nat.docVIP

4.5? NAT配置举例 4.5.1? 典型NAT配置举例 1. 组网需求 如下图所示，一个公司通过SecPath防火墙的地址转换功能连接到广域网。要求该公司能够通过防火墙Ethernet3/0/0访问Internet，公司内部对外提供WWW、FTP和SMTP服务，而且提供两台WWW的服务器。公司内部网址为/16。其中，内部FTP服务器地址为，内部WWW服务器1地址为，内部WWW服务器2地址为，内部SMTP服务器地址为，并且希望可以对外提供统一的服务器的IP地址。内部/24网段可以访问Internet，其它网段的PC机则不能访问Internet。外部的PC可以访问内部的服务器。公司具有00至 05六个合法的IP地址。 选用00作为公司对外的IP地址，WWW服务器2对外采用8080端口。 2. 组网图 图4-4 3. 配置步骤 # 配置地址池和访问控制列表，允许/24网段进行地址转换。 [H3C] nat address-group 1 01 05 [H3C] acl number 2001 [H3C-acl-basic-2001] rule permit source 55 [H3C-acl-basic-2001] rule deny source 55 [H3C-acl-basic-2001] quit [H3C] interface Ethernet3/0/0 [H3C-Ethernet3/0/0] nat outbound 2001 address-group 1 # 设置内部FTP服务器。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside ftp # 设置内部WWW服务器1。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside www # 设置内部WWW服务器2。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 8080 inside www # 设置内部SMTP服务器。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside smtp 4.5.2? 使用loopback接口地址进行地址转换典型配置举例 1. 组网需求 如下图所示，公司通过SecPath防火墙的Ethernet3/0/0接口访问internet，内部/24网段可以访问Internet，其它网段的PC机则不能访问Internet，内部/24网段使用loopback接口IP地址06做为地址转换后IP地址。公司内部对外提供WWW、FTP和SMTP服务，三个服务器对外使用统一的服务器IP地址00。 2. 组网图 图4-5 3. 配置步骤 # 配置访问控制列表。 [H3C] acl number 2001 [H3C-acl-basic-2001] rule permit source 55 [H3C-acl-basic-2001] rule deny source 55 [H3C-acl-basic-2001] quit # 配置loopback接口 [H3C] interface loopback0 [H3C-LoopBack0] ip address 06 32 [H3C-LoopBack0] quit # 设置内部FTP服务器。 [H3C] interface Ethernet3/0/0 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside ftp # 设置内部WWW服务器1。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside www # 设置内部WWW服务器2。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 8080 inside www # 设置内部SMTP服务器。 [H3C-Ethernet3/0/0] nat server protocol tcp global 00 inside smtp # 配置使用loopback接口作为转换后的IP地址。 [H3C-Ethernet3/0/0] nat outbound 2001 interface loopback 0 4.5.3? 静态网段地址转换典型组网应用 1. 组网需求 私网A的网络地址为/24网段，私网B的网络地址也为/24网段。假设PC1的地址为，PC2的地址也是。SecPathA的广域网接口IP