组网要求:某小型企业内网部署了一台路由器、一台FTP服务器和一台Web服务器。路由器作为接入网关,为下挂的内网用户提供上网服务,主要包括浏览网页、使用即时通信工具、观看视频、访问邮箱等。企业内网的FTP/Web服务器对内网用户提供FTP服务和WWW服务。由于IP地址资源有限,该企业只有一个可用的公网IP地址1.1.1.1/24,部署在网关的上行接口。为了防止内部服务器受内网用户的攻击,企业希望在路由器上配置NAT功能,使内网用户必须使用公网口的IP地址才能访问内部FTP/Web服务器和Internet。
一、华为模拟器实际操作视频:
13:44二、主要知识点:
NAT介绍
NAT(NetworkAddressTranslation)是一种IP地址共享的技术,即可以实现多用户共享少量公网IPv4地址访问外部网络。用户访问外部网络时,NAT设备会将用户私有IPv4地址转换为公网的IPv4地址,暂时性记录这种映射关系。
NATALG简介
普通NAT实现了对UDP或TCP报文头中的的IP地址及端口转换功能,但对应用层数据载荷中的字段无能为力,在许多应用层协议中,比如多媒体协议(H.、SIP等)、FTP、SQLNET等,TCP/UDP载荷中带有地址或者端口信息,这些内容不能被NAT进行有效的转换,就可能导致问题。而NATALG(ApplicationLevelGateway,应用层网关)技术能对多通道协议进行应用层报文信息的解析和地址转换,将载荷中需要进行地址转换的IP地址和端口或者需特殊处理的字段进行相应的转换和处理,从而保证应用层通信的正确性。
例如,FTP应用就由数据连接和控制连接共同完成,而且数据连接的建立动态地由控制连接中的载荷字段信息决定,这就需要ALG来完成载荷字段信息的转换,以保证后续数据连接的正确建立。
三、配置思路
1.配置路由器的接口IP地址、缺省路由,实现内部网络和外部Internet之间三层互通。
2.由于只有一个可用的公网IP地址,在路由器的上行接口配置EasyIP方式的NATOutbound,实现内网用户访问Internet功能。
3.在路由器的下行接口配置服务器映射NATStatic和EasyIP方式的NATOutbound,将内部服务器与内网PC之间的流量都引到路由器上进行转发,实现内网用户通过公网口的IP地址访问FTP/Web服务器功能。
4.在路由器上,开启FTP的NATALG功能。FTP协议是一个多通道协议,需要配置NATALG功能,否则报文无法穿越NAT,HTTP协议不需要配置NATALG功能。
四、IP设置:
1、PC1:..10.1/24
PC2:2.2.2.2/24
WWWServer:..10.2/24,提供WEB服务
FTPServer:..10.3/24,提供FTP服务
2、AR1:1.1.1.1/24,2.2.2.1/24
五、AR1的主要配置文件:
#
sysnameAR1
#
aclnumber
rule5permitsource..10.00.0.0.
#
aclnumber
rule5permitipsource..10.00.0.0.destination1.1.1.10
#
natalgdnsenable
natalgftpenable
natalgrtspenable
natalgsipenable
#
interfaceGigabitEthernet0/0/0
ipaddress1.1.1.1...0
natstaticprotocoltcpglobalcurrent-interface