网关设备一般都具有NAT功能,分别为源地址NAT、目标地址NAT,这两种功能应用比较普遍,各厂商都有很标准的实现方式。但是对于“内网主机通过外网地址访问内网服务器”这一场景,各厂商的实现不通,下面就这个场景,分别说一下各厂商的实现。
1.华为
2.华三
内网用户通过NAT地址访问内网服务器
1组网需求
· 某公司内部网络中有一台FTP服务器,地址为192.168.1.4/24。
· 该公司拥有两个外网IP地址:202.38.1.1和202.38.1.2。
需要实现如下功能:
· 外网主机可以通过202.38.1.2访问内网中的FTP服务器。
· 内网主机也可以通过202.38.1.2访问内网中的FTP服务器。
2组网图
图1-12 内网用户通过NAT地址访问内网服务器
3配置思路
该需求为典型的C-S模式的NAT hairpin应用,具体配置思路如下。
· 为使外网主机可以通过外网地址访问内网FTP服务器,需要在外网侧接口配置NAT内部服务器。
· 为使内网主机通过外网地址访问内网FTP服务器,需要在内网侧接口使能NAT hairpin功能。其中,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成,本例中采用出方向动态地址转换配置。
4 配置步骤
按照组网图配置各接口的IP地址,具体配置过程略。
配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换。
<Router> system-view
[Router] acl number 2000
[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255
[Router-acl-basic-2000] quit
在接口GigabitEthernet2/1/2上配置NAT内部服务器,允许外网主机使用地址202.38.1.2访问内网FTP服务器,同时使得内网主机访问内网FTP服务器的报文可以进行目的地址转换。
[Router] interface gigabitethernet 2/1/2
[Router-GigabitEthernet2/1/2] nat server protocol tcp global 202.38.1.2 inside 192.168.1.4 ftp
在接口GigabitEthernet2/1/2上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网FTP服务器的报文可以使用接口GigabitEthernet2/1/2的IP地址进行源地址转换。
[Router-GigabitEthernet2/1/2] nat outbound 2000
[Router-GigabitEthernet2/1/2] quit
在接口GigabitEthernet2/1/1上使能NAT hairpin功能。
[Router] interface gigabitethernet 2/1/1
[Router-GigabitEthernet2/1/1] nat hairpin enable
[Router-GigabitEthernet2/1/1] quit
3.山石网科
原文地址:https://blog.51cto.com/xueyue8/2373189