【H3C技术】配置NAT Server负载分担

配置NAT Server负载分担
应用环境
在校园网和企业网的应用中，NE20E路由器和NE16E路由器主要作为网络的出口路由器，控制内部网络访问Internet。

由于公网IP地址日益短缺，校园网和企业网的内部网络会使用私网IP地址进行编址。因此当内网主机访问Internet时，需要给该主机分配一个公网IP地址，就需要在出口路由器上部署NAT特性，这样通过NAT将内部主机的私网IP地址转换成公网IP地址使主机可以访问Internet上的资源。

当校园网和企业网的内部网络需要向外部提供FTP、WWW等服务时，就要在出口路由器上部署NAT Server功能，这样可以向外部提供一个固定的在Internet被访问的公网IP地址。Internet上的主机就可以通过这个固定的公网IP地址访问内网的FTP服务器或WWW服务器。

如果内部网络关于某个业务只提供了一个服务器，并且有过多的用户同时访问该服务器，就会造成该服务器的性能下降，访问速度过慢。这时就需要在内部网络中部署多个服务器（这些服务器提供的服务内容是完全一致的），并且在出口路由器上配置NAT Server负载分担功能。

配置思路
采用以下思路进行配置：

配置NAT地址池和访问控制列表。
在与公网连接的接口上应用NAT。
配置内部服务器。
配置内部网络用户能通过公网地址访问内部服务器的静态路由。
配置注意事项
NE20E路由器支持一个公网地址最多对应3个私网地址进行NAT Server负载分担。

配置实例
组网需求
如下图所示，一个校园网通过NE20E的地址转换功能连接到Internet和Cernet。校园内部对外提供WWW服务，而且提供三台WWW服务器，Internet和Cernet网络上的外部用户可以通过一个固定的公网IP地址（100.1.1.1）来访问公司内部提供的WWW服务。学校为服务器分配了固定的私网网段（10.10.10.0/24）。

说明

在实际网络中，Internet上的主机是通过域名访问校园的WWW服务器。

NAT Server负载分担

 

适用产品和版本
出口路由器采用NE20E设备，版本为(VRP5.30-23)及后续版本。

配置步骤
步骤 1     配置NAT地址池和访问控制列表。

# 配置地址池和访问控制列表。

<CK-HW-NE20E-1> system-view

[CK-HW-NE20E-1] nat address-group 1 100.1.1.1 100.1.1.1 mask 255.255.255.252

[CK-HW-NE20E-1] ip route-static 100.1.1.1 255.255.255.252 null0

[CK-HW-NE20E-1] acl number 2000

[CK-HW-NE20E-1-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255

[CK-HW-NE20E-1-acl-basic-2000] rule deny source any

[CK-HW-NE20E-1-acl-basic-2000] quit

步骤 2     配置内部服务器。

# 允许Internet上的用户访问学校内部的WWW服务器。

[CK-HW-NE20E-1] interface ethernet 1/0/0

[CK-HW-NE20E-1-Ethernet1/0/0] description to Internet

[CK-HW-NE20E-1-Ethernet1/0/0] ip address 110.1.1.1 255.255.255.252

[CK-HW-NE20E-1-Ethernet1/0/0] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1

[CK-HW-NE20E-1-Ethernet1/0/0] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1

[CK-HW-NE20E-1-Ethernet1/0/0] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1

# 允许Cernet网络上的外部用户访问校园内部的WWW服务器。

[CK-HW-NE20E-1] interface ethernet 1/0/1

[CK-HW-NE20E-1-Ethernet1/0/1] description to Cernet

[CK-HW-NE20E-1-Ethernet1/0/1] ip address 120.1.1.1 255.255.255.252

[CK-HW-NE20E-1-Ethernet1/0/1] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1

[CK-HW-NE20E-1-Ethernet1/0/1] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1

[CK-HW-NE20E-1-Ethernet1/0/1] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1

步骤 3     配置内部网络用户能通过公网地址访问内部服务器的静态路由。

# 内部网络用户能通过公网地址访问内部服务器，需要配置一条静态路由。

[CK-HW-NE20E-1] ip route-static 100.1.1.1 30 Ethernet1/0/0 110.1.1.1

验证结果
当配置完成后，在CK-HW-NE20E-1路由器执行display nat server命令，可以看到如下信息。

[CK-HW-NE20E-1] display nat server

Server in private network information:

      GlobalAddr   GlobalPort      InsideAddr   InsidePort   Pro     VPN     Ref

Interface:Ethernet5/0/0

100.1.1.1(1,2000)        80(www)   10.10.10.3      80(www)   6(tcp)         (1)

                                   10.10.10.2

                                   10.10.10.1

  Total   1 NAT servers

当有用户登录到WWW服务器上时，在CK-HW-NE20E-1路由器上执行display firewall session table命令，可以看到如下信息。

[CK-HW-NE20E-1] display firewall session table

  WWW,90.1.1.2:51755+->100.1.1.1:80[10.10.10.2:80]

说明

当用户通过公网地址访问WWW服务器时，NE20E路由器是随机从配置的三个内部WWW服务器中选择一个的。

配置文件
#

sysname CK-HW-NE20E-1

#

nat address-group 1 100.1.1.1 100.1.1.1 mask 255.255.255.252

#

acl number 2000

rule 5 permit source 10.10.10.0 0.0.0.255

rule 10 deny source any

#

interface Ethernet1/0/0

description to Internet

 ip address 110.1.1.1 255.255.255.252

nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1

nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1

nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1

#

interface Ethernet1/0/1

 description to Cernet

 ip address 120.1.1.1 255.255.255.252

nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1

nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1

nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1

#

#

ip route-static 100.1.1.1 255.255.255.252 Ethernet1/0/0 110.1.1.1

ip route-static 100.1.1.1 255.255.255.252 null0

#

return