1、.一、思科设备示例1.1Router示例Router(config)#interfacee0/0Router(config-if)#ipadd192.168.1.1255.255.255.0Router(config-if)#ipnatinsideRouter(config)#interfacee0/1Router(config-if)#ipadd202.101.1.46255.255.255.248Router(config-if)#ipnatoutsideRouter(config)#ipnatinsidesourcestatictcp192.168.1.10080202.101.1.45
2、80Router(config)#access-list1permit192.168.1.00.0.0.255Router(config)#ipnatinsidesourcelist1interfacee0/1overloadRouter(config)#iproute0.0.0.00.0.0.0202.101.1.41Router(config)#ipdnsserverRouter(config)#ipdomain-lookupRouter(config)#ipname-server202.101.172.46Router(config)#192.168.1.100内部网络主机的DNS配置成
3、192.168.1.11.2Firewall示例A方法:static(inside,outside)202.101.1.45192.168.1.100netmask255.255.255.255access-list100extendedpermittcpanyhost202.101.1.45eq80access-group100ininterfaceousidealias(inside)192.168.1.100202.101.1.45255.255.255.255注意事项:某些FirewallIOS版本下,命令或不可成功,在policy-map添加一条命令即可:policy-mapglob
4、al_policyclassinspection_defaultinspectdnsmaximum-length512B方法:static(inside,outside)202.101.1.45192.168.1.100netmask255.255.255.255dnsaccess-list100extendedpermittcpanyhost202.101.1.45eq80access-group100ininterfaceouside二、华为与华三设备示例h3cinterfaceethernet0/0/0h3c-ethernet0/0/0ipaddress202.101.1.45255.2
5、55.255.248h3c-ethernet0/0/0natoutbound2000h3c-ethernet0/0/0natserverprotocoltcpglobal202.101.1.45wwwinside192.168.1.100wwwh3c-ethernet0/0/0natserverprotocoltcpglobal202.101.1.45ftpinside192.168.1.100ftph3c-ethernet0/0/0quith3caclnumber2000h3c-acl-basic-2000rule0permitsource192.168.1.00.0.0.255h3c-ac
6、l-basic-2000rule1denyh3cinterfaceethernet1/0/0h3c-ethernet1/0/0ipaddress192.168.1.1255.255.255.0h3cnatdns-202.101.1.4580tcph3cnatdns-202.101.1.4521tcp注意事项:较早的系统版本可能没有natdns-map命令,可参照如下配置:h3caclnumber3000h3c-acl-basic-3000rulepermitipsource192.168.1.00.0.0.255destination192.168.1.1000.0.0.0h3cinterfa
7、ceethernet1/0/0h3c-ethernet1/0/0natoutbound3000h3c-ethernet1/0/0natserverprotocoltcpglobal202.101.1.45wwwinside192.168.1.100www三、天融信设备示例企业WEB服务器(IP:172.16.1.2)通过防火墙MAP为202.99.27.201对内网用户提供WEB服务管理主机和WEB服务器同样处于网段172.16.1.0/24。正常情况下,管理主机与服务器之间的通信可以不经过防火墙,而经过其他路由达成。但是当管理主机使用公网地址(或域名)访问服务器时,数据包的源IP为管理主机地
8、址,目的地址为服务器公网地址。如果防火墙仅作目的NAT,则服务器收到数据包的源IP为管理主机地址,目的地址为自身地址。当其回应管理主机时,发出的数据包会不经过防火墙,而经过其他路由达成。此情况会导致会话无法建立。因此需要设置双向地址转换规则。配置命令:defineareaaddnameE0attributeeth0accessoffdefineareaaddnameE1attributeeth0accessondefinehostaddnameWEB_serveripaddr172.16.1.2definehostaddnameMAP_IPipaddr202.99.27.201definehostaddnameMAP_USERIPipaddr172.16.1.1natpolicyaddsrcareaE0orig_dstMAP_IPorig_servicehttptrans_srcMAP_USERIPtrans_dstWEB_server注意事项:定义双向NAT规则时,可以将源IP转换为任意一个虚拟IP地址,本例中将源地址转换为了防火墙eth0口的IP。.
