S6500系列交换机NAT功能的配置方法
作者:
S6500系列交换机NAT功能的配置方法
组网需求:
1) 某公司的一个内部网络在Quidway S3528的连接下,要求通过Quidway S6506R的地址转换功能连接到广域网,访问Internet;
2) 内部网络VLAN2中两台PC的私有地址为192.168.1.2和192.168.1.3;
3) 在S6506R中,实现NAT功能的业务处理板插在第七槽位;
4) NAT地址池里有200.18.2.3~200.18.2.5三个合法的公网IP地址;
5) VLAN10接口的IP地址为200.18.2.2,子网掩码为255.255.255.252;
6) 各个网段之间已配置了静态路由,保证路由可达。
配置步骤:
1. 进行Quidway S3528的配置
1) 在连接内部网络用户的一端,创建VLAN2和接口,配置IP地址。
system-view
[S3528] vlan 2
[S3528-vlan2] port ethernet0/1 to ethernet0/2
[S3528-vlan2] quit
[S3528] interface vlan-interface 2
[S3528-vlan-interface2] ip address 192.168.1.1 255.255.255.0
2) 在连接Quidway S6506R的一端,创建VLAN3和接口,配置IP地址。
[S3528] vlan 3
[S3528-vlan3] port ethernet0/24
[S3528-vlan3] quit
[S3528] interface vlan-interface 3
[S3528-vlan-interface3] ip address 192.168.2.1 255.255.255.0
2.进行Quidway S6506R的配置
1) 在连接Quidway S3528的一端,创建VLAN3和接口,配置IP地址。
[S6506R] vlan 3
[S6506R-vlan3] port ethernet1/0/1
[S6506R-vlan3] quit
[S6506R] interface vlan-interface 3
[S6506R-vlan-interface3] ip address 192.168.2.2 255.255.255.0
2) 在连接到Internet的一端,创建VLAN10和接口,配置IP地址。
[S6506R] vlan 10
[S6506R-vlan10] port ethernet3/0/1
[S6506R-vlan10] quit
[S6506R] interface vlan-interface 10
[S6506R-vlan-interface10] ip address 200.18.2.2 255.255.255.0
3) 配置ACL规则。
[S6506R] acl number 2000
[S6506R-acl-basic-2000] rule 0 permit source any
4) 配置标识为0的NAT地址池。
[S6506R] nat address-group 0 200.18.2.3 200.18.2.5
5) 将ACL和地址池关联起来。
[S6506R] interface vlan-interface 10
[S6506R -vlan-interface10] nat outbound 2000 address-group 0 slot 7
四、配置关键点:
1.NAT功能的配置要在VRP版本号在3040(含)以后版本上才能进行;
2.NAT功能需要有VSNP单板(一般称为L3+板)的支持。支持VSNP单板的主控板为Salience III和Salience III Plus。
3. nat outbound acl-number address-group group-number [no-pat ] slot slot-numbe
选择no-pat:只转换数据包的IP地址而不转换端口,即只实现一一对应的网络地址转换;
不选择no-pat:启用了NAPT功能,对数据包的IP地址和端口进行转换,实现多对一的网络地址转换。
1) 某公司的一个内部网络在Quidway S3528的连接下,要求通过Quidway S6506R的地址转换功能连接到广域网,访问Internet;
2) 内部网络VLAN2中两台PC的私有地址为192.168.1.2和192.168.1.3;
3) 在S6506R中,实现NAT功能的业务处理板插在第七槽位;
4) NAT地址池里有200.18.2.3~200.18.2.5三个合法的公网IP地址;
5) VLAN10接口的IP地址为200.18.2.2,子网掩码为255.255.255.252;
6) 各个网段之间已配置了静态路由,保证路由可达。
配置步骤:
1. 进行Quidway S3528的配置
1) 在连接内部网络用户的一端,创建VLAN2和接口,配置IP地址。
[S3528] vlan 2
[S3528-vlan2] port ethernet0/1 to ethernet0/2
[S3528-vlan2] quit
[S3528] interface vlan-interface 2
[S3528-vlan-interface2] ip address 192.168.1.1 255.255.255.0
2) 在连接Quidway S6506R的一端,创建VLAN3和接口,配置IP地址。
[S3528] vlan 3
[S3528-vlan3] port ethernet0/24
[S3528-vlan3] quit
[S3528] interface vlan-interface 3
[S3528-vlan-interface3] ip address 192.168.2.1 255.255.255.0
2.进行Quidway S6506R的配置
1) 在连接Quidway S3528的一端,创建VLAN3和接口,配置IP地址。
[S6506R] vlan 3
[S6506R-vlan3] port ethernet1/0/1
[S6506R-vlan3] quit
[S6506R] interface vlan-interface 3
[S6506R-vlan-interface3] ip address 192.168.2.2 255.255.255.0
2) 在连接到Internet的一端,创建VLAN10和接口,配置IP地址。
[S6506R] vlan 10
[S6506R-vlan10] port ethernet3/0/1
[S6506R-vlan10] quit
[S6506R] interface vlan-interface 10
[S6506R-vlan-interface10] ip address 200.18.2.2 255.255.255.0
3) 配置ACL规则。
[S6506R] acl number 2000
[S6506R-acl-basic-2000] rule 0 permit source any
4) 配置标识为0的NAT地址池。
[S6506R] nat address-group 0 200.18.2.3 200.18.2.5
5) 将ACL和地址池关联起来。
[S6506R] interface vlan-interface 10
[S6506R -vlan-interface10] nat outbound 2000 address-group 0 slot 7
四、配置关键点:
1.NAT功能的配置要在VRP版本号在3040(含)以后版本上才能进行;
2.NAT功能需要有VSNP单板(一般称为L3+板)的支持。支持VSNP单板的主控板为Salience III和Salience III Plus。
3. nat outbound acl-number address-group group-number [no-pat ] slot slot-numbe
选择no-pat:只转换数据包的IP地址而不转换端口,即只实现一一对应的网络地址转换;
不选择no-pat:启用了NAPT功能,对数据包的IP地址和端口进行转换,实现多对一的网络地址转换。