内外网互访

拓扑

需求

1. 公司租用公网IP地址（100.1.1.0/29）,通过地址池NAT和外界通信
2. 除vlan40所在网段外，其他内网业务网段都能访问外网

   -nat地址池

   -100.1.1.3

   -100.1.1.4

   -100.1.1.5

3. 外部主机Client1可以访问内网的web服务器
4. 租用的公网地址为100.1.1.6，用于内网服务器的发布

   -100.1.1.6

配置步骤：

1）配置接口IP地址

2）配置acl --定义哪些内网流量可以访问互联网

3）配置nat地址池

4）在出口设备的出接口上配置nat地址池

5）在出口设备的出接口上配置nat-server

6）出口设备要配置默认路由

7) 在内网网关-核心设备（SW5/SW6) 要不要有默认路由--如何来配置呢？

配置命令：

1）在ISP设备配置接口IP地址
[R20]sys ISP-dx
[ISP-dx]int g0/0/0
[ISP-dx-GigabitEthernet0/0/0]ip add 200.1.1.254 24
[ISP-dx-GigabitEthernet0/0/0]int g0/0/1
[ISP-dx-GigabitEthernet0/0/1]ip add 100.1.1.2 29

2）在出口设备配置出口设备出接口IP地址
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]ip address 100.1.1.1 29

3）在出口设备配置acl 定义允许那些内网网段可以做nat转换
[R1]acl 2000
[R1-acl-basic-2000]rule 10 deny source 192.168.40.0 0.0.0.255
[R1-acl-basic-2000]rule 20 permit source any 

3）在出口设备创建公网NAT转换地址池
[R1]nat address-group 1 100.1.1.3 100.1.1.5

4）在出口设备配置默认路由
[R1]ip route-static 0.0.0.0 0.0.0.0 100.1.1.2

5) 在R1的ospf中引入默认路由，让SW5和SW6学习ospf的默认路由
[R1-ospf-1]default-route-advertise 

6）配置nat转换
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]nat outbound  2000 address-group 1  

验证：内网主机是否可以访问公网IP地址

7）配置NAT-server 
[R1]int g0/0/2
[R1-G0/0/2]nat server protocol tcp global 100.1.1.6 www inside 192.168.88.1 www
[R1-G0/0/2]nat server  protocol icmp global 100.1.1.6  inside 192.168.88.1


## 易错点解析
公网主机通过公网地址无法访问内网主机
当NAT server转换为私网地址后，查找路由表有两条去往192.168.88.0的等价路由
华为的路由器将不做nat-server 地址转换，为什么? 
因为华为的nat-server 会话表 要求 路径对称

什么是路径对称：
就是：流量出去的时候走的那条路，流量回来的时候要求路径一致

华为的路由器有这种要求，但是华为的防火墙并不要求路径对称

所以我们要确保出口设备R1 去往192.168.88.1/24 的路由只有一个唯一的下一跳

<R1>display ip routing-table 192.168.88.1
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Destination/Mask    Proto   Pre  Cost   NextHop         Interface
 192.168.88.0/24     OSPF    10   2      192.168.15.5    G0/0/0
                    OSPF    10   2      192.168.15.5    G0/0/0 

如果R1去往192.168.88.1/24 有两个下一跳，就不会做nat-server 地址转换
 
 解决方案： 
 解决方式一： 
如果在SW6的ospf中也创建了area 88 ,并且宣告了192.168.88.0/24
那么要在SW6上将interface vlanif88的接口cost值调高

[SW6]int Vlanif 88
[SW6-Vlanif88]ospf cost 10


 解决方式二： 
在sw6上不宣告vlanif88网段。
[SW6]ospf 1 
[SW6-ospf-1]area  88
[SW6-ospf-1-area-0.0.0.88]undo network 192.168.88.0 0.0.0.255
[SW6-ospf-1-area-0.0.0.88]quit
[SW6-ospf-1]undo area 88

验证：
发现外网主机可以访问内网服务器