华为路由器配置公网和私网都可以通过公网地址访问内部服务器
要实现华为路由器配置公网和私网用户都可以通过公网地址访问内部服务器,可通过配置 NAT(网络地址转换)功能来达成,以下是具体配置步骤:
配置接口 IP 地址和缺省路由
进入系统视图,配置上行接口 IP 地址。假设上行接口为GigabitEthernet0/0/1
,公网 IP 地址为1.1.1.1/24
,命令如下:
system - view
interface GigabitEthernet0/0/1
undo portswitch
ip address 1.1.1.1 255.255.255.0
配置下行接口 IP 地址。假设下行接口为GigabitEthernet0/0/2,内网 IP 地址为192.168.1.1/24,命令如下:
interface GigabitEthernet0/0/2
undo portswitch
ip address 192.168.1.1 255.255.255.0
配置缺省路由,下一跳为对端运营商接口的 IP 地址,假设为1.1.1.2,命令如下:
ip route - static 0.0.0.0 0.0.0.0 1.1.1.2
配置 NAT Outbound 实现内网用户访问 Internet
在上行接口配置 Easy IP 方式的 NAT Outbound,使内网用户可以访问 Internet。假设 ACL 3000 用于匹配内网网段流量,命令如下:
acl number 3000
rule permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/1
nat outbound 3000
配置外网接口服务器映射 NAT Static
由于只有一个可用的公网 IP 地址部署在上行口,需要指定该接口的 IP 地址作为内部服务器映射后的 IP 地址,实现公网和私网用户通过公网口的 IP 地址访问内部服务器功能。
假设内部 FTP 服务器 IP 地址为192.168.1.2,公网映射端口为21;内部 Web 服务器 IP 地址为192.168.1.3,公网映射端口为9080,命令如下:
interface GigabitEthernet0/0/2
nat static protocol tcp global interface current-interface ftp inside 192.168.1.2 ftp netmask 255.255.255.255
nat static protocol tcp global interface current-interface 9080 inside 192.168.1.3 www netmask 255.255.255.255
配置内网接口的服务器静态映射和NAT Outbound
先创建一个高级ACL,配置规则匹配与服务器相同的内网网段通过公网IP访问服务器的流量,并在内网接口上配置nat outbound引用此ACL。然后把外网接口的NAT服务器静态映射配置复制出来,将其中的“current-interface”参数改为“interface 外网接口类型 接口编号”后粘贴到内网三层接口。
acl number 3333
rule permit ip source 192.168.1.0 0.0.0.255 destination 1.1.1.1 0
quit
interface GigabitEthernet0/0/1
nat static protocol tcp global interface GigabitEthernet0/0/1 ftp inside 192.168.1.2 ftp netmask 255.255.255.255
nat static protocol tcp global interface GigabitEthernet0/0/1 9080 inside 192.168.1.3 www netmask 255.255.255.255
nat outbound 3333
return
开启 FTP 的 NAT ALG 功能(可选)
nat alg ftp enable
配置完成后,公网和私网用户就可以通过公网地址及相应端口访问内部服务器了。可在内网主机上执行ftp 1.1.1.1 21访问内部 FTP 服务器,在外网主机上进行同样操作来验证配置是否成功。
注意事项:
(1) 对于AR2220-S、AR2240-S、AR3260-S等设备使用二层接口板的VLANIF接口连接内网配置NAT功能时,需要在系统视图下执行命令set workmode lan-card l3centralize开启集中式转发功能,才能使VLANIF接口下的NAT功能生效。
(2)对于V2R8及之后的版本,如果配置了NAT ALG功能,则需要将ACL规则中的目的地址改为服务器的内网地址。