MSR系列路由器教育网双出口NAT服务器的经验案例MSR系列路由器教育网双出口NAT服务器的经验案例
MSR系列路由器
教育网双出口NAT服务器的典型配置 关键字:MSR; NAT; ACL; 策略路由; 双出口
一、组网需求:
MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内...
MSR系列路由器教育网双出口NAT服务器的经验案例
MSR系列路由器
教育网双出口NAT服务器的典型配置 关键字:MSR; NAT; ACL; 策略路由; 双出口
一、组网需求:
MSR的G0/0连接某学校内网,G5/0连接电信出口,G5/1连接教育网出口,路由配置:访问教育网地址通过G5/1出去,其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的,因此电信主机访问该校都是从G5/1进来,如果以教育网源地址(211.1.1.0/24)从G5/0访问电信网络,会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问,其域名是test.h3c.edu.cn,对应DNS解析结果是211.1.1.4。先
电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问,且要求校园网内部可以通过NAT任意访问电信网络或教育网络。
设备
:MSR一台
二、组网图:
三、配置步骤:
MSR关键配置(路由部分配置略)
#
//地址池0用于访问电信的NAT
nat address-group 0 202.2.2.50 202.2.2.100
//地址池1用于访问教育网的NAT
nat address-group 1 211.1.1.50 211.1.1.100
//静态NAT用于外部访问内部服务器test.h3c.edu.cn
nat static 192.168.34.55 211.1.1.4
#
//ACL 2000用于内网访问教育网和电信的NAT,允许192.168.0.0/0的源 acl number 2000
description "NAT"
rule 10 permit source 192.168.0.0 0.0.255.255 //ACL 2222用于策略路由的允许节点,即内部服务器往外发的HTTP从G5/1出去 acl number 2222
description "policy-based-route permit node"
rule 0 permit source 192.168.34.55 0
#
//用于内部主机访问211.1.1.4的NAT映射
acl number 3000
description "192.168.0.0/24 access 211.1.1.4"
rule 0 permit ip source 192.168.0.0 0.0.255.255 destination
192.168.34.55 0
//ACL 3333用于策略路由拒绝节点,即内部服务器返回内部主机的不需要被策略 acl number 3333
description "policy-based-route deny node"
rule 0 permit ip source 192.168.34.55 0 destination 192.168.0.0
0.0.255.255
#
interface GigabitEthernet0/0
port link-mode route
//内部主机访问211.1.1.4时,将211.1.1.4替换成192.168.34.55
nat outbound static
//内部主机访问211.1.1.4时,将内部主机地址转换成192.168.86.2
nat outbound 3000
description to neibu-Lan
ip address 192.168.86.2 255.255.255.252
//策略路由,内部服务器返回内部的不被策略,返回外部的从G5/1出去
ip policy-based-route aaa
#
interface GigabitEthernet5/0
port link-mode route
//内部访问电信时需要NAT
nat outbound 2000 address-group 0
description connect to ChinaNet
ip address 202.2.2.2 255.255.255.0
tcp mss 1420
#
interface GigabitEthernet5/1
port link-mode route
//外部访问内部服务器211.1.1.4时静态转换成192.168.34.55
nat outbound static
//内部访问教育网时需要NAT
nat outbound 2000 address-group 1
description connect to Cernet
ip address 211.1.1.2 255.255.255.0
tcp mss 1420
#
//策略路由aaa拒绝节点序号3
policy-based-route aaa deny node 3
//匹配条件ACL 3333,即内部服务器返回内部的流量不需要被策略
if-match acl 3333
//策略路由aaa允许节点5
policy-based-route aaa permit node 5
//匹配ACL 2222,即内部服务器发出的流量
if-match acl 2222
//应用下一跳211.1.1.1,即从G5/1出去
apply ip-address next-hop 211.1.1.1
#
四、配置关键点:
1) 策略路由是保证内部服务器返回外网的流量从G5/1出去,如果不使用策略路由会按照普通路由转发从G5/0出去,这样转换后的源地址211.1.1.4会被电信给过滤掉,因此必须使用策略路由从G5/1出去;
2) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发,而不被策略;
3) 在G0/0应用2个NAT的作用是使内网可以通过访问211.1.1.4访问内部服务器test.h3c.edu.cn,如果只使用NAT Outbound Static,那么内部主机192.168.1.199发送HTTP请求的源、目的地址对<192.168.1.199, 211.1.1.4>
会变成<192.168.1.199, 192.168.34.55>然后发送给内部服务器,那么内部服务器会把HTTP响应以源、目的地址对<192.168.34.55, 192.168.1.199>直接返回
给内部主机(192.168.1.199可以经过内部路由不需要经过MSR到达)因此对于内部主机来说始终没有接收到211.1.1.4返回的HTTP响应,因此打开网页失败。解决问题的办法就是让内部服务器返回时经过MSR路由器,让MSR把HTTP响应<192.168.34.55, 192.168.1.199>变成<211.1.1.4, 192.168.1.199>,方法就是再做一次NAT,通过NAT Outbound ACL 3000使HTTP请求变成MSR发送的<192.168.86.2, 192.168.34.55>,这样HTTP响应就会变成<192.168.34.55, 192.168.86.2>发送到MSR,MSR再变成<211.1.1.4, 192.168.1.199>返回给内部主机。
本文档为【MSR系列路由器教育网双出口NAT服务器的经验案例】,请使用软件OFFICE或WPS软件打开。作品中的文字与图均可以修改和编辑,
图片更改请在作品中右键图片并更换,文字修改请直接点击文字进行修改,也可以新增和删除文档中的内容。
[版权声明] 本站所有资料为用户分享产生,若发现您的权利被侵害,请联系客服邮件isharekefu@iask.cn,我们尽快处理。
本作品所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用。
网站提供的党政主题相关内容(国旗、国徽、党徽..)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。