組網(wǎng)要求：某小型企業(yè)內(nèi)網(wǎng)部署了一臺路由器、一臺FTP服務(wù)器和一臺Web服務(wù)器 。路由器作為接入網(wǎng)關(guān)，為下掛的內(nèi)網(wǎng)用戶提供上網(wǎng)服務(wù)，主要包括瀏覽網(wǎng)頁、使用即時通信工具、觀看視頻、訪問郵箱等 。企業(yè)內(nèi)網(wǎng)的FTP/Web服務(wù)器對內(nèi)網(wǎng)用戶提供FTP服務(wù)和WWW服務(wù) 。由于IP地址資源有限，該企業(yè)只有一個可用的公網(wǎng)IP地址1.1.1.1/24，部署在網(wǎng)關(guān)的上行接口 。為了防止內(nèi)部服務(wù)器受內(nèi)網(wǎng)用戶的攻擊，企業(yè)希望在路由器上配置NAT功能，使內(nèi)網(wǎng)用戶必須使用公網(wǎng)口的IP地址才能訪問內(nèi)部FTP/Web服務(wù)器和Internet 。
一、華為模擬器實際操作視頻：
視頻加載中…
二、主要知識點：
NAT介紹
NAT（Network Address Translation）是一種IP地址共享的技術(shù)，即可以實現(xiàn)多用戶共享少量公網(wǎng)IPv4地址訪問外部網(wǎng)絡(luò) 。用戶訪問外部網(wǎng)絡(luò)時，NAT設(shè)備會將用戶私有IPv4地址轉(zhuǎn)換為公網(wǎng)的IPv4地址，暫時性記錄這種映射關(guān)系 。
NAT ALG簡介
普通NAT實現(xiàn)了對UDP或TCP報文頭中的的IP地址及端口轉(zhuǎn)換功能，但對應(yīng)用層數(shù)據(jù)載荷中的字段無能為力，在許多應(yīng)用層協(xié)議中，比如多媒體協(xié)議（H.323、SIP等）、FTP、SQLNET等，TCP/UDP載荷中帶有地址或者端口信息，這些內(nèi)容不能被NAT進行有效的轉(zhuǎn)換，就可能導(dǎo)致問題 。而NAT ALG（Application Level Gateway，應(yīng)用層網(wǎng)關(guān)）技術(shù)能對多通道協(xié)議進行應(yīng)用層報文信息的解析和地址轉(zhuǎn)換，將載荷中需要進行地址轉(zhuǎn)換的IP地址和端口或者需特殊處理的字段進行相應(yīng)的轉(zhuǎn)換和處理，從而保證應(yīng)用層通信的正確性 。
例如，F(xiàn)TP應(yīng)用就由數(shù)據(jù)連接和控制連接共同完成，而且數(shù)據(jù)連接的建立動態(tài)地由控制連接中的載荷字段信息決定，這就需要ALG來完成載荷字段信息的轉(zhuǎn)換，以保證后續(xù)數(shù)據(jù)連接的正確建立 。
三、配置思路
1. 配置路由器的接口IP地址、缺省路由，實現(xiàn)內(nèi)部網(wǎng)絡(luò)和外部Internet之間三層互通 。
2. 由于只有一個可用的公網(wǎng)IP地址，在路由器的上行接口配置Easy IP方式的NAT Outbound，實現(xiàn)內(nèi)網(wǎng)用戶訪問Internet功能 。
3. 在路由器的下行接口配置服務(wù)器映射NAT Static和Easy IP方式的NAT Outbound，將內(nèi)部服務(wù)器與內(nèi)網(wǎng)PC之間的流量都引到路由器上進行轉(zhuǎn)發(fā)，實現(xiàn)內(nèi)網(wǎng)用戶通過公網(wǎng)口的IP地址訪問FTP/Web服務(wù)器功能 。
4. 在路由器上，開啟FTP的NAT ALG功能 。FTP協(xié)議是一個多通道協(xié)議，需要配置NAT ALG功能，否則報文無法穿越NAT，HTTP協(xié)議不需要配置NAT ALG功能 。
四、IP設(shè)置：
1、PC1：192.168.10.1/24
PC2:2.2.2.2/24
WWW Server:192.168.10.2/24，提供WEB服務(wù)
FTP Server：192.168.10.3/24,提供FTP服務(wù)
2、AR1：1.1.1.1/24 ,2.2.2.1/24
五、AR1的主要配置文件：
#
sysname AR1
#
acl number 2000
rule 5 permit source 192.168.10.0 0.0.0.255
#
acl number 3000
rule 5 permit ip source 192.168.10.0 0.0.0.255 destination 1.1.1.1 0
#
nat alg dns enable
nat alg ftp enable
nat alg rtsp enable
nat alg sip enable
#
interface GigabitEthernet0/0/0
ip address 1.1.1.1 255.255.255.0
nat static protocol tcp global current-interface www inside 192.168.10.2 www ne
tmask 255.255.255.255
nat static protocol tcp global current-interface ftp inside 192.168.10.3 ftp ne
tmask 255.255.255.255
nat outbound 2000
#
interface GigabitEthernet0/0/1
ip address 192.168.10.254 255.255.255.0
nat outbound 3000
#
interface NULL0
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
#
return
六、驗證配置結(jié)果：

推薦閱讀

• 

  爐石傳說手游狂野撒幣賊卡組推薦 撒幣賊OTK打法分析
• 

  夢見閣樓精致 夢見閣樓精致漂亮
• 

  荷蘭垂耳兔認人嗎
• 

  如何申請美國高中
• 

  什么車屬于不合規(guī)車輛 什么叫合規(guī)車
• 

  我談K618
• 

  刺客信條起源刷錢良性BUG介紹 刺客信條起源BUG怎么用
• 

  福壽全是什么菜
• 

  N70+R66+LD-3W衛(wèi)星導(dǎo)航
• 

  惠普6515用SpbPocketPlus更改圖標(biāo)技巧
• 

  健康服務(wù)與管理，老年服務(wù)與管理健康管理與老年關(guān)懷專業(yè)怎么樣
• 

  魔獸世界怎么招手戈格羅斯
• 

  信陽到小林汽車多少錢，從信陽到蘇州的大巴票價多少啊
• 

  奇妙的美發(fā)沙龍，HERE
• 

  小米7和小米note7區(qū)別
• 

  天翼網(wǎng)關(guān)怎么隱藏WiFi

• 吊蘭另類玩法：養(yǎng)成老樁價值飆升！
• 允許通過hdb連接設(shè)備是什么意思
• 2022賀歲幣預(yù)約成功后怎么知道審核通過-紀念幣未通過核查什么意思
• 就地過年去另外一個市就沒有補助了嗎-就地過年到外地就沒補貼了嗎
• 楊樹是落葉植物嗎 與楊樹一樣通過落葉來過冬的植物有
• 帶圈的數(shù)字1到100 帶圈的數(shù)字1到100
• 為什么無法訪問互聯(lián)網(wǎng)頁 為什么無法訪問互聯(lián)網(wǎng)
• 滅壁虎最有效的方法
• 王者榮耀如何開啟隱身訪問主頁
• 玄鳳鸚鵡怎么分辨公母，玄鳳鸚鵡怎么分辨公母 視頻？