配置公网和私网用户通过非公网口的IP地址访问内部服务器和Internet示例

组网需求

如配置公网和私网用户通过非公网口的IP地址访问内部服务器和Internet示例所示,某小型企业内网部署了一台路由器、一台FTP服务器和一台Web服务器。路由器作为接入网关,为下挂的内网用户提供上网服务,主要包括浏览网页、使用即时通信工具、观看视频、访问邮箱等。企业内网的FTP/Web服务器对内网和外网用户分别提供FTP服务和WWW服务。该企业有两个公网IP地址,一个1.1.1.1/24部署在网关上行接口,另一个1.1.1.3/24预留给内部FTP/Web服务器使用。企业希望在路由器上配置NAT功能,使内网用户可以访问Internet,同时外网和内网用户都可以通过预留的公网IP地址访问内部FTP/Web服务器。

图1 配置公网和私网用户通过非公网口的IP地址访问内部FTP/Web服务器和Internet

数据准备
表1 数据准备表

项目

数据

说明

路由器上行接口IP地址

GE0/0/1:1.1.1.1/24(公网口)

使用三层接口GE0/0/1连接Internet。

路由器下行接口IP地址

GE0/0/2:192.168.1.1/24

使用三层接口GE0/0/2连接企业内网用户。如果有多个内网用户需要上网,可以在路由器上下挂一个二层交换机来扩展用户个数。

对端运营商接口的IP地址

1.1.1.2/24

对端运营商接口的IP地址用于配置路由信息,否则内网用户上网的报文无法转发到Internet。

FTP服务器的内网IP地址和端口号

Web服务器的内网IP地址和端口号

192.168.1.2/24:21

192.168.1.3/24:80

企业内网分配给FTP/Web服务器的内网IP地址和端口号。本例中,虽然内网用户和FTP/Web服务器都在内网,但是为了防止内部服务器受内网用户的攻击,要求内网用户也通过预留的公网IP地址来访问FTP/Web服务器。

FTP服务器映射后的公网IP地址和端口号

Web服务器映射后的公网IP地址和端口号

1.1.1.3/24:21

1.1.1.3/24:9080

该企业预留了一个公网IP地址1.1.1.3/24给内部FTP/Web服务器使用。因此,可以使用该公网IP地址作为FTP/Web服务器映射后的公网IP地址。同时,需要规划不同的公网端口号21和9080来区分FTP/Web服务器。

内网用户HostA的IP地址

192.168.1.10/24

企业内部分配给用户的内网IP地址,用于验证内网用户访问Internet、FTP和Web服务器是否正常。

外网用户HostC的IP地址

2.2.2.2/24

外部用户的公网IP地址,用于验证外网用户访问内网的FTP/Web服务器是否正常。

配置思路
  1. 配置路由器的接口IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。
  2. 在路由器的上行接口配置Easy IP方式的NAT Outbound,实现内网用户访问Internet功能。
  3. 在路由器的上行接口配置服务器映射NAT Static,实现外网用户访问内部FTP/Web服务器功能。
  4. 在路由器上,开启FTP的NAT ALG功能。FTP协议是一个多通道协议,需要配置NAT ALG功能,否则报文无法穿越NAT,HTTP协议不需要配置NAT ALG功能。
  5. 在路由器的下行接口配置服务器映射NAT Static和Easy IP方式的NAT Outbound,将内部服务器与内网PC之间的流量都引到路由器上进行转发,实现内网用户通过预留的公网IP地址访问FTP/Web服务器功能。

操作步骤
  1. 配置Router的接口IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。
    1. 配置上行接口和下行接口的IP地址。

      <Huawei> system-view
      [Huawei] sysname Router
      [Router] interface gigabitethernet 0/0/1 
      [Router-GigabitEthernet0/0/1] undo portswitch       //有些二层接口需要切换成三层接口后,才可以配置IP地址
      [Router-GigabitEthernet0/0/1] ip address 1.1.1.1 24  
      [Router-GigabitEthernet0/0/1] quit       
      [Router] interface gigabitethernet 0/0/2         //下行接口如果不是三层接口,这里可以使用VLANIF接口代替
      [Router-GigabitEthernet0/0/2] undo portswitch
      [Router-GigabitEthernet0/0/2] ip address 192.168.1.1 24  
      [Router-GigabitEthernet0/0/2] quit

    2. 配置缺省路由,下一跳为对端运营商接口的IP地址,保证内网用户上网的报文可以到达Internet。

      [Router] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

  2. 在Router的上行接口配置Easy IP方式的NAT Outbound,使内网用户可以访问Internet。

    [Router] acl 3000
    [Router-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 //只允许192.168.1.0网段的用户访问Internet
    [Router-acl-adv-3000] quit
    [Router] interface gigabitethernet 0/0/1
    [Router-GigabitEthernet0/0/1] nat outbound 3000 
    [Router-GigabitEthernet0/0/1] quit

  3. 在Router的上行接口配置服务器映射NAT Static,实现外网用户通过预留的公网IP地址访问内部FTP/Web服务器功能。

    [Router] interface gigabitethernet 0/0/1
    [Router-GigabitEthernet0/0/1] nat static protocol tcp global 1.1.1.3 21 inside 192.168.1.2 21  //使用预留的IP地址进行NAT转换,供外网用户访问
    [Router-GigabitEthernet0/0/1] nat static protocol tcp global 1.1.1.3 9080 inside 192.168.1.3 80   //对于知名端口号,可以配置成80,也可以配置成它代表的应用www 
    [Router-GigabitEthernet0/0/1] quit

  4. 在Router上开启FTP的NAT ALG功能。

    [Router] nat alg ftp enable

  5. 在Router的下行接口配置Easy IP方式的NAT Outbound,将内部服务器与内网PC之间的流量都引到路由器上进行转发。

    [Router] acl 3001
    [Router-acl-adv-3001] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1.1.1.3 0   //只有内部主机使用公网IP地址访问服务器的流量,才会引到Router上进行NAT转换 
    [Router-acl-adv-3001] quit
    [Router] interface gigabitethernet 0/0/2
    [Router-GigabitEthernet0/0/2] nat outbound 3001 
    [Router-GigabitEthernet0/0/2] quit

  6. 在Router的下行接口配置服务器映射NAT Static,实现内网用户通过预留的公网IP地址访问内部FTP/Web服务器功能。

    [Router] interface gigabitethernet 0/0/2
    [Router-GigabitEthernet0/0/2] nat static protocol tcp global 1.1.1.3 21 inside 192.168.1.2 21   //使用预留的IP地址进行NAT转换,供内网用户访问
    [Router-GigabitEthernet0/0/2] nat static protocol tcp global 1.1.1.3 9080 inside 192.168.1.3 80
    [Router-GigabitEthernet0/0/2] quit
    [Router] quit

  7. 验证配置结果。
    1. 在Router上执行命令display nat outbound,查看动态NAT地址池配置。

      <Router> display nat outboundNAT Outbound Information:                                                      --------------------------------------------------------------------------     Interface                     Acl     Address-group/IP/Interface      Type     --------------------------------------------------------------------------     GigabitEthernet0/0/1         3000                        1.1.1.1    easyip     GigabitEthernet0/0/2         3001                    192.168.1.1    easyip     --------------------------------------------------------------------------     Total : 2                                                                  

    2. 在Router上执行命令display nat static,查看静态NAT地址映射关系。

      <Router> display nat staticStatic Nat Information:                                                       Interface  : GigabitEthernet0/0/1                                             Global IP/Port     : 1.1.1.3/21(ftp)                                        Inside IP/Port     : 192.168.1.2/21(ftp)                                    Protocol : 6(tcp)                                                           VPN instance-name  : ----                                                   Acl number         : ----                                                   Vrrp id            : ----                                                   Netmask  : 255.255.255.255                                                  Description : ----                                                          Global IP/Port     : 1.1.1.3/9080                                           Inside IP/Port     : 192.168.1.3/80(www)                                    Protocol : 6(tcp)                                                           VPN instance-name  : ----                                                   Acl number         : ----                                                   Vrrp id            : ----                                                   Netmask  : 255.255.255.255                                                  Description : ----                                                          Interface  : GigabitEthernet0/0/2                                             Global IP/Port     : 1.1.1.3/21(ftp)                                        Inside IP/Port     : 192.168.1.2/21(ftp)                                    Protocol : 6(tcp)                                                           VPN instance-name  : ----                                                   Acl number         : ----                                                   Vrrp id            : ----                                                   Netmask  : 255.255.255.255                                                  Description : ----                                                          Global IP/Port     : 1.1.1.3/9080                                           Inside IP/Port     : 192.168.1.3/80(www)                                    Protocol : 6(tcp)                                                           VPN instance-name  : ----                                                   Acl number         : ----                                                   Vrrp id            : ----                                                   Netmask  : 255.255.255.255                                                  Description : ----                                                          Total :    4 

    3. 在内网主机HostA上执行命令ping 1.1.1.2,模拟内网主机访问Internet,流量能Ping通,同时在Router上执行命令display nat session all可以查看到地址转换结果。

    4. 在内网主机HostA上执行命令ftp 1.1.1.3 21,模拟内网主机访问内部FTP服务器,FTP能正常访问,同时在Router上执行命令display nat session all可以查看到地址转换结果。

    5. 在外网主机HostC上执行命令ftp 1.1.1.3 21,模拟外网主机访问内部FTP服务器,FTP能正常访问,同时在Router上执行命令display nat session all可以查看到地址转换结果。

配置文件

Router配置文件

#sysname Router
#
acl number 3000                                                                 rule 5 permit ip source 192.168.1.0 0.0.0.255                                  
acl number 3001                                                                 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 1.1.1.3 0            
#
nat alg ftp enable
#
interface GigabitEthernet0/0/1undo portswitch                                                                ip address 1.1.1.1 255.255.255.0                                               nat static protocol tcp global 1.1.1.3 ftp inside 192.168.1.2 ftp netmask 255.255.255.255                                                                      nat static protocol tcp global 1.1.1.3 9080 inside 192.168.1.3 www netmask 255.255.255.255                                                                     nat outbound 3000
#
interface GigabitEthernet0/0/2undo portswitch                                                                ip address 192.168.1.1 255.255.255.0                                           nat static protocol tcp global 1.1.1.3 ftp inside 192.168.1.2 ftp netmask 255.255.255.255                                                                      nat static protocol tcp global 1.1.1.3 9080 inside 192.168.1.3 www netmask 255.255.255.255                                                                     nat outbound 3001
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
return

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/166821.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【扩散模型】【文本到音频论文系列翻译二】使用指令微调LLM和潜在扩散模型的文本到音频生成

&#x1f525; &#x1f525;&#x1f525; github: https://github.com/declare-lab/tango 效果&#xff1a;https://tango-web.github.io/ 论文地址&#xff1a;https://arxiv.org/pdf/2304.13731.pdf 数据集audiocaps下载&#xff1a; https://blog.csdn.net/weixin_4350969…

C++笔记之遍历vector的所有方式

C笔记之遍历vector的所有方式 —— 2023年4月15日 上海 code review 文章目录 C笔记之遍历vector的所有方式1.普通for循环2.迭代器版3.const迭代器4.C11引入的范围for循环5.使用auto关键字和迭代器6.使用std::for_each算法7.使用std::for_each和lambda表达式8.普通版vector::at…

Python+playwright 实现Web UI自动化

实现Web UI自动化 技术&#xff1a;Pythonplaywright 目标&#xff1a;自动打开百度浏览器&#xff0c;并搜索“亚运会 金牌榜” 需安装&#xff1a;Playwright &#xff08;不用安装浏览器驱动&#xff09; # 使用浏览器&#xff0c;并可视化打开 browser playwright.ch…

原型链继承

方式一&#xff1a;原型链继承 1.套路&#xff1a; &#xff08;1&#xff09;定义父类型构造函数 &#xff08;2&#xff09;给父类型的原型添加方法 &#xff08;3&#xff09;定义子类型的构造函数 &#xff08;4&#xff09;创建父类型的对象赋值给子类型的原型 &…

分类预测 | MATLAB实现基于BiGRU-AdaBoost双向门控循环单元结合AdaBoost多输入分类预测

分类预测 | MATLAB实现基于BiGRU-AdaBoost双向门控循环单元结合AdaBoost多输入分类预测 目录 分类预测 | MATLAB实现基于BiGRU-AdaBoost双向门控循环单元结合AdaBoost多输入分类预测预测效果基本介绍模型描述程序设计参考资料 预测效果 基本介绍 1.MATLAB实现基于BiGRU-AdaBoos…

音乐制作软件 Ableton Live 11 Suite mac中文版功能介绍

Ableton Live 11 Suite mac是一款专业级别的音乐制作软件&#xff0c;它提供了多种音乐制作和编辑功能&#xff0c;可以帮助用户创建各种音乐作品。界面简单直观&#xff0c;可以方便地进行各种音乐制作操作。它提供了丰富的音乐制作工具和功能&#xff0c;如录音、采样、编曲、…

【数据结构】【C语言】【环形链表约瑟夫问题】

1.问题描述及背景&#xff1a; 著名的Josephus问题 据说著名犹太 历史学家 Josephus有过以下的故事&#xff1a;在罗⻢⼈占领乔塔帕特后&#xff0c;39 个犹太⼈与 Josephus及他的朋友躲到⼀个洞中&#xff0c;39个犹太⼈决定宁愿死也不要被⼈抓到&#xff0c;于是决定了⼀个⾃…

spacy.load(“en_core_web_trf“)报错TypeError: issubclass() arg 1 must be a class

使用spacy时遇到的问题 写在最前面&#xff1a; 安装spacy和en_core_web_trf时需要保证二者版本一致 安装及查看对应spacy版本 安装 pip install spacy查看版本 import spacy spacy.__version__安装en_core_web_trf 直接安装&#xff08;如果可以的话&#xff09; pytho…

Django实现音乐网站 (21)

使用Python Django框架做一个音乐网站&#xff0c; 本篇音乐播放器功能完善及原有功能修改。 目录 播放列表修改 视图修改 删除、清空播放器 设置路由 视图处理 修改加载播放器脚本 模板修改 脚本设置 清空功能实现 删除列表音乐 播放列表无数据处理 视图修改 播放…

Linux环境部署应用必知必会

修改环境变量 Linux环境变量配置的6种方法&#xff0c;建议收藏&#xff01; - 知乎 修改java环境变量 软件安装 安装redis redis是一个非关系型数据库&#xff0c;是一个存储键值对的数据库&#xff0c;通常被称为数据结构服务器。 值&#xff08;value&#xff09;可以是…

《红蓝攻防对抗实战》二.内网探测协议出网之TCP/UDP协议探测出网

目录 一.TCP/UDP协议探测出网 1.NC工具探测TCP协议出网 2.Telnet命令探测TCP协议出网 3.UDP协议探测出网 当红队人员在进行内网渗透时&#xff0c;经常会遇到目标主机不出网的场景&#xff0c;而主机不出网的原因有很多&#xff0c;常见的原因例如目标主机未设置网关&#…

Zoho Creator推出全新的Canvas布局设计器功能

自2021年Zoho CRM的UI设计工具——Canvas画布功能发布以来&#xff0c;受到了广泛好评&#xff0c;它的出现为CRM的页面布局形式提供了更多选择和可能&#xff0c;让CRM用户彻底告别了“单调、死板、机械”的交互页面。 8月1日&#xff0c;Zoho Creator也推出了全新的Canvas画…

大数据之LibrA数据库系统服务部署原则及运行环境要求

服务部署原则 FusionInsight LibrA集群由多种服务按照一定的逻辑架构组合而成&#xff0c;每个服务包含一个或多个角色&#xff0c;每个角色可以部署一个或多个实例。 服务&#xff1a;服务对外表现为集群提供的组件业务能力&#xff0c;集群中的每个组件对应一个服务名&…

【LeetCode:86. 分隔链表 | 链表】

&#x1f680; 算法题 &#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜&#xff0c;…

【LeetCode:1402. 做菜顺序 | 动态规划 + 贪心】

&#x1f680; 算法题 &#x1f680; &#x1f332; 算法刷题专栏 | 面试必备算法 | 面试高频算法 &#x1f340; &#x1f332; 越难的东西,越要努力坚持&#xff0c;因为它具有很高的价值&#xff0c;算法就是这样✨ &#x1f332; 作者简介&#xff1a;硕风和炜&#xff0c;…

C++前缀和算法的应用:从仓库到码头运输箱子原理、源码、测试用例

本文涉及的基础知识点 C算法&#xff1a;前缀和、前缀乘积、前缀异或的原理、源码及测试用例 包括课程视频 双指针 单调双向队列 题目 你有一辆货运卡车&#xff0c;你需要用这一辆车把一些箱子从仓库运送到码头。这辆卡车每次运输有 箱子数目的限制 和 总重量的限制 。 给你…

函数模板和类模板实例介绍

模板&#xff1a;将类型定义为参数&#xff0c;实现类型参数化&#xff0c;实现代码重用。 一、函数模板 格式&#xff1a; &#xff08;template-声明模板的关键字&#xff0c;class修饰形参类型&#xff09; template <class / typename T> 返回类型 函数名&#xff…

顺应趋势,用大数据精准营销抓住大数据时代的机遇

想先问大家一个问题&#xff1a;“你觉得现在的营销好做吗&#xff1f;”想必大多数人在说到自己如何营销这一点上&#xff0c;都有道不完的“苦水”。“现在找客户难&#xff0c;投了几十万的广告费&#xff0c;真正来的客户却少得可怜&#xff0c;平均获客成本高得吓人”一位…

【Leetcode每日一题 2530】「贪心|模拟|优先队列」执行K次操作后的最大分数

2023.10.18 本题重点&#xff1a; 1.优先队列的使用 2.ceil()函数的使用相同的还有floor()函数的使用 题目介绍&#xff1b; 给你一个下标从 0 开始的整数数组 nums 和一个整数 k 。你的 起始分数 为 0 。 在一步 操作 中&#xff1a; 选出一个满足 0 < i < nums.l…

按键中断控制LED灯亮灭

EXTI—外部中断/事件控制器 EXTI&#xff08;External interrupt/event controller&#xff09;—外部中断/事件控制器&#xff0c;管理了控制器的 20 个中断/事 件线。每个中断/事件线都对应有一个边沿检测器&#xff0c;可以实现输入信号的上升沿检测和下降沿的 检测。EXTI可…