華爲AR配置內部服務器示例（只有1個公網IP）

AR配置公網和私網用戶均可以經過公網地址訪問內部服務器示例（只有1個公網IP）

適用於：V200R003C01及之後的系統軟件版本。

組網需求：

因爲只有1個公網IP（100.100.1.2），想實現內網用戶經過路由器的NAT地址轉換功能來訪問Internet，而且向外網用戶提供FTP和WWW服務。

另外，還要實現和兩臺服務器的IP地址同在一個網段的PC也須要經過公網地址訪問這兩臺服務器。

組網規劃：

內網FTP服務器IP：192.168.1.2，端口使用默認的21。映射的公網IP爲出接口IP（100.100.1.2），公網端口號規劃爲21。

內網WEB服務器IP：192.168.1.3，端口使用默認的80。映射的公網IP爲出接口IP（100.100.1.2），公網端口號規劃爲9080。

拓撲簡圖：

配置思路：

· 完成基本上網和外網接口的服務器靜態映射配置，能夠正常對外網用戶提供FTP和WWW服務。

· 爲內網接口配置服務器靜態映射功能和NAT Outbound，使內網用戶也能夠經過公網地址訪問內網服務器。

操做步驟：

說明：若是外網接口的映射已經OK，能夠直接參見第四步增長內網接口的NAT配置便可。

1、完成基本上網配置

本案例着重講解如何使內網用戶也能夠經過公網地址訪問內網服務器。基本上網配置部分能夠直接參見下面的案例：

http://support.huawei.com/huaweiconnect/enterprise/forum.php?mod=viewthread&tid=407725

2、配置外網接口的服務器靜態映射

==========================================================

<AR> system-view                     //先從用戶視圖切換到系統視圖再進行配置

[AR] interface GigabitEthernet 0/0/1

[AR-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 21 inside 192.168.1.2 21        //配置FTP協議的服務器靜態映射

[AR-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 9080 inside 192.168.1.3 80    //配置HTTP協議的服務器靜態映射

[AR-GigabitEthernet0/0/1] quit

==========================================================

說明：命令中的current-interface參數用於指定映射的公網地址爲當前的接口地址，標紅的爲自行規劃映射的公網端口號，標藍的爲內網服務器自己的相關參數（私網IP、協議和端口）。

3、配置NAT ALG功能

說明：FTP協議是一個典型的多通道協議，須要配置NAT ALG功能，實現報文正常穿越NAT，而HTTP協議不須要。

[AR] nat alg ftp enable                                                           //開啓FTP協議的NAT ALG功能

4、配置內網接口的服務器靜態映射和NAT Outbound

說明：先建立一個高級ACL，配置規則匹配與服務器相同的內網網段經過公網IP訪問服務器的流量，並在內網接口上配置nat outbound引用此ACL。而後把外網接口的NAT服務器靜態映射配置複製出來，將其中的「current-interface」參數改成「interface 外網接口類型 接口編號」後粘貼到內網三層接口。

[AR] acl number 3333

[AR-acl-adv-3333] rule permit ip source 192.168.1.0 0.0.0.255 destination 100.100.1.2 0       //注意：目的IP要寫服務器映射的公網IP

[AR] interface vlanif 1     //服務器靜態映射和NAT Outbound功能須要進入內網的三層接口下配置，請以實際使用的接口爲準，這裏爲vlanif1接口

[AR-Vlanif1] nat server protocol tcp global interface GigabitEthernet 0/0/1 21 inside 192.168.1.2 21

[AR-Vlanif1] nat server protocol tcp global interface GigabitEthernet 0/0/1 9080 inside 192.168.1.3 80

[AR-Vlanif1] nat outbound 3333

[AR-Vlanif1] return