华为-内网PC 通过公网IP访问内网服务器--配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
需求:
内网PC通过公网IP访问内网服务器:
ICMP请求:
第一步:流量走向:R2 ICMP请求 123.1.1.2--->34.1.1.100
第二步:R3收到,匹配流量策略,直接丢到g0/0/1出去,出接口是匹配nat outbound 3000 将数据包改为:34.1.1.3-->34.1.1.100,建立nat 会话表:s:123.1.1.2 转成s34.1.1.3 第三步:R4收到34.1.1.3-->34.1.1.100的数据包,查路由表返给R3
第四步:R3收到34.1.1.3-->34.1.1.100 的数据包,匹配nat server ,将数据包改为34.1.1.3-->123.1.1.1,建立nat会话表:d:34.1.1.100转出123.1.1.1 从g0/0/0口发送给R1.
第五步:R1收到ICMP请求包
ICMP应答:
第一步:R1 ICMP应答:123.1.1.1-->34.1.1.3
第二步:R3收到,匹配流量策略,直接丢到g0/0/1出去,出接口是匹配nat会话表:d:34.1.1.100转出123.1.1.1将数据包改为:34.1.1.100-->34.1.1.3
第三步:R4收到34.1.1.100-->34.1.1.3的数据包,查路由表返给R3
第四步:R3收到34.1.1.100-->34.1.1.3的数据包,匹配nat 会话表:s:123.1.1.2 转成s34.1.1.3,将数据包换成34.1.1.100-->123.1.1.2从g0/0/0口发送给R2
.第五步:R2收到ICMP应答包。完成整个ping的过程。
主要R3的配置如下:其余路由器都是基本配置
#
acl number 3000 //内网通过公网IP访问时outbound acl
rule 10 permit ip source 123.1.1.2 0 destination 34.1.1.100 0
acl number 3001 //用于流量策略的acl
rule 20 permit ip source 123.1.1.2 0 destination 34.1.1.100 0 //icmp请求时匹配 rule 40 permit ip source 123.1.1.1 0 destination 34.1.1.3 0 //icmp应答是匹配#
traffic classifier c1 operator or
if-match acl 3001
#
traffic behavior b1
redirect ip-nexthop 34.1.1.4
#
traffic policy p1
classifier c1 behavior b1 //匹配acl的流量强制下一跳为34.1.1.4
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address 123.1.1.3 255.255.255.0
traffic-policy p1 inbound // 内网接口的inbound方向应用
#
interface GigabitEthernet0/0/1
ip address 34.1.1.3 255.255.255.0
nat server protocol icmp global 34.1.1.100 inside 123.1.1.1 nat outbound 3000
#