华为NAT配置案例

华为ENSP实验指南】网络地址转换NAT技术原理和实验简介I P有公网与私网的区分，通常内网使用私网I P，I n t e r n e t使用公网I P地址，而使用私网地址的计算机访问公网时需要使用N A T技术。

网络地址转换（N e t w o r k A d d r e s s T r a n s l a t i o n，简称N A T），N A T分为静态N A T、动态N A T、网络地址端口转换。

网络拓扑静态NAT原理与配置静态N A T就是一个私网地址对应一个公网地址，它不能节约公网地址，在实际应用中一般很少采用这种方式，常见的就是服务器使用。

静态N A T1对1的主机通信，通常用于服务器R1<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR1[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]ip add 200.1.1.2 30[AR1-GigabitEthernet0/0/1]inter g0/0/0[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24[AR1-GigabitEthernet0/0/0]inter g0/0/1[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ?inside Specify inside information of NAT[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ins[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 inside 192.168.1.10 [AR1-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat static global 117.29.161.242 inside 192.168.1.10 netmask 255.255.255.25 5#return[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.243 inside 192.168.1.20 R2<Huawei>u t m<Huawei>system-viewEnter system view, return user view with Ctrl+Z.[Huawei]sys AR2[AR2]inter g0/0/0[AR2-GigabitEthernet0/0/0]ip add 200.1.1.1 30[AR2-GigabitEthernet0/0/0]quit[AR2]ip route-static 117.29.161.242 255.255.255.0 200.1.1.2P A T[AR1]inter g0/0/1[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.242 inside 192.168.1.10[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.243 inside 192.168.1.20[AR1-GigabitEthernet0/0/1]disp this #检查一下配置是否删除[AR1-GigabitEthernet0/0/1]quit[AR1]nat address-group 1 117.29.161.242 117.29.161.242 #NAT地址池（我只配置了1个IP，如果有多个都可以加进去）[AR1]acl 2020 #创建基本ACL[AR1-acl-basic-2020]rule 5 permit source 192.168.1.0 0.0.0.255 #允许1.0网段获取[AR1-acl-basic-2020]inter g0/0/1#地址池和列表进行关联[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 ?no-pat Not use PAT<cr> Please press ENTER to execute command#到这一步如果直接回车，在华为默认启用PAT#PAT即对一个公网地址反复使用，通过端口号转换，#如果想用动态NAT，则需要在group 1后面加上no-pat#动态NAT无法节约公网IP，在地址池中选一个IP对应一个内网IP[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 #回车对地址池和列表进行关联，使用PAT功能使用P A T时，从主机p i n g200.1.1.1两台可同时使用，但从200.1.1.1p i n g117.29.161.242是不通的，因为很多主机拿了它作地址，不指定端口根本无法找到（P A T相当于天然防火墙，向外屏蔽了真实地址）动态NAT[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1 #取消PAT[Huawei-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 no-pat #使用动态NAT基于接口的PAT现实场景中，应用最为广泛的P A T，配置基于接口的P A T可以使用一个公网I P就可以让全公司的人上网[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1[Huawei-GigabitEthernet0/0/1]nat outbound 2020 #outbound 2020默认使用地址池的公网地址进行替换复用[Huawei-GigabitEthernet0/0/1]disp this[V200R003C00]#interface GigabitEthernet0/0/1ip address 200.1.1.2 255.255.255.252nat outbound 2020 #return。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

1 简介本文档介绍使用NAT多实例的配置案例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT多实例的特性。

3 配置举例3.1 组网需求如图1所示，一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网络使用的网段地址网址为10.110.0.0/16。

10.110.10.0/24网段的用户属于私网VPN1，加入安全域Trust1；10.110.11.0/24网段的用户属于私网VPN2，加入安全域Trust2；公网的用户属于VPN3，加入安全域Untrust。

需要实现如下功能：∙  内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。

∙  内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。

∙  公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP 服务。

图1 跨VPN转发典型配置组网图3.2 配置思路为了使内网主机能够访问公网，需要在出接口上配置NAT转换，并使对应的地址池和公网VPN实例相关联。

3.3 使用版本本文档基于U200-S R5135版本进行配置和验证。

3.4 配置步骤3.4.1 通过Web方式配置(1)创建VPN实例目前设备仅支持通过命令行方式创建VPN实例，配置方法请参见“3.4.2 (1)创建VPN 实例”。

(2)接口绑定VPN实例并加入安全域# 接口绑定VPN实例。

目前设备仅支持通过命令行方式配置接口绑定VPN实例，配置方法请参见“3.4.2 (2)接口绑定VPN实例”。

NAT配置管理一、简介网络地址转换NAT（Network Address Translation）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。

随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。

尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术（如CIDR、私网地址等）的使用是解决这个问题最主要的技术手段。

NAT主要用于实现内部网络（简称内网，使用私有IP地址）访问外部网络（简称外网，使用公有IP地址）的功能。

当内网的主机要访问外网时，通过NAT技术可以将其私网地址转换为公网地址，可以实现多个私网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。

作为减缓IP地址枯竭的一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。

NAT除了解决IP地址短缺的问题，还带来了两个好处：1、有效避免来自外网的攻击，可以很大程度上提高网络安全性。

2、控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。

二、原理一、NAT概述NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。

Basic NAT是实现一对一的IP地址转换，而NAPT可以实现多个私有IP地址映射到同一个公有IP地址上。

1、Basic NATBasic NAT方式属于一对一的地址转换，在这种方式下只转换IP地址，而不处理TCP/UDP协议的端口号，一个公网IP地址不能同时被多个私网用户使用。

图1 Basic NAT示意图上图1描述了Basic NAT的基本原理，实现过程如下：1.Router收到内网侧Host发送的访问公网侧Server的报文，其源IP地址为10.1.1.100。

NAT转换配置配置环境：华为最新模拟器1、要求：现有一台防火墙和两台PC机。

要求用这些设备模拟NAT转换，其中一台PC机代表一个局域网，另一台PC机代表广域网，局域网内用的是私有IP地址，广域网用的是公有IP地址，在局域网设备要访问广域网需要用NAT 转换。

2、网络拓扑图：用亿图绘图工具绘制出网络拓扑图为如图1所示：图1：网络拓扑图3、设备配置（1）防火墙的配置：[R1]sysname firewall[firewall]Apr 14 2014 22:24:38-08:00 firewall DS/4/DATASYNC_CFGCHANGE:OID 1.3.6.1.4.1.2011.5.25.191.3.1 configurations have been changed. Thecurrent change number is 2, the change loop count is 0, and the maximum number of records is 4095.[firewall][firewall]int et0/0/0[firewall-Ethernet0/0/0]ip add[firewall-Ethernet0/0/0]ip address 192.168.2.1 ? [firewall-Ethernet0/0/0]ip address 192.168.2.1 ? INTEGER<0-32> Length of IP address maskX.X.X.X IP address mask[firewall-Ethernet0/0/0]ip address 192.168.2.1 24 [firewall-Ethernet0/0/0]int et0/0/1[firewall-Ethernet0/0/1]ip add[firewall-Ethernet0/0/1]ip address 192.168.1.4 24 （2）PC1的配置：（1）在PC1上ping192.168.2.1和192.168.1.1，结果如下：（2）在PC1上ping192.168.2.1和192.168.1.4，结果如下：5、NAT转换配置firewall]acl number 2000[firewall-acl-basic-2000]firewall-acl-basic-2000]rule 10 permit sou [firewall-acl-basic-2000]rule 10 permit source ? X.X.X.X Address of sourceany Any source[firewall-acl-basic-2000]rule 10 permit source 192.168.2.0 ?0 Wildcard bits : 0.0.0.0 ( a host )X.X.X.X Wildcard of source[firewall-acl-basic-2000]rule 10 permit source 192.168.2.0 0.0.0.255[firewall-acl-basic-2000][firewall-acl-basic-2000]rule 20 deny sou[firewall-acl-basic-2000]rule 20 deny source an [firewall-acl-basic-2000]rule 20 deny source any [firewall-acl-basic-2000]dis acl allTotal nonempty ACL number is 1Basic ACL 2000, 2 rulesACL's step is 5rule 10 permit source 192.168.2.0 0.0.0.255 (0 times matched)rule 20 deny (0 times matched)[firewall-Ethernet0/0/1]nat ou[firewall-Ethernet0/0/1]nat outbound ?INTEGER<2000-3999> Apply basic or advanced ACL [firewall-Ethernet0/0/1]nat outbound 2000 in [firewall-Ethernet0/0/1]nat outbound 2000 interface ?loopback Interface type[firewall-Ethernet0/0/1]nat outbound 20006、NAT转换配置验证。

掌握目标1、在华为路由器上PPPOE服务器的配置2、在华为路由器上PPPOE客户端的配置（工作上常用）3、配置NAT（上网使用）4、默认路由配置拓扑图1、在华为路由器上PPPOE服务器的配置（1）地址池配置[PPPOE_server]ip pool pppoe[PPPOE_server-ip-pool-pppoe]network123.1.1.0mask24[PPPOE_server-ip-pool-pppoe]dns-list114.114.114.114（2）配置虚拟模板[PPPOE_server]int e0/0/0[PPPOE_server-Ethernet0/0/0]ip address123.1.1.124[PPPOE_server]interface Virtual-Templa1[PPPOE_server-Virtual-Template1]ip address unnumbered interface e0/0/0 [PPPOE_server-Virtual-Template1]remote address pool pppoe说明：这里是调用了出接口的地址，也可以手工配置，另外调用全局定义的地址池（3）接口调用[PPPOE_server]interface e0/0/0[PPPOE_server-Ethernet0/0/0]pppoe-server bind virtual-template1（4）用户名定义[PPPOE_server]aaa[PPPOE_server-aaa]local-user ccieh3c password cipher [PPPOE_server-aaa]local-user ccieh3c service-type ppp2、在华为路由器上PPPOE客户端的配置（工作上常用）客户端的配置在企业的环境中是最常见遇到的，掌握是非常有必要。

（1）定义拨号规则[pppoe-client]dialer-rule[pppoe-client-dialer-rule]dialer-rule1ip permit说明：这里就是定义的拨号规则，允许所有的IPV4流量通过。

V6R2版本NAT应用场景配置说明一、概述NA T（Network Address Translation，网络地址转换）是一种IP地址共享的技术，用来解决随着Internet规模的日益扩大而带来的IPv4合法地址短缺的问题。

利用NAT技术，可以实现多用户同时使用少量的合法IPv4地址进行Internet访问，并且这种Internet访问对于大多数应用程序是透明的，无需在客户端进行任何特殊配置。

每个用户只拥有私有的IP地址，用户相互之间访问时使用这个地址。

在进行Internet访问时，这个私有的IP地址在私有网络的出口处被临时替换为一个合法的IP地址，同时这种映射关系被记录下来，以使返回的报文可以进行反方向的IP地址替换。

这种映射关系一直持续到本次访问结束。

二、N AT应用场景NA T有两种基本实现方式：•PAT（Port Address Translation）方式：同时替换报文中的IP地址和端口号。

•NoPAT方式:只替换报文中的IP地址。

PA T可以实现更高效的IP地址共享，是地址转换中最常用的方式。

应用场景重点对pat 方式进行说明。

如下图所示：用户获取一个私网地址192.168.1.10；当用户需要访问网络时，发送一个源IP为192.168.1.10，源端口为688的UDP报文，通过nat转换为公网地址212.112.10.100，端口为10250的UDP报文，访问网络资源。

对于不同的目的ip、目的端口转换成不同的地址。

2.1基于UCL匹配的nat转换功能一个运营商网络的上线用户通过ME60设备的网络地址转换功能连接到Internet。

ME60设备的NAT板分别插在3号槽位、4号槽位上。

用户通过以太网接口GE1/0/0在ME60上线，上线分配私网地址网段为10.10.0.0/16。

ME60设备通过接口POS2/0/0与Internet相连，运营商具有202.38.160.1/24的公网地址。

配置集中式NAT示例介绍集中式NAT功能的配置示例，实现公司内部私有地址和外部公共地址进行多对多的转换，并限定只有特定网段的PC可以访问Internet，结合配置组网图来理解业务的配置过程。

配置示例包括组网需求、思路准备、操作步骤和配置文件。

组网需求如图1所示，一个公司内部网络的计算机通过路由器的网络地址转换功能连接到Internet。

路由器的业务板插在1号槽位上。

路由器通过以太网接口GE2/0/0与内部网连接。

路由器通过接口POS1/0/0与Internet相连，公司具有202.38.160.100/24至202.38.160.105/24共6个公网IP 地址。

各接口IP地址如图1所示。

通过配置要达到以下要求：∙内部网段10.110.10.0/24的计算机可以访问Internet，其它网段的计算机则不能访问Internet。

∙实现公司内部私有地址和外部公共地址进行多对多的转换。

图1 NAT基本应用组网图配置思路采用如下思路配置NAT。

1.配置NAT基本功能。

2.配置NAT引流策略。

3.配置NAT转换策略。

数据准备NAT地址池的编号，起始和结束的IP地址。

操作步骤active nat session-table size命令用来配置业务板或CPU的会话表资源。

undo active nat session-table size命令用来删除业务板或CPU的会话表资源。

缺省情况下，业务板或CPU的会话表资源为零，业务不可用。

1.配置NAT实例，将业务板绑定到NAT实例。

∙对于VSUI-20-A业务板，按如下方式配置：<HUAWEI> system-view[HUAWEI] nat instance 1[HUAWEI-nat-instance-1] add slot 1 master[HUAWEI-nat-instance-1] quit∙对于VSUF-40/80/160业务板，按如下方式配置：<HUAWEI> system-view[HUAWEI] service-location 1[HUAWEI-service-location-1] location slot 1 engine 0[HUAWEI-service-location-1] quit[HUAWEI] service-instance-group 1[HUAWEI-instance-group-1] service-location 1[HUAWEI-instance-group-1] quit[HUAWEI] nat instance 1 id 1[HUAWEI-nat-instance-1] service-instance-group 1[HUAWEI-nat-instance-1] quit2.配置地址池，该地址池地址从202.38.160.100到202.38.160.105。

一、静态路由的配置实例：实验目的：将拓扑图网络设备和节点，实现网络互通。

1、规划PC和路由器各接口IP地址；2、配置路由器和PC的IP地址，并测试直连路由是否通过：[R1-GigabitEthernet0/0/0]ip address 24 问题：1、为什么要在边界路由器上默认路由?答：因为企业员工要上网，运行默认路由的这台路由器，都会把不知道往哪里的数据包往互联网上扔！<R2>saveAre you sure to continue? (y/n)[n]:yIt will take several minutes to save configuration file, please wait.......Configuration file had been saved successfullyNote: The configuration file will take effect after being activated静态路由的负载分担如图：静态路由负载分担拓扑图配置地址后，使用静态路由到达网络号。

达到自由选路功能二、[R5]ip route-static 24 route-static 24 route-static 24 动态路由实例实验目的：通过rip动态路由协议配置，使下图设备全网互通[R1]rip 问题：解决路由环路的办法？1、触发更新，用来避免环路2、限制跳数3、水平分割4、路由中毒/毒性翻转 /路由毒化5、Rip计时器（以上方法都是rip路由协议默认启用的）虽然更改成版本2RIPv2可以解决不连续子网问题，但是会使路由表变大。

为了提高路由器性能需要进行路由手动汇总！[R1-GigabitEthernet0/0/0]rip summary-address （掩码需要进行换算）前提是R1路由器有以下环回接口：将这三个IP地址换算出子网掩码RIP支持接口明文验证和密文验证明文：密码123密文：nonstandard 国际标准加密算法。