单位内网访问外网的二种方式

        在先前的文章《华为交换机vlan及端口配置实践》中解决了外单位的外线接入后，怎么使用交换机让多台客户端使用外单位的网络问题，这样解决的方式有一个前题，就是外单位的网络允许我们设置多个该网络的ip地址，如果外网络中限制了ip个数，我们连接客户端的数量也就被限制了，很多情况中外网络只分配给我们一个ip地址。

        这种情况和家里的网络接入internet很像，我们只动态分配到一个公网的地址，但需要家里的所有终端上网。

        所以我们可以在内部网络和外线之间加一台路由器或交换机来解决这个问题

       最大区别就在于是否使用nat（地址转换）功能，一般路由器是带nat功能的，而交换机不带，就是带路由功能的三层交换机也很可能不带。

 

个人理解：如使用nat功能连接外网时， nat功能的设备（路由器）相当于一个代理，外网只知道所有通迅都是和nat功能的设备进行的，而不知道具体是我们的内部网络哪一个客户端。

如果不用nat功能的设备（交换机），相当于常说的打通内网和外网，外网是可明确知道访问它的内网客户端是谁。

 

从配置上来说，最大的区别是，如果用nat方式不需对外网的设备时行配置，而不用nat则需要外网配置对向路由。

也就是说，nat方式我们自己就可以完成配置，别一种需要别人网管人员配合。

 

下面说一下具体的配置方法：

 

模拟环境：

         外单位网络中只分配了一个ip地址（172.16.4.127）给我们，但我们有两台客户端需访问外单位中的服务器。以下的测试都是用华为模拟器完成（eNSP）

 

外单位：

     交换机a:172.16.4.121

     服务器a:172.16.4.125

 

内网：

     连接设备：172.16.4.127

     内网网关：10.1.1.254

     客户端：10.1.1.5和10.1.1.6

 

 

目的：实现内网客户端A和B,可以ping通外单位服务器a

nat方式示意图

非nat方式（静态路由方式）

 

 

 

 

1、 nat方式：

说明：外单位网络分配了一个ip（172.16.4.127，网关为172.16.4.121）给我们，我们自己的配置的内网为：10.1.1.0,网关为：10.1.1.254

 

 

--配置外网的ip地址组

nat address-group 0 172.16.4.127172.16.4.127   

 

--配置允许进行nat转换的内网地址

acl number 2000                                  

 rule0 permit source 10.1.1.0 0.0.0.255

 rule 1 deny

 

--将与外网连接的接口分配外网地址，并绑定地址转换规则

interface GigabitEthernet0/0/0

 ipaddress 172.16.4.127 255.255.255.0

 natoutbound 2000

 

--建立内网vlan

vlan 100

 

--建立内网的网关地址

int vlanif 100

ip address 10.1.1.254 255.255.255.0

 

 

--配置内网的两个端口

interface Ethernet0/0/0

 portlink-type access

 portdefault vlan 100

 

interface Ethernet0/0/1

 portlink-type access

 portdefault vlan 100

 

--配置默认路由

interface NULL0

ip route-static 0.0.0.0 0.0.0.0172.16.4.121

 

 

 

 

2、 非nat方式（静态路由方式）：

 

设置内网的交换机：

 

--建立两个vlan,10用于外网,20用于内网

vlan batch 10 20

 

--建立外网连接的地址

interface Vlanif10

 ipaddress 172.16.4.127 255.255.255.0

 

--建立内网的网关地址

interface Vlanif20

 ipaddress 10.1.1.254 255.255.255.0

 

--将与外网连接的端口加入vlan 10

interface GigabitEthernet0/0/1

 portlink-type access

 portdefault vlan 10

 

--将内网的两个端口加入vlan 20

interface GigabitEthernet0/0/2

 portlink-type access

 portdefault vlan 20

 

interface GigabitEthernet0/0/3

 portlink-type access

 portdefault vlan 20

 

--关键：设置一个指向外网网关的静态路由，将所有172.16的包发往172.16.4.121

ip route-static 172.16.0.0 255.255.0.0172.16.4.121

 

 

 

外单位交换机：

 

--关键：增加返回的静态路由，将所有10.1.1.0的包发往我们的交换机172.16.4.127

ip route-static 10.1.1.0 255.255.255.0 172.16.4.127