CTO下载NAT应用组网配置分析.ppt

案例一之组网分析 案例一之实现流程（NAT Outbound） 案例一之实现流程（NAT Server） 案例一之配置分析 案例一之配置分析（续） 案例二之组网分析 案例二之实现流程 案例二之配置分析 案例三之组网分析 案例三之实现流程 案例三之配置分析 NAT Server排错案例之真实组网情况 NAT Server排错案例之遇到问题说明 NAT Server排错案例之问题原因解析 NAT Server排错案例之解决方案 NAT Server排错案例之正确流程 NAT+ACL案例之网络拓扑 NAT+ACL案例之组网需求 NAT+ACL案例之配置分析一 NAT+ACL案例之配置分析二 NAT+ACL案例之配置分析三 NAT+ACL案例之配置分析三（续） NAT+ACL案例之配置分析四 NAT应用组网配置分析 H3C北京办事处 何楠 NAT基础配置案例分析 NAT+ACL综合组网分析 NAT Server组网排错分析 组网需求： 用户使用最简单的组网方案：服务器放在DMZ区域，普通用户在trust区域。服务器提供FTP服务，普通用户能上公网。 需求分析： 普通用户要上公网，在外网口作NAT Outbound，将私网地址转换成公网地址后上Internet； 服务器要提供服务，在外网口作NAT Server，外网用户访问公网地址，路由器映射为Server的私网地址后进入内网。 路由器 Internet Server Trust Untrust DMZ Eth0/0:/24 Eth1/1:/24 Eth1/0:/24 SrcIP： SrcIP： 注意：路由器进行目的地址转换 路由器 Internet Trust Untrust DMZ Eth0/0:/24 Eth1/1:/24 Eth1/0:/24 DesIP：00 ftp DesIP：00 ftp 注意：根据协议类型进行目的地址映射 Server 注：Server发送的回应报文在路由器上通过匹配原报文触发建立的NAT Session表进行地址转换 //定义NAT Outbound转换的数据流 acl number 2000 rule 0 permit source 55 rule 1 deny //在出接口配置NAT Outbound和NAT Server interface Ethernet1/1 ip address nat outbound 2000（使用接口IP作为转换后的IP） nat server protocol tcp global 00 ftp inside 00 ftp 如果使用其它单个的公网IP作为转换后的IP： 在全局上添加配置： nat static inside ip 00 global ip 00然后在接口下配置： interface Ethernet1/1 nat outbound static 如果使用地址池作为转换后的： 在全局上添加配置： nat address-group 0 ? 然后在接口下配置： interface Ethernet1/1 nat outbound 2000 address-group 0? 组网需求： 作了案例一的配置后，内网用户只能通过私网地址00访问服务器，现在需要通过该服务器对外的公网地址或者该公网地址对应的域名访问。 需求分析： 目前不能使内网用户同时通过私网和公网地址访问在DMZ的服务器。 如果客户只想通过统一的公网地址访问服务器，则只需要在内网口加上和外网口一样的NAT Server配置即可。但是这样更改后，内网用户不能通过服务器的私网地址访问了。 路由器 Internet Trust Untrust DMZ Eth0/0:/24 Eth1/1:/24 Eth1/0:/24 DesIP：00 ftp DesIP：00 ftp 注意：根据协议类型进行目的地址映射 Server //在案例一的配置基础上在内网口上添加NAT Server配置 interface Ethernet0/0 (内网口)