAT设备检查转换表项,将数据报文中目的IP地址及端口转化为10.1.1.48:6084。实现了内部主机10.1.1.48访问外部服务器。
路由器支持NAT类型
& 静态NAT、PAT、内部服务器、NAT ALG功能、NAT过滤、NAT映射、Easy
IP、两次NAT及NAT多实例。
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址;外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。
PAT& PAT又称为NAPT(Network
Address Port
Translation),它实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址。PAT的基本原理是将不同私网地址的报文的源IP地址转换为同一公网地址,但他们被转换为该地址的不同端口号,因而仍然能够共享同一地址。
PAT需要维护一张私网地址和端口的映射表。当不同的私网地址向外发送报文时,PAT将报文的源IP地址替换为相同公网地址,但源端口号被替换为不同的端口号;当外部网络向内部网络发送响应报文时,PAT根据报文的目的端口号,将报文的目的IP地址替换为不同的私网地址,如下图
内部服务器&
通过配置内部服务器,可将相应的外部地址、端口等映射到内部的服务器上,提供了外部网络主机访问内部服务器的功能例如可以使用202.110.10.10作为Web服务器的外部地址,使用202.110.10.11作为FTP服务器的外部地址,甚至还可以使用202.110.10.12:8080这样的地址作为Web的外部地址。还可为外部用户提供多台同样的服务器,如提供多台Web服务器。
NAT过滤是指NAT设备对外网发到内网的流量进行过滤,即当私网主机向某公网主机发起访问后,公网主机发向私网主机的流量经过NAT设备时会进行过滤。
当进行地址转换时,直接使用接口的公有IP地址作为转换后的源地址。同样它也利用访问控制列表控制哪些内部地址可以进行地址转换。
地址转换应用层网关&
地址转换会导致许多对NAT敏感的应用协议无法正常工作,必须针对该协议进行特殊的处理。所谓对NAT敏感的协议是指该协议的某些报文的有效载荷中携带IP地址和(或)端口号,如果不进行特殊处理,将会影响后继的协议交互。
& 地址转换应用层网关NAT ALG(NAT Application Level
Gateway)是解决特殊协议穿越NAT的一种常用方式,该方法按照地址转换规则,对载荷中的IP地址和端口号进行替换,从而实现对该协议的透明中继。NAT
ALG支持DNS、FTP协议、RTSP(Real-Time Streaming Protocol )和SIP(Session
Initiation Protocol )如下图:
& 常规地址转换技术只转换报文的源地址或目的地址,而两次NAT(Twice
NAT)技术可以将报文的源地址和目的地址同时转换,该技术应用于内部网络主机地址与公网上主机地址重叠的情况。如图所示:内部网络主机PC1和公网上主机PC3的地址重叠。这种情况下,内部网络主机PC2访问主机PC3的报文不会到达目的主机,而会被错误的转发到主机PC1上。两次NAT技术通过在NAT设备上配置重叠地址池到临时地址的映射关系(在实现常规NAT的基础上),将重叠地址转换为唯一的临时地址,来保证报文的正确转发。
在NAT设备上配置两次NAT:
第一步:配置常规NAT(多对多地址转换)。配置NAT地址池200.0.0.1~200.0.0.100,并应用到广域网接口。
第二步:配置一组重叠地址到临时地址的映射。10.0.0.0&--&3.0.0.0。
此映射表示,重叠地址池与临时地址池一一对应,转换规则为:
临时地址 = 临时地址池首地址 +(重叠地址 & 重叠地址池首地址)
重叠地址 = 重叠地址池首地址 +(临时地址 & 临时地址池首地址)
当内部主机PC2直接用域名访问公网上的主机PC3时,报文的处理流程如下:
PC2发送解析域名为的Web服务器的DNS请求,经公网DNS服务器解析后,NAT设备收到DNS服务器的响应报文。NAT设备检查DNS响应报文载荷中的解析回来的地址10.0.0.1,经检查该地址为重叠地址(与重叠地址池匹配),将地址10.0.0.1转换为对应的临时地址3.0.0.1。之后再对DNS响应报文进行目的地址转换(常规NAT处理),发送给PC2。
PC2用对应的临时地址3.0.0.1发起访问,当报文到达NAT设备时,先转换报文的源地址(常规NAT处理),再将报文的目的地址即临时地址,转换为对应的重叠地址10.0.0.1。将报文送到广域网出接口,并经广域网逐跳转发至主机PC3。
当PC3给PC2返回的报文到NAT设备时,先检查报文的源地址10.0.0.1,该地址为重叠地址(与重叠地址池匹配),则将源地址转换为对应的临时地址3.0.0.1。之后再对返回报文的目的地址进行常规NAT转换,并发送给PC2。
VPN关联的源NAT&&
华为路由器的NAT不仅可以使内部网络的用户访问外部网络,还允许分属于不同VPN的用户通过同一个出口访问外部网络,能够解决内部网络中IP地址重叠的VPN同时访问外网主机的问题。
VPN关联的NAT
华为路由器的NAT支持VPN关联的NAT
server,提供给外部网络访问VPN内主机的机会,能够支持内网多个VPN地址重叠的场景。
实验拓扑如下:
NAT Outbound配置实例:
system-view
[GW]nat address-group 0 202.100.1.100 202.100.1.200
[GW]acl number 2000
[GW-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[GW-GigabitEthernet0/0/0]int g0/0/1
[GW-GigabitEthernet0/0/1] nat outbound 2000 address-group 0
注:no-pat表示一对一转换,只转换地址,不转换端口,直接回车表示IP和端口都做转换。
telnet 202.100.1.1
& Press CTRL_] to quit telnet mode
& Trying 202.100.1.1 ...
& Connected to 202.100.1.1 ...
Login authentication
display users
User-Intf&&&
Type&& Network
Address&&&&
AuthenStatus&&&
AuthorcmdFlag
00:00:00&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
pass&&&&&&&&&&&&&&&&&&&&
Username : Unspecified
& 129 VTY 0&&
202.100.1.101&&&&&&&&&&&&
pass&&&&&&&&&&&&&&&&&&&&
Username : Unspecified
display nat
outbound&&&&
&NAT Outbound Information:
&--------------------------------------------------------------------------
&Interface&&&&&&&&&&&&&&&&&&&&
Address-group/IP/Interface&&&&&
&--------------------------------------------------------------------------
&GigabitEthernet0/0/1&&&&&&&&
2000&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&--------------------------------------------------------------------------
& Total : 1
display nat session
====查看转换表项
& NAT Session Table Information:
Protocol&&&&&&&&&
SrcAddr& Port Vpn :
192.168.1.1&&&&
59335&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
DestAddr Port Vpn :
202.100.1.1&&&&
5888&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
SrcAddr&&&&
: 202.100.1.101
SrcPort&&&&
New DestAddr&&&
New DestPort&&&
[GW]reset nat session
===清除转换表项
Warning:The current all NAT sessions will be deleted.
Are you sure to continue?[Y/N]y
Easy IP配置实例:[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 2000
telnet 202.100.1.1
& Press CTRL_] to quit telnet mode
& Trying 202.100.1.1 ...
& Connected to 202.100.1.1 ...
Login authentication
display users
User-Intf&&&
Type&& Network
Address&&&&
AuthenStatus&&&
AuthorcmdFlag
00:00:00&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
pass&&&&&&&&&&&&&&&&&&&&
Username : Unspecified
& 129 VTY 0&&
202.100.1.10&&&&&&&&&&&&&
pass&&&&&&&&&&&&&&&&&&&&
Username : Unspecified
display nat session all
& NAT Session Table Information:
Protocol&&&&&&&&&
SrcAddr& Port Vpn :
192.168.1.1&&&&
54467&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
DestAddr Port Vpn :
202.100.1.1&&&&
5888&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
SrcAddr&&&&
: 202.100.1.10&&
SrcPort&&&&
New DestAddr&&&
New DestPort&&&
& Total : 1
静态NAT配置实例:[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat static global 202.100.1.100 inside
172.16.1.1
注:配置静态NAT时,其中的global-address和host-address必须保证和设备现有地址没有重复,包括设备接口地址,用户地址池地址等,以避免冲突。
display nat static
& Static Nat Information:
& Interface& :
GigabitEthernet0/0/1
&&& Global
IP/Port&&&&
: 202.100.1.100/----
&&& Inside
IP/Port&&&&
: 172.16.1.1/----
&&& Protocol :
instance-name& :
----&&&&&&&&&&&&&&&&&&&&&&&&&&&
number&&&&&&&&
Netmask& : 255.255.255.255
&&& Description
内部服务器配置实例:[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat static protocol tcp global
202.100.1.100 2121& inside 172.16.1.1 21
[GW-GigabitEthernet0/0/1]nat static protocol tcp global
202.100.1.100 80 inside 172.16.1.1 80
NAT ALG配置实例:[GW]nat alg ?
& all&& All
& dns&& Dns
& ftp&& Ftp
& rtsp& Rtsp protocol
& sip&& Sip
过滤配置实例:&&
NAT过滤是指NAT设备对外网发到内网的流量进行过滤,即当私网主机向某公网主机发起访问后,公网主机发向私网主机的流量经过NAT设备时会进行过滤。
NAT过滤包括三种类型:
a.与外部地址和端口无关的NAT过滤行为。
b.与外部地址相关端口无关的NAT过滤行为。
c.与外部地址和端口都相关的NAT过滤行为。
[GW]nat filter-mode ?
& endpoint-and-port-dependent&
Endpoint and port dependent
endpoint-dependent&&&&&&&&&&
Endpoint dependent
endpoint-independent&&&&&&&&
Endpoint independent
缺省采用endpoint-and-port-dependent方式,表示查询NAT反向映射表时,以“源IP+源端口+目的IP+目的端口+协议号”作索引进行匹配。
NAT映射配置实例:配置NAT映射可以满足使用STUN、TURN、ICE等NAT穿越技术的终端软件能够穿越NAT。
NAT映射包含如下三种类型:
a.外部地址和端口无关的映射:对相同的内部IP和端口重用相同的地址端口映射。
b.外部地址相关端口无关的映射:对相同的内部IP地址和端口访问相同的外部IP地址时重用相同的端口映射。
c.外部地址和端口相关的映射:对相同的内部IP地址和端口号访问相同的外部IP地址和端口号重用相同的端口映射(如果此映射条目还处在活动状态)。
[GW]nat mapping-mode endpoint-independent ?
Transmission Control Protocol
& udp&& User
Datagram Protocol
& & Please press ENTER to execute
配置Twice NAT实例:
如图:内部网络主机PC1和公网上主机Host A的地址重叠。这种情况下,内部网络主机PC2访问主机Host
A的报文不会到达目的主机,而有可能会被错误的转发到主机PC1上。两次NAT技术通过在NAT设备上配置重叠地址池到临时地址池的映射关系(在实现常规NAT的基础上),将重叠地址转换为唯一的临时地址,来保证报文的正确转发。
1.配置DNS-Mapping
[Huawei] nat alg dns enable
[Huawei] nat dns-map
192.168.20.2 80 tcp
2.配置重叠地址池到临时地址池的映射关系
[Huawei] nat overlap-address 0 192.168.20.2 202.169.100.2
pool-length 254
3.配置临时地址池到出接口GigabitEthernet3/0/0的静态路由
[Huawei] ip route-static 202.169.100.2 32 gigabitethernet 3/0/0
202.169.10.2
4.配置NAT Outbound
[Huawei]acl 3180
[Huawei-acl-adv-3180] rule permit ip source 192.168.20.0
[Huawei]nat address-group 1 160.160.0.2 160.160.0.254
[Huawei-GigabitEthernet3/0/0] nat outbound 3180 address-group
[Huawei] display nat overlap-address all
Nat Overlap Address Pool To Temp Address Pool Map
Information:
&-------------------------------------------------------------------------------
Overlap-Address&
Temp-Address&&&
Pool-Length&&&&&&
Inside-VPN-Instance-Name
&-------------------------------------------------------------------------------
192.168.20.2&&&&
202.169.100.2&&
254&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&
&-------------------------------------------------------------------------------
配置NAT日志输出&&
配置NAT日志输出功能可以实时跟踪、记录NAT流表的信息,增强网络的安全性,方便用户定位通过NAT访问网络的用户。NAT日志是设备在做NAT时生成的信息记录。该信息包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的源IP地址、转换后的源端口以及NAT的时间信息和用户执行的操作等。网络管理员可以通过查看NAT日志实时跟踪或定位用户通过NAT访问网络的情况,增强了网络的安全性。如下图:
[GW]firewall log session enable&
===启用防火墙日志功能。
[GW]firewall log session nat enable&
===启用NAT类型的流日志功能。
[GW]info-center enable& ===开启信息中心。
[GW]info-center loghost 192.168.1.100&
===配置log主机,最多可以配置8个。
已投稿到:
以上网友发言只代表其个人观点,不代表新浪网的观点或立场。
