交换机
园区网交换机
数据中心与云计算交换机
行业精选交换系列
工业交换机
意图网络指挥官
无线
放装型无线接入点
墙面型无线接入点
智分无线接入点
室外无线接入点
场景化无线
无线控制器
行业精选无线系列
物联网
安全
大数据安全平台
下一代防火墙
安全网关
检测管理安全
安全服务
安全云
统一运维
身份管理
服务产品
运营商
政府
金融
互联网
电力能源
制造业
高教/职教
医疗卫生
交通
地产酒店文旅·连锁服务
公共安全
功能介绍:
当内部主机需要访问外部网络,但是不想引入外部路由时,可以使用外部源地址转换,将外部主机的ip地址+端口,转换成内部网络的ip地址+端口。
一、组网需求
内网有相应的安全策略,只允许内网PC之间的互访, 但是又需要访问外网的服务器,通过nat的外部源地址转换功能,把外网服务器的公网地址转换成内网地址,使内网用户在访问外网的时候,感知不到自己已经访问了外网。
二、组网拓扑
三、配置要点
1、基本ip地址配置
2、基本的ip路由配置
3、定义nat的内网口和外网口
4、配置nat外网源地址转换
四、配置步骤
1、基本ip地址配置
Ruijie(config)#hostname R1
R1(config)#interface gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip address 192.168.1.1 255.255.255.0
R1(config-GigabitEthernet 0/0)#exit
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0
R1(config-GigabitEthernet 0/1)#exit
Ruijie(config)#hostname R2
R2(config)#interface gigabitEthernet 0/0
R2(config-GigabitEthernet 0/0)#ip address 192.168.1.2 255.255.255.0
R2(config-GigabitEthernet 0/0)#exit
R2(config)#interface gigabitEthernet 0/1
R2(config-GigabitEthernet 0/1)#ip address 172.16.1.1 255.255.255.0
R2(config-GigabitEthernet 0/1)#exit
R2(config)#interface gigabitEthernet 0/2
R2(config-GigabitEthernet 0/2)#ip address 172.16.2.1 255.255.255.0
R2(config-GigabitEthernet 0/2)#exit
Ruijie(config)#hostname R3
R3(config)#interface fastEthernet 0/0
R3(config-if-FastEthernet 0/0)#ip address 192.168.2.2 255.255.255.0
R3(config-if-FastEthernet 0/0)#exit
2、基本的ip路由配置
R1(config)#ip route 172.16.0.0 255.255.0.0 192.168.1.2
R1(config)#ip route 100.1.1.0 255.255.255.0 192.168.2.2
R2(config)#ip route 192.168.0.0 255.255.0.0 192.168.1.1
R3(config)#ip route 172.16.0.0 255.255.0.0 192.168.2.1 //配置外网到内网的回程路由(若外网没有内网的回程路由,还需在出口路由器做内部源地址转换)
3、定义nat的内网口和外网口
R1(config)#interface gigabitEthernet 0/1
R1(config-GigabitEthernet 0/1)#ip nat outside //配置nat的外网口
R1(config-GigabitEthernet 0/1)#exit
R1(config)#int gigabitEthernet 0/0
R1(config-GigabitEthernet 0/0)#ip nat inside //配置nat的内网口
R1(config-GigabitEthernet 0/0)#exit
4、配置nat外网源地址转换
注意:
1)外部源地址转换,可以进行ip地址一对一的转换,也可以基于TCP、UDP协议进行端口转换。
2)外部源地址转换,外网服务器的内部本地地址,该地址不需要一定是出口路由器上的网段,只要内网路由可达,能够把内网PC访问该服务器的报文路由到出口路由器就可以。
如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例:
1、基于ip地址的一对一映射
R1(config)#ip nat outside source static 100.1.1.1 192.168.1.168 //当内网访问192.168.1.168时,将目的ip地址转换成 100.1.1.1
2、基于TCP、UDP协议的端口映射
R1(config)#ip nat outside source static tcp 100.1.1.1 23 192.168.1.168 23 //当内网访问192.168.1.168 的tcp 23端口时,将目的ip地址转换成 100.1.1.1 的23端口
五、配置验证
测试内网能否通过外网服务器在本网络可见的私网地址,正常访问,若可以正常访问外网的服务器,则外部源地址转换NAT配置正确。在出口路由器上查看NAT转换表项如下: