华为NAT综合配置
华为NAT综合配置策略说明:1、PC1 能不能访问internet
2、PC2 可以访问internet
3、SERVER1 为internet提供HTTP服务 不提供FTP服务
4、PC2 可以访问SERVER2的HTTP和FTP
5、PC4 可以访问SERVER1的HTTP
6、要求,SERVER2 被访问的地址是200.1.1.3,PC2上网使用EasyIP方式完成
Gateway
<Huawei>system-view
sysname gatewayinterface GigabitEthernet 0/0/0ip address 200.1.1.2 29
quitinterface GigabitEthernet 0/0/1ip address 192.168.1.1 24
quit
ip route-static 0.0.0.0 0 200.1.1.1//配置默认路由
display ip routing-table
ping 100.1.1.1
acl 2000//创建访问控制列表2000
rule permit source 192.168.1.0 0.0.0.255 //规则 允许 源 放通全部IP
quit
nat outbound 2000//NAT调用ACL配置EASYIP
display this
quitdisplay nat outboundinterface GigabitEthernet 0/0/0
rule 3 deny source 192.168.1.100 0.0.0.0//插入规则3 拒绝源 访问公网
PS:由于GE 0/0/0端口调用ACL
2000策略做NAT转换,这里在ACL2000插入配置3拒绝了.100的PC通过,所以PC1的内网IP不会被做NAT转换,也就无法连入internet。
disp this
quit
nat server protocol tcp global 200.1.1.3 80inside 192.168.1.150 80 //
创建NAT服务 TCP协议 公网地址
私网地址 进行内网地址映射到外网地址 端口号为80
display this
#
interface GigabitEthernet0/0/0
ip address 200.1.1.2 255.255.255.248
nat server protocol tcp global 200.1.1.3 www inside 192.168.1.150 wwwnat outbound 2000
映射后,模拟公网PC4访问内网SERVER1 成功。
由于没有映射SERVER的FTP端口,所以公网PC4是无法访问SERVER1的FTP业务的。
如果现在SERVER1 又想对公网用户提供FTP业务如何操作:
interface GigabitEthernet 0/0/0
nat server protocol tcp global 200.1.1.3 ftpinside 192.168.1.150 ftp//
增加NAT服务 映射FTP业务(端口为21)
display this
#
interface
GigabitEthernet0/0/0
ip address 200.1.1.2 255.255.255.248
nat server protocol tcp global 200.1.1.3 www inside 192.168.1.150 www
nat server protocol tcp global 200.1.1.3 ftp inside 192.168.1.150 ftp
nat outbound 2000
#return
页:
[1]
