VLAN(802.1q)配置
一、 组网需求:
Host A和Host C属于部门A,但是通过不同的设备接入公司网络;Host B和Host D属于部门B,也通过不同的设备接入公司网络:
1. 为了通信的安全性,也为了避免广播报文泛滥,公司网络中使用VLAN技术来隔离部门间的二层流量。其中部门A使用VLAN 100,部门B使用VLAN 200;
2. 现要求不管是否使用相同的设备接入公司网络,同一VLAN内的主机能够互通,即Host A和Host C能够互通,Host B和Host D能够互通。
设备清单:MSR-G2系列路由器2台
二、 组网图:
图1基于端口的VLAN组网图
三、 配置步骤:
使用版本:E0006P05
Router A配置
#
vlan 100 // 创建VLAN 100,并将Ethernet1/1加入VLAN 100
#
vlan 200 // 创建VLAN 200,并将Ethernet1/2加入VLAN 200
#
interface Ethernet1/1
port link-mode bridge
port access vlan 100
#
interface Ethernet1/2
port link-mode bridge
port access vlan 200
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
// 为了使RouterA上VLAN 100和VLAN 200的报文能发送给RouterB,将Ethernet1/3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过
#
Router B配置
#
vlan 100 // 创建VLAN 100,并将Ethernet1/1加入VLAN 100
#
vlan 200 // 创建VLAN 200,并将Ethernet1/2加入VLAN 200
#
interface Ethernet1/1
port link-mode bridge
port access vlan 100
#
interface Ethernet1/2
port link-mode bridge
port access vlan 200
#
interface Ethernet1/3
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 100 200
// 为了使RouterB上VLAN 100和VLAN 200的报文能发送给RouterA,将Ethernet1/3的链路类型配置为Trunk,并允许VLAN 100和VLAN 200的报文通过
#
将Host A和Host C配置在一个网段,比如192.168.100.0/24;将Host B和Host D配置在一个网段,比如192.168.200.0/24。
四、 配置关键点:
在进行配置之前,应保证:路由器上存在交换板卡,因为只有存在交换板卡路由器上才能将接口加入到创建的VLAN中。
负载分担内部服务器NAT典型配置
一、 组网需求:
某公司内部拥有3台WEB服务器对外提供WWW服务。
需要实现如下功能:
使用IP地址为202.39.1.1作为公司对外提供服务的IP地址;
3台web服务器可以同时对外提供服务,并进行负载分担。
设备清单:MSR-G2系列路由器1台
二、 组网图:
图1 MSR-G2系列路由器负载分担内部服务器组网
三、 配置步骤:
使用版本:E0006P05
// 按照组网图配置各接口的IP地址,具体配置过程略
#
// 配置内部服务器组0及其成员10.0.0.2、10.0.0.4和10.0.0.4
nat server-group 0
inside ip 10.0.0.2 port 80
inside ip 10.0.0.3 port 80
inside ip 10.0.0.4 port 80
#
// 在接口Gigabitethernet0/1上配置负载分担内部服务器,引用内部服务器组0,该组内的主机共同对外提供WWW服务
interface gigabitethernet 0/1
nat server protocol tcp global 202.39.1.1 80 inside server-group 0
#
四、配置关键点:
1、 nat server-group命令用来配置一个内部服务器组。一个内部服务器组中可以包括多个内部服务器组成员(通过inside ip命令配置)。
2、 nat server-group可以用在接口做nat server配置多个内部服务器负载分担,MSR-G2路由器会自动根据当前内部服务器的负载情况,将报文转发到不同的服务器。
负载分担原理:
在配置内部服务器时,将内部服务器的内网信息指定为一个内部服务器组,组内的很多台主机可以同时对外提供某种服务器。外网用户向内部服务器指定的外网地址发起应用请求时,NAT设备可以根据内网服务器的权重和当前连接数选择其中一台内网服务器作为目的服务器,实现内网服务器负载分担。
内网用户通过域名访问地址重叠的外网NAT配置
一、 组网需求:
某公司内网网段地址为192.168.1.0/24,该网段与要访问的外网Web服务器所在网段地址重叠。该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。需要实现,内网用户可以通过域名访问外网的Web服务器。
dns server上绑定域名的地址为web server的192.168.1.10。
设备清单:MSR-G2系列路由器1台
二、 组网图:
图1 MSR-G2系列路由器内网用户通过NAT地址访问外网组网图
三、 配置步骤:
使用版本:E0006P05
// 按照组网图配置各接口的IP地址,具体配置过程略
#
// 开启DNS的NAT ALG功能
nat alg dns
#
// 配置ACL 2000,仅允许对192.168.1.0/24网段的用户报文进行地址转换
acl number 2000
rule permit source 192.168.1.0 0.0.0.255
#
// 创建地址组1
nat address-group 1
// 添加地址组成员202.38.1.2。
address 202.38.1.2 202.38.1.2
#
// 创建地址组2
nat address-group 2
// 添加地址组成员202.38.1.3
address 202.38.1.3 202.38.1.3
#
interface gigabitethernet 0/1
// 在接口GigabitEthernet0/1上配置入方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的外网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换
nat inbound 2000 address-group 1 no-pat reversible
// 在接口GigabitEthernet0/1上配置出方向动态地址转换,允许使用地址组2中的地址对内网访问外网的报文进行源地址转换,并在转换过程中使用端口信息
nat outbound 2000 address-group 2
#
// 配置静态路由,目的地址为外网服务器NAT地址202.38.1.2,出接口为GigabitEthernet0/1,下一跳地址为20.1.1.2(20.1.1.2为本例中的直连下一跳地址,实际使用中请以具体组网情况为准)
ip route-static 202.38.1.2 32 gigabitethernet 0/1 20.1.1.2
#
四、 结果验证:
略
五、 配置关键点:
1.nat inbound和nat outbound必须都配置在出口上。
2.nat inbound需要配置no-pat reversible。
3.需要使能nat alg dns功能。
4.这是一个典型的双向NAT的应用,与V5不同的是,V5不支持双向NAT,以往这种需求都是通过公网接口做NAT Outbound、内网接口做NAT ? Server来实现,V7支持双向NAT后,可以在同一个接口下用NAT Inbound和NAT Outbound来实现。
5.no-pat reversible表示允许反向地址转换。即,在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
6.G2 nat为基于接口的,要保证回复报文能再次通过nat接口,才可以匹配到nat session。在V5设备中有双向nat的需求时以往我们通过nat server和nat outbound配置使用来规避,分别配置在内网和外网口,同时必须关闭快转,在G2设备中可以直接将两个nat配置在同一个接口,不必关快转。
7.nat dns alg转换的时候是判断dns载荷中的ip是否匹配acl 2000,如果匹配则创建NO-PAT表项并用address-group 1中的地址替换dns载荷中的IP 。
外网用户使用域名访问内部服务器典型配置
一、 组网需求:
某公司内部对外提供Web服务,Web服务器地址为172.31.123.2/24。
该公司在内网有一台DNS服务器,IP地址为172.31.123.3/24,用于解析Web服务器的域名。
该公司拥有两个外网IP地址:192.168.0.2和192.168.0.3。
需要实现,外网主机可以通过域名访问内网的Web服务器。
二、 组网图:
图1 MSR-G2系列路由器外网用户使用域名访问内部服务器组网图
三、 配置步骤:
使用版本:E0006P05
// 按照组网图配置各接口的IP地址,具体配置过程略。
#
// 开启DNS协议的ALG功能
nat alg dns
#
// 配置ACL 2000,允许对内部网络中172.31.123.2的报文进行地址转换
acl number 2000
rule permit source 172.31.123.2 0
#
// 创建地址组1
nat address-group 1
// 添加地址组成员192.168.0.3。
address 192.168.0.3 192.168.0.3
#
// 在接口GigabitEthernet0/0上配置NAT内部服务器,允许外网主机使用地址192.168.0.2访问内网DNS服务器
interface gigabitethernet 0/0
nat server protocol udp global 192.168.0.2 inside 172.31.123.3 domain
// 在接口GigabitEthernet0/0上配置出方向动态地址转换,允许使用地址组1中的地址对DNS应答报文载荷中的内网地址进行转换,并在转换过程中不使用端口信息,以及允许反向地址转换
nat outbound 2000 address-group 1 no-pat reversible
#
四、 配置关键点:
1. 需要开启nat alg dns功能。
2.在公网口需要配置对应内网服务器的nat server功能。
3.reversible表示允许反向地址转换。即,在内网用户主动向外网发起连接并成功触发建立地址转换表项的情况下,允许外网向该内网用户发起的连接使用已建立的地址转换表项进行目的地址转换。
内网用户通过NAT地址访问内网服务器典型配置
一、 组网需求:
为使外网主机可以通过外网地址访问内网WEB服务器,同时使内网主机通过外网地址访问内网WEB服务器。
设备清单:MSR-G2系列路由器1台
二、 组网图:
图1 MSR-G2系列路由器内网用户通过NAT地址访问内网服务器组网图
三、 配置步骤:
使用版本:E0006P05
// 按照组网图配置各接口的IP地址,具体配置过程略
#
// 配置ACL 2000,允许对内部网络中192.168.1.0/24网段的报文进行地址转换
acl number 3000
rule permit source 192.168.1.0 0.0.0.255
#
// 在接口GigabitEthernet0/1上配置NAT内部服务器,允许外网主机使用地址202.38.1.1访问内网web服务器,同时使得内网主机访问内网web服务器的报文可以进行目的地址转换
#
interface gigabitethernet 0/1
nat server protocol tcp global 202.38.1.1 80 inside 192.168.1.2 80
// 在接口GigabitEthernet0/1上配置Easy IP方式的出方向动态地址转换,使得内网主机访问内网web服务器的报文可以使用接口GigabitEthernet0/1的IP地址进行源地址转换
nat outbound 3000
#
// 在接口GigabitEthernet0/0上使能NAT hairpin功能
#
interface gigabitethernet 0/0
nat hairpin enable //必须使能nat hairpin
#
四、配置关键点:
NAT hairpin功能用于满足位于内网侧的用户之间或用户与服务器之间通过NAT地址进行访问的需求,需要在内网口使能。需要与nat server、nat outbound或nat static outbound配合工作。
使能NAT hairpin的内网侧接口上会对报文同时进行源地址和目的地址的转换。
hairpin工作原理:
公网口配置nat server和outbound,内网口使能hairpin功能,内网主机通过外网地址访问内网服务器时,源和目的按照公网口的配置进行替换。
如果有多个外网口都配置了nat server和nat outbound的话,目的IP地址转换通过匹配外网侧接口上的内部服务器配置来完成,源地址转换通过匹配内部服务器所在接口上的出方向动态地址转换或出方向静态地址转换来完成。