适用于V200R003C01以后版本所有形态的AR路由器。
组网需求
如图1所示,公司的内网部署了一台服务器,希望内网用户和外网用户都可以通过一个外网IP地址访问该服务器。公司为该服务器规划的内网IP地址为192.168.1.2/24,外网IP地址为11.11.11.6/8。路由器的公网口GE2/0/0的IP地址为11.11.11.1/8,LAN侧网关IP地址为192.168.1.1/24,外网主机IP地址为1.1.1.1/8,需要访问内网服务器的内网主机IP为192.168.1.3/24。
图1 配置私网用户通过非公网口的IP地址访问内部服务器
操作步骤
Router的配置
acl number 3000//用于内部主机直接使用11.11.11.6访问服务器,只有内网发起的服务才会在GE1/0/0上进行NAT rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 0 # interface GigabitEthernet1/0/0 ip address 192.168.1.1 255.255.255.0 nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255//配置内网服务器地址的一对一NAT nat outbound 3000//内网用户直接访问11.11.11.6时做Easy IP,将源地址改为GE1/0/0的地址,保证内网服务器和主机间的交互都经过Router转发 # interface GigabitEthernet2/0/0 ip address 11.11.11.1 255.0.0.0 nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255//保证外网用户使用11.11.11.6可以访问内网服务器 # ip route-static 0.0.0.0 0.0.0.0 11.11.11.2//配置缺省路由,保证内网用户与外网互通 # return验证配置结果# 内网用户和外网用户可以通过公网地址11.11.11.6正常访问内网服务器。
配置注意事项
配置ACL,确定对哪些网段进行NAT转换。
如果用户只被分配到一个公网IP(11.11.11.6),并且只需要通过NAT转换某些协议报文,可做如下处理:
在Router上配置Loopback口作为网关出口,配置Loopback口IP地址为11.11.11.6/8。
在系统视图下执行命令nat static protocol { tcp | udp } global interface loopback interface-number global-port inside host-address [ netmask mask ]配置全局NAT进行转换。
对于V200R008C00及之后的版本,如果配置了NAT ALG功能,则需要将ACL规则(acl number 3000)中的目的地址改为服务器的内网地址:rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0。
本次配置示例没有给出AR的配置,请用户根据实际情况自行配置。