华为-内网pc通过公网ip访问内网服务器--配置
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
需求:
内网PC通过公网IP访问内网服务器:
ICMP请求:
第一步:流量走向:R2 ICMP请求
第二步:R3收到,匹配流量策略,直接丢到g0/0/1出去,出接口是匹配nat outbound 3000 将数据包改为:,建立nat 会话表:s:转成第三步:R4收到的数据包,查路由表返给R3第四步:R3收到的数据包,匹配nat server ,将数据包改为建立nat会话表:d:转出从g0/0/0口发送给R1.
第五步:R1收到ICMP请求包
ICMP应答:
第一步:R1 ICMP应答:第二步:R3收到,匹配流量策略,直接丢到g0/0/1出去,出接口是匹配nat会话表:d:转出将数据包改为:第三步:R4收到的数据包,查路由表返给R3第四步:R3收到的数据包,匹配nat 会话表:s:转成,将数据包换成从g0/0/0口发送给R2
.第五步:R2收到ICMP应答包。完成整个ping的过程。
主要R3的配置如下:其余路由器都是基本配置
#
acl number 3000 //内网通过公网IP访问时outbound acl
rule 10 permit ip source 0 destination 0
acl number 3001 //用于流量策略的acl
rule 20 permit ip source 0 destination 0 //icmp请求时匹配 rule 40 permit ip source 0 destination 0 //icmp应答是匹配#
traffic classifier c1 operator or
if-match acl 3001
#
traffic behavior b1
redirect ip-nexthop policy p1
classifier c1 behavior b1 //匹配acl的流量强制下一跳为
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password cipher %$%$}e#<0`8bmE3Uw}%$%$
local-user admin service-type http
#
firewall zone Local
priority 15
#
interface GigabitEthernet0/0/0
ip address
traffic-policy p1 inbound // 内网接口的inbound方向应用
#
interface GigabitEthernet0/0/1
ip address
nat server protocol icmp global inside nat outbound 3000 #