只有1个公网IP地址---设置内网服务器 +++ 华为路由器:外网可以访问内网服务区---内网服务区访问不了外网---内网办公区可以访问外网和内网服务区(只有1个公网IP地址)
已于 2023-04-14 20:12:12 修改
阅读量3.4k
收藏
8
点赞数
一、测试环境:
1.公司只有一个公网IP地址66.66.66.66/24
二、需要实现的功能
同时满足以下3点:
1.外网可以访问内网服务区(DMZ);
2.内网服务区(DMZ)无法访问外网;
3.内网办公区可以访问外网和内网服务区(DMZ)。
三、网络拓扑图
四、配置思路
注释:R:公司路由、ISP:电信路由、R3外网路由
1.配置PC、路由器接口IP地址;
具体配置见代码段
2.配置静态路由;
[R]ip route-sta 0.0.0.0 0 66.66.66.1
[R3]ip route-sta 0.0.0.0 0 11.12.13.1
不要配置私网路由,如果配置公网到私网的路由,会引起IP地址冲突,NAT也是去意义,因为互联网中有太多重复的私网IP地址,如,在此网络拓扑图中,就有两个192.168.88.0/24地址段。
3.配置Easy IP模式NAT转换(内网192.168.88.0/24网段映射到路由器R的GE0/0/0接口IP地址);
[R]acl number 2000
[R-acl-basic-2000]rule 5 permit source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行
[interface GigabitEthernet0/0/0]nat outbound 2000\\允许192.168.88.0/24内网网段访问外网
4.配置NAT服务器(内网web、ftp服务器给外网提供服务);
nat server protocol tcp global current-interface 6688 inside 192.168.1.254 www
\\配置web服务器静态映射,内网web服务器IP地址192.168.1.254端口80映射到当前公网端口IP地址和6688端口
[R]nat alg ftp enable \\开启alg ftp服务
注释:FTP协议是一个典型的多通道协议,需要配置NAT ALG功能,实现报文正常穿越NAT,而HTTP协议不需要。
[R-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 2121 inside 192.168.1.253 21\\配置ftp服务器静态映射,内网ftp服务器IP地址192.168.1.253端口21映射到当前公网端口IP地址和2121端口
\\[R-GigabitEthernet0/0/0]nat server protocol tcp global 66.66.66.2 6688 inside 192.168.1.254 www\\这样映射需要再增加一个公网IP地址
五、终端配置和代码
其他终端配置借鉴以上截图
\\公司路由器R
sys
sysname R
nat alg ftp enable
acl 2000
rule 5 permit ip source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行
\\rule 6 permit ip source 192.168.1.0 0.0.0.255\\允许192.168.1.0/24内网网段通行
int gi 0/0/0
ip add 66.66.66.66 24
nat outbound 2000\\允许192.168.88.0/24内网网段访问外网
nat server protocol tcp global current-interface 6688 inside 192.168.1.254 www
\\配置web服务器静态映射,内网web服务器IP地址192.168.1.254端口80映射到当前公网端口IP地址和6688端口
nat server protocol tcp global current-interface 2121 inside 192.168.1.253 21
\\配置ftp服务器静态映射,内网ftp服务器IP地址192.168.1.253端口21映射到当前公网端口IP地址和2121端口
\\nat server protocol tcp global 66.66.66.2 6688 inside 192.168.1.254 www\\这样映射需要另外一个公网地址
int gi 0/0/1
ip add 192.168.1.1 24
int gi 0/0/2
ip add 192.168.88.1 24
ip route-sta 0.0.0.0 0 66.66.66.1
\\电信路由器ISP
sys
sysname ISP
int gi 0/0/0
ip add 66.66.66.1 24
int gi 0/0/1
ip add 192.168.88.1 24
int gi 0/0/2
ip add 11.12.13.1 24
\\外网路由器R3
sys
sysname R3
acl 3000
rule 7 permit ip source 192.168.88.0 0.0.0.255\\允许192.168.88.0/24内网网段通行
int gi 0/0/0
ip add 11.12.13.2 24
ip route-sta 0.0.0.0 0 11.12.13.1
nat outbound 3000\\允许192.168.88.0/24内网网段访问外网
int gi 0/0/1
ip add 192.168.88.1 24六、验证测试
1.外网访问内网服务器
2. 内网服务区(DMZ)访问不了外网
3.内网办公区可以访问外网和内网服务区
4.公网设备无法访问私网IP地址
转载:
华为AR配置内部服务器示例(只有1个公网IP)参考链接:https://www.cnblogs.com/airoot/p/10650775.html
扫一扫
3164
暂无认证
到【灌水乐园】发言
m0_60988230: 小细节可能有些人不知道
义一: AR201没有,用其他型号的路由器看看
hhhhhhhhhhhhhhhhhhhhhhhh589: 为什么我支持的接口没有2SA
CodeWhisperer: 这篇文章详细介绍了在USG6000V防火墙上创建和管理用户账户的过程,包括普通用户和系统用户。通过重复执行删除和重建账户的步骤,确保了账户设置的一致性。对于需要批量管理用户的企业环境,这种方法可能提供了一种可行的解决方案。不过,实际操作时还需注意账户安全,避免密码过于简单。
问了那年东: 分区优点: 1. SPF的计算频率更低:限制信息更新范围, 防止将所有链路状态变化扩散到其它区域 2. 可以进行路由汇总, 路由表更小.. 3. 区域间发送汇总LSA, 链路开销更小.