虹之玉锦

注册

 

返回列表
发新话题 回复该主题
查看: 11|回复: 0

配置公网和私网用户通过非公网口的IP地址 [复制链接]

TUhjnbcbe
头像

TUhjnbcbe

  • 新手上路
  • 1
  • 12
  • 2020-03-27
1#
t T
发表于 2023-03-10 19:37 |只看楼主
组网需求

如图1所示,某小型企业内网部署了一台路由器、一台FTP服务器和一台Web服务器。路由器作为接入网关,为下挂的内网用户提供上网服务,主要包括浏览网页、使用即时通信工具、观看视频、访问邮箱等。企业内网的FTP/Web服务器对内网和外网用户分别提供FTP服务和WWW服务。该企业有两个公网IP地址,一个1.1.1.1/2部署在网关上行接口,另一个1.1.1.3/2预留给内部FTP/Web服务器使用。企业希望在路由器上配置NAT功能,使内网用户可以访问Internet,同时外网和内网用户都可以通过预留的公网IP地址访问内部FTP/Web服务器。

图1配置公网和私网用户通过非公网口的IP地址访问内部FTP/Web服务器和Internet

数据准备表1数据准备表

项目

数据

说明

路由器上行接口IP地址

GE0/0/0

:1.1.1.1/2(公网口)

使用三层接口GE0/0/0连接Internet。

路由器下行接口IP地址

GE0/0/1

:..1.1/2

使用三层接口GE0/0/1连接企业内网用户。如果有多个内网用户需要上网,可以在路由器上下挂一个二层交换机来扩展用户个数。

对端运营商接口的IP地址

1.1.1.2/2

对端运营商接口的IP地址用于配置路由信息,否则内网用户上网的报文无法转发到Internet。

FTP服务器的内网IP地址和端口号

Web服务器的内网IP地址和端口号

..1.2/2:21

..1.3/2:80

企业内网分配给FTP/Web服务器的内网IP地址和端口号。本例中,虽然内网用户和FTP/Web服务器都在内网,但是为了防止内部服务器受内网用户的攻击,要求内网用户也通过预留的公网IP地址来访问FTP/Web服务器。

FTP服务器映射后的公网IP地址和端口号

Web服务器映射后的公网IP地址和端口号

1.1.1.3/2:21

1.1.1.3/2:

该企业预留了一个公网IP地址1.1.1.3/2给内部FTP/Web服务器使用。因此,可以使用该公网IP地址作为FTP/Web服务器映射后的公网IP地址。同时,需要规划不同的公网端口号21和来区分FTP/Web服务器。

内网用户HostA的IP地址

..1.10/2

企业内部分配给用户的内网IP地址,用于验证内网用户访问Internet、FTP和Web服务器是否正常。

外网用户HostC的IP地址

2.2.2.2/2

外部用户的公网IP地址,用于验证外网用户访问内网的FTP/Web服务器是否正常。

配置思路

配置路由器的接口IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。

在路由器的上行接口配置EasyIP方式的NATOutbound,实现内网用户访问Internet功能。

在路由器的上行接口配置服务器映射NATStatic,实现外网用户访问内部FTP/Web服务器功能。

在路由器上,开启FTP的NATALG功能。FTP协议是一个多通道协议,需要配置NATALG功能,否则报文无法穿越NAT,HTTP协议不需要配置NATALG功能。

在路由器的下行接口配置服务器映射NATStatic和EasyIP方式的NATOutbound,将内部服务器与内网PC之间的流量都引到路由器上进行转发,实现内网用户通过预留的公网IP地址访问FTP/Web服务器功能。

操作步骤

配置Router的接口IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。

配置上行接口和下行接口的IP地址。

Huaweisystem-view[Huawei]sysnameRouter[Router]interfacegigabitethernet0/0/0//有些二层接口需要切换成三层接口后,才可以配置IP地址[Router-GigabitEthernet0/0/1]ipaddss1.1.1.12[Router-GigabitEthernet0/0/1]quit[Router]interfacegigabitethernet0/0/1//下行接口如果不是三层接口,这里可以使用VLANIF接口代替[Router-GigabitEthernet0/0/2]ipaddss..1.12[Router-GigabitEthernet0/0/2]quit

配置缺省路由,下一跳为对端运营商接口的IP地址,保证内网用户上网的报文可以到达Internet。

[Router]iproute-static0.0.0.00.0.0.01.1.1.2

在Router的上行接口配置EasyIP方式的NATOutbound,使内网用户可以访问Internet。

[Router]acl[Router-acl-adv-]rule5permitipsource..1.00.0.0.//只允许..1.0网段的用户访问Internet[Router-acl-adv-]quit[Router]interfacegigabitethernet0/0/0[Router-GigabitEthernet0/0/1]natoutbound[Router-GigabitEthernet0/0/1]quit

在Router的上行接口配置服务器映射NATStatic,实现外网用户通过预留的公网IP地址访问内部FTP/Web服务器功能。

[Router]interfacegigabitethernet0/0/0[Router-GigabitEthernet0/0/1]natstaticprotocoltcpglobal1.1.1.inside..1.//使用预留的IP地址进行NAT转换,供外网用户访问[Router-GigabitEthernet0/0/1]natstaticprotocoltcpglobal1.1.1.3inside..1.//对于知名端口号,可以配置成80,也可以配置成它代表的应用
分享 转发
TOP
上一主题| 下一主题
返回列表
发新话题 回复该主题
高级编辑器高级编辑器