配置NAT Server负载分担
应用环境
在校园网和企业网的应用中,NE20E路由器和NE16E路由器主要作为网络的出口路由器,控制内部网络访问Internet。
由于公网IP地址日益短缺,校园网和企业网的内部网络会使用私网IP地址进行编址。因此当内网主机访问Internet时,需要给该主机分配一个公网IP地址,就需要在出口路由器上部署NAT特性,这样通过NAT将内部主机的私网IP地址转换成公网IP地址使主机可以访问Internet上的资源。
当校园网和企业网的内部网络需要向外部提供FTP、WWW等服务时,就要在出口路由器上部署NAT Server功能,这样可以向外部提供一个固定的在Internet被访问的公网IP地址。Internet上的主机就可以通过这个固定的公网IP地址访问内网的FTP服务器或WWW服务器。
如果内部网络关于某个业务只提供了一个服务器,并且有过多的用户同时访问该服务器,就会造成该服务器的性能下降,访问速度过慢。这时就需要在内部网络中部署多个服务器(这些服务器提供的服务内容是完全一致的),并且在出口路由器上配置NAT Server负载分担功能。
配置思路
采用以下思路进行配置:
配置NAT地址池和访问控制列表。
在与公网连接的接口上应用NAT。
配置内部服务器。
配置内部网络用户能通过公网地址访问内部服务器的静态路由。
配置注意事项
NE20E路由器支持一个公网地址最多对应3个私网地址进行NAT Server负载分担。
配置实例
组网需求
如下图所示,一个校园网通过NE20E的地址转换功能连接到Internet和Cernet。校园内部对外提供WWW服务,而且提供三台WWW服务器,Internet和Cernet网络上的外部用户可以通过一个固定的公网IP地址(100.1.1.1)来访问公司内部提供的WWW服务。学校为服务器分配了固定的私网网段(10.10.10.0/24)。
说明
在实际网络中,Internet上的主机是通过域名访问校园的WWW服务器。
NAT Server负载分担
适用产品和版本
出口路由器采用NE20E设备,版本为(VRP5.30-23)及后续版本。
配置步骤
步骤 1 配置NAT地址池和访问控制列表。
# 配置地址池和访问控制列表。
<CK-HW-NE20E-1> system-view
[CK-HW-NE20E-1] nat address-group 1 100.1.1.1 100.1.1.1 mask 255.255.255.252
[CK-HW-NE20E-1] ip route-static 100.1.1.1 255.255.255.252 null0
[CK-HW-NE20E-1] acl number 2000
[CK-HW-NE20E-1-acl-basic-2000] rule permit source 10.10.10.0 0.0.0.255
[CK-HW-NE20E-1-acl-basic-2000] rule deny source any
[CK-HW-NE20E-1-acl-basic-2000] quit
步骤 2 配置内部服务器。
# 允许Internet上的用户访问学校内部的WWW服务器。
[CK-HW-NE20E-1] interface ethernet 1/0/0
[CK-HW-NE20E-1-Ethernet1/0/0] description to Internet
[CK-HW-NE20E-1-Ethernet1/0/0] ip address 110.1.1.1 255.255.255.252
[CK-HW-NE20E-1-Ethernet1/0/0] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1
[CK-HW-NE20E-1-Ethernet1/0/0] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1
[CK-HW-NE20E-1-Ethernet1/0/0] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1
# 允许Cernet网络上的外部用户访问校园内部的WWW服务器。
[CK-HW-NE20E-1] interface ethernet 1/0/1
[CK-HW-NE20E-1-Ethernet1/0/1] description to Cernet
[CK-HW-NE20E-1-Ethernet1/0/1] ip address 120.1.1.1 255.255.255.252
[CK-HW-NE20E-1-Ethernet1/0/1] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1
[CK-HW-NE20E-1-Ethernet1/0/1] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1
[CK-HW-NE20E-1-Ethernet1/0/1] nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1
步骤 3 配置内部网络用户能通过公网地址访问内部服务器的静态路由。
# 内部网络用户能通过公网地址访问内部服务器,需要配置一条静态路由。
[CK-HW-NE20E-1] ip route-static 100.1.1.1 30 Ethernet1/0/0 110.1.1.1
验证结果
当配置完成后,在CK-HW-NE20E-1路由器执行display nat server命令,可以看到如下信息。
[CK-HW-NE20E-1] display nat server
Server in private network information:
GlobalAddr GlobalPort InsideAddr InsidePort Pro VPN Ref
Interface:Ethernet5/0/0
100.1.1.1(1,2000) 80(www) 10.10.10.3 80(www) 6(tcp) (1)
10.10.10.2
10.10.10.1
Total 1 NAT servers
当有用户登录到WWW服务器上时,在CK-HW-NE20E-1路由器上执行display firewall session table命令,可以看到如下信息。
[CK-HW-NE20E-1] display firewall session table
WWW,90.1.1.2:51755+->100.1.1.1:80[10.10.10.2:80]
说明
当用户通过公网地址访问WWW服务器时,NE20E路由器是随机从配置的三个内部WWW服务器中选择一个的。
配置文件
#
sysname CK-HW-NE20E-1
#
nat address-group 1 100.1.1.1 100.1.1.1 mask 255.255.255.252
#
acl number 2000
rule 5 permit source 10.10.10.0 0.0.0.255
rule 10 deny source any
#
interface Ethernet1/0/0
description to Internet
ip address 110.1.1.1 255.255.255.252
nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1
nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1
nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1
#
interface Ethernet1/0/1
description to Cernet
ip address 120.1.1.1 255.255.255.252
nat server protocol tcp global 100.1.1.1 www inside 10.10.10.1 www 2000 address-group 1
nat server protocol tcp global 100.1.1.1 www inside 10.10.10.2 www 2000 address-group 1
nat server protocol tcp global 100.1.1.1 www inside 10.10.10.3 www 2000 address-group 1
#
#
ip route-static 100.1.1.1 255.255.255.252 Ethernet1/0/0 110.1.1.1
ip route-static 100.1.1.1 255.255.255.252 null0
#
return
|
|
||
|
|
||
|
|
开班时间 | 班级类型 | 报名情况 |
---|
7月15日 |
H3CTE认证 |
热报中 |
7月8日 |
H3CSE培训 |
热报中 |
7月1日 |
H3CNE认证 |
热报中 |
8月19日 |
H3CTE认证 |
热报中 |
8月12日 |
H3CSE培训 |
热报中 |
8月5日 |
H3CNE培训 |
热报中 |
9月9日 |
H3CTE认证 |
热报中 |
9月2日 |
H3CSE认证 |
热报中 |
9月9日 |
H3CNE培训 |
热报中 |
7月22日 |
H3CIMC培训 |
热报中 |
7月15日 |
H3C无线培训 |
热报中 |
7月8日 |
H3CEAD培训 |
热报中 |
7月29日 |
H3CPME认证 |
热报中 |
7月22日 |
H3C安全认证 |
热报中 |
8月26日 |
H3CIMC培训 |
热报中 |
7月15日 |
H3C无线培训 |
热报中 |
7月8日 |
H3CEAD培训 |
热报中 |
8月26日 |
H3CPME认证 |
热报中 |
8月19日 |
H3C安全认证 |
热报中 |
9月23日 |
H3CIMC培训 |
热报中 |
9月23日 |
H3C无线培训 |
热报中 |
9月9日 |
H3CEAD培训 |
热报中 |
9月16日 |
H3CPME认证 |
热报中 |
9月23日 |
H3C安全认证 |
热报中 |
H3C培训 | H3C认证 | 西安金桥世纪 | H3C认证培训总代理 |
西安金桥世纪科技有限公司
版权所有 @ 2004-2011 西安金桥世纪科技有限公司 ICP备案号:京ICP备09013186号 网站备案号:京ICP备19057537号-1
地址:西安市锦业路都市之门D座1209室
邮编:710075
电话:029-89280300、87818627