锐捷RG-RSR20-04E上网配置

Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-date锐捷RG-RSR20-04E上网配置锐捷RG-RSR20-04E上网配置章节介绍：该章节主要介绍，针对固化交换模块路由器的基本上网配置，这些路由器型号包含RSR10-02E、RSR20-04E、RSR20-14E/F等这些设备的共同特点为设备都为路由接口，由于设备本身携带交换口，如有多台PC需要上网，则可直接将PC连接到交换口上，进行上网通过该章节，可以实现通过NAT上网以及内网服务器映射功能。功能介绍：PAT：端口地址转换，又叫网络地址端口转换（NAPT），通过 外网接口的IP地址+端口号来对应和区别各个数据流进行网络地址转换，以达到多内部主机通过外网接口的IP地址来访问外部网络的目的。通常用在只有一个公网地址时的场景。地址池转换：公网地址池的IP地址+端口号来对应和区别各个数据流进行网络地址转换，以达到多内部主机通过少量公网IP地址来访问外部网络的目的。通常用在有多个1个出口有多个公网ip地址的情况静态NAT：把内部主机的ip地址一对一的映射成公网ip地址，或者 内部主机的ip地址+端口 一对一的映射成 公网ip地址+端口。通常用在需要将内部主机映射成公网地址，或者内部服务器的某个端口映射成公网地址的某个端口，达到通过访问公网地址或者公网地址+端口号来访问内部服务器的目的。应用场景企业通过租用运营商的专线上网，分别介绍以下三个场景的应用，实现相应的功能。场景一：当只有一个公网IP地址的时候，需要把内网用户的地址全部转换成外网接口的IP地址，使内网用户能够访问外网。场景二：当有一个公网IP地址段的时候，需要把内网用户的地址全部转换成公网地址段的IP地址，使内网能够访问外网。场景三：将内网服务器映射到某一公网IP，使外网用户能够通过访问该公网IP来访问内网服务器的资源。一、组网需求RSR路由器做因特网出口，内部PC和服务器网关均在路由器上，通过路由器访问外网，同时内网有一台服务器，需将服务器地址（端口）映射到公网地址（端口），为外界提供服务。注，内网pc属于vlan10网段，内网服务器属于vlan20网段。二、组网拓扑三、配置要点1、基本ip地址配置2、内网终端划分到相应的vlan中3、基本的ip路由配置4、DHCP服务器配置5、定义nat的内网口和外网口6、在R1上配置ACL，把内网需要进行NAT转换的流量匹配出来7、配置场景一NAT转换策略8、配置场景二NAT转换策略9、配置场景三NAT转换策略四、配置步骤1、基本ip地址配置Ruijie(config)#hostname R1R1(config)#interface gigabitEthernet 0/1R1(config-GigabitEthernet 0/1)#ip address 192.168.2.1 255.255.255.0R1(config-GigabitEthernet 0/1)#exitR1(config)#vlan 10 R1(config-vlan)#exitR1(config)#vlan 20R1(config-vlan)#exitR1(config)#inter vlan 10R1(config-if-VLAN 10)#ip add 172.16.1.254 255.255.255.0R1(config-if-VLAN 10)#exit R1(config)#inter vlan 20R1(config-if-VLAN 20)#ip add 172.16.2.254 255.255.255.02、内网终端划分到相应的vlan中R1(config)#inter fastEthernet 1/2R1(config-if-FastEthernet 1/2)#switchport access vlan 10 / 划分内网pc接口属于vlan10R1(config)#inter fastEthernet 1/13R1(config-if-FastEthernet 1/13)#switchport access vlan 20 / 划分服务器接口属于vlan203、配置出口路由器路由 R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.2 / 出口路由配置到英特网的默认路由4、DHCP服务器配置R1(conf)#service dhcp /开启DHCP服务R1(conf)#ip dhcp pool ruijie /ruijie是dhcp地址池的名字，可以随便取R1(dhcp-config)#netw 172.16.1.0 255.255.255.0 /电脑需要获得的ip地址的网段R1(dhcp-config)#default-router 172.16.1.254 /电脑属于VLAN 10下的网关地址，即使vlan10的接口的ip地址R1(dhcp-config)#dns-server 202.96.113.34 202.96.13.35 / 电脑的DNS，前面一个是主的dns，后面一个是备dnsR1(conf)#ip dhcp pool ruijie2 /ruijie2是dhcp地址池的名字，可以随便取R1(dhcp-config)#netw 172.16.2.0 255.255.255.0 /电脑需要获得的ip地址的网段R1(dhcp-config)#default-router 172.16.2.254 /电脑属于VLAN 10下的网关地址，即使vlan10的接口的ip地址R1(dhcp-config)#dns-server 202.96.113.34 202.96.13.35 / 电脑的DNS，前面一个是主的dns，后面一个是5、定义nat的内网口和外网口R1(config)#interface gigabitEthernet 0/1R1(config-GigabitEthernet 0/1)#ip nat outside /配置nat的外网口R1(config-GigabitEthernet 0/1)#exitR1(config)#inter vlan 10R1(config-if-VLAN 10)#ip nat insideR1(config-if-VLAN 10)#exit R1(config)#inter vlan 20R1(config-if-VLAN 20)#ip nat inside6、在R1上配置ACL，把内网需要进行NAT转换的流量匹配出来R1(config)#ip access-list standard 10R1(config-std-nacl)#10 permit 172.16.1.0 0.0.0.255R1(config-std-nacl)#10 permit 172.16.2.0 0.0.0.255R1(config-std-nacl)#exit7、配置场景一nat转换策略R1(config)#ip nat inside source list 10 interface gigabitEthernet 0/1 overload /将acl 10匹配的流量，执行nat转换，转换成gigabitEthernet 0/1口的地址8、配置场景二nat转换策略 1）配置公网地址池R1(config)#ip nat pool ruijie netmask 255.255.255.0 /配置一个名字为ruijie的公网地址池R1(config-ipnat-pool)#address 192.168.2.10 192.168.2.11 /公网地址的起始ip地址，结束ip地址R1(config-ipnat-pool)#address 192.168.2.15 192.168.2.15 /若有多个公网地址，但是不连续，可以配置多个公网地址段R1(config-ipnat-pool)#exit注意： 1）公网地址池的地址，不一定要跟外网口的地址在同一个网段，只要是外网分配的可用ip地址就可以。 2）公网地址的起始ip地址和结束ip地址可以不连续2）配置nat转换策略R1(config)#ip nat inside source list 10 pool ruijie overload /将acl 10匹配的流量，执行nat转换，转换成地址池ruijie里面的地址注意： overload参数是执行nat重载的含义，若不加overload是执行动态的ip一对一映射，不会执行端口转换，不能解决公网地址不够的问题。若是在网络出口执行NAT，是为了解决公网地址不够的问题，必须要加overload参数。9、配置场景三nat转换策略将内网服务器172.16.2.100 映射成公网地址192.168.2.168；或者将内网172.16.1.100 tcp 80端口 映射成公网的192.168.2.168 的80端口。 如下分别为基于ip地址的一对一映射及基于TCP、UDP协议的端口映射的配置示例： 1）基于ip地址的一对一映射R1(config)#ip nat inside source static 172.16.2.100 192.168.2.168 permit-inside /把内网172.16.1.100 映射成公网的192.168.2.168 2）基于TCP、UDP协议的端口映射R1(config)#ip nat inside source static tcp 172.16.2.100 80 192.168.2.168 80 permit-inside /把内网172.16.1.100 tcp 23端口 映射成公网的192.168.2.168 的23端口注意：1）静态nat转换，可以进行ip地址一对一的转换，也可以基于TCP、UDP协议进行端口转换。2）permit-inside功能：当有内网服务器静态映射成公网地址时，内网PC若需要通过该公网地址访问服务器，就必须配置permit-inside参数，在配置静态nat时，建议都配置permit-inside参数。五、配置验证场景一验证：测试内网能否正常访问外网，若内网PC可以正常访问外网，则NAT配置正确。在出口路由器上查看NAT转换表项如下：场景二验证：测试内网能否正常访问外网，若内网PC可以正常访问外网，则NAT配置正确。在出口路由器上查看NAT转换表项如下：-