华为NAT配置案例

合集下载

策略路由和NAT实现负载均衡实例(华为防火墙)

策略路由和NAT实现负载均衡实例(华为防火墙)
acl number3001
rule0permit ip source10.0.0.0 0.255.255.255
acl number3002
rule0permit ip source20.0.0.0 0.255.255.255
#
nat address-group100NAT1100.0.0.1 100.0.0.100
注:方便起见,图中文字的接口用IP地址来表示具体三层接口。
从上图中,我们就可以知道,根据不同的下一跳接口,可以分类出两种不
同的域间策略,这时我们就可以在不同的域间进行不同NAT,实现了实验要求
的NAT需求。那么第二个实验要求能不能实现呢?
答案是确定能实现的。我们可以仔细思考一下,利用策略路由我们可以实
nat实际上在防火墙中也属于域间策略的一种即从上图中我们可以知道nat是在路由选路后进行的而nat的配置很简单只是将匹配的地址acl进行一个地址转换的操作如果不选nopat方式还包括端口所以我们不可能从nat上进行某种操作来实现冗余
一、组网需求:
1.正常情况下10.0.0.2从出口12.12.12.0NAT转化成100.0.0.0的地址,20.0.0.2从出口13.13.13.0NAT转化成200.0.0.0的地址,实现负载均衡。
ip route-static0.0.0.0 0.0.0.0 13.13.13.2
ip route-static 0.0.0.0 0.0.0.0 12.12.12.2
五、实现原理
按照实验要求,如果我们用传统的NAT,将10.0.0.2 nat成
100.0.0.0/24网段,将20.0.0.2 nat成200.0.0.0/24网段,这种方 法是实现不了当FW双线上连线路任意断掉一条业务不断的实验要求。那么我 们应如何解决这个问题呢?首先我们要了解防火墙的处理流程,如下图:

史上最详细H3C路由器NAT典型配置案例

史上最详细H3C路由器NAT典型配置案例

史上最详细H3C路由器NAT典型配置案例神马CCIE,H3CIE,HCIE等⽹络⼯程师⽇常实施运维必备,你懂的。

NAT典型配置举例内⽹⽤户通过NAT地址访问外⽹(静态地址转换)1. 组⽹需求内部⽹络⽤户使⽤外⽹地址访问Internet。

2. 组⽹图图1-5 静态地址转换典型配置组⽹图3. 配置步骤# 按照组⽹图配置各接⼝的IP地址,具体配置过程略。

# 配置内⽹IP地址到外⽹地址之间的⼀对⼀静态地址转换映射。

system-view[Router] nat static outbound 使配置的静态地址转换在接⼝GigabitEthernet1/2上⽣效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后,内⽹主机可以访问外⽹服务器。

通过查看如下显⽰信息,可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : Global IP :Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显⽰命令,可以看到Host访问某外⽹服务器时⽣成NAT会话信息。

[Router] display nat session verbose Initiator:Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-Protocol: ICMP(1)Responder:Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/-Protocol: ICMP(1)State: ICMP_REPLYApplication: INVALIDStart time: 2012-08-16 09:30:49 TTL: 27sInterface(in) : GigabitEthernet1/1Interface(out): GigabitEthernet1/2Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytesTotal sessions found: 1内⽹⽤户通过NAT地址访问外⽹(地址不重叠)1. 组⽹需求·某公司内⽹使⽤的IP地址为。

H3C 华为 06-NAT命令

H3C 华为 06-NAT命令

06-NAT命令目录1 NAT配置命令1.1 NAT配置命令1.1.1 display nat address-group1.1.2 display nat all1.1.3 display nat bound1.1.4 display nat dns-map1.1.5 display nat server1.1.6 display nat static1.1.7 display nat statistics1.1.8 display userlog export1.1.9 nat address-group1.1.10 nat dns-map1.1.11 nat outbound1.1.12 nat outbound static1.1.13 nat server (for normal nat server)1.1.14 nat static1.1.15 nat static net-to-net1 NAT配置命令1.1 NAT配置命令1.1.1 display nat address-group【命令】display nat address-group [ group-number ]【视图】任意视图【缺省级别】1:监控级【参数】group-number:表示地址池索引号。

取值范围为0~255。

【描述】display nat address-group命令用来显示NAT地址池的信息。

相关配置可参考命令nat address-group。

【举例】# 显示NAT地址池的信息。

<Sysname> display nat address-groupNAT address-group information:There are currently 2 nat address-group(s)1 : from 202.110.10.10 to 202.110.10.152 : from 202.110.10.20 to 202.110.10.25# 显示索引号为1的NAT地址池信息。

华为nat配置实例

华为nat配置实例

窗体顶端NAT【Router】华为路由器单臂路由配置实例组网描述:PC---------------------3050C-------------------------AR28-31-------------------------INTERNET组网实现:3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公网,所有的PC机都通过AR28-31分配IP地址和DNS[AR28-31]dis cu#sysname Quidway#FTP server enable#nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池#radius scheme system#domain system#local-user adminpasswordcipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminallevel 3service-type ftplocal-userhuawei telnet用户,用于远程管理password simple huaweiservice-type telnetlevel 3#dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.1dns-list 100.100.100.100#dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0gateway-list 192.168.20.1dns-list 100.100.100.100#dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0gateway-list 192.168.30.1dns-list 100.100.100.100#dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0gateway-list 192.168.40.1dns-list 100.100.100.100#interface Aux0async mode flow#interfaceEthernet1/0用于与交换机的管理IP互通ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound#interfaceEthernet1/0.1终结交换机上的VLAN10tcp mss 1024ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10#interfaceEthernet1/0.2终结交换机上的VLAN20tcp mss 1024ip address 192.168.20.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 20#interfaceEthernet1/0.3终结交换机上的VLAN30tcp mss 1024ip address 192.168.30.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 30#interfaceEthernet1/0.4终结交换机上的VLAN40tcp mss 1024ip address 192.168.40.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 40#interface Ethernet2/0ip address 222.222.222.1 255.255.255.0 nat outbound 2000 address-group 0进行私网到公网的地址转换#interface NULL0#acl number 2000允许192.168.0.0 这个网段的地址进行地址转换rule 0 permit source 192.168.0.0 0.0.255.255rule 1 deny#acl number 3000rule 0 deny udp destination-port eq tftp rule 1 deny tcp destination-port eq 135 rule 2 deny udp destination-port eq 135 rule 3 deny udp destination-port eq netbios-nsrule 4 deny udp destination-port eq netbios-dgmrule 5 deny tcp destination-port eq 139 rule 6 deny udp destination-port eq netbios-ssnrule 7 deny tcp destination-port eq 445 rule 8 deny udp destination-port eq 445 rule 9 deny tcp destination-port eq 539 rule 10 deny udp destination-port eq 539 rule 11 deny udp destination-port eq 593 rule 12 deny tcp destination-port eq 593 rule 13 deny udp destination-port eq 1434rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 9996rule 16 deny tcp destination-port eq 5554rule 17 deny udp destination-port eq 9996rule 18 deny udp destination-port eq 5554rule 19 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 21 deny tcp destination-port eq 1025rule 22 deny udp destination-port eq 1025rule 23 deny tcp destination-port eq 9995rule 24 deny udp destination-port eq 9995rule 25 deny tcp destination-port eq 1068rule 26 deny udp destination-port eq 1068rule 27 deny tcp destination-port eq 1023rule 28 deny udp destination-port eq 1023#ip route-static 0.0.0.0 0.0.0.0 222.222.222.254 preference 60到电信网关的缺省路由#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return===================================== ==========================<Quidway 3050C>dis cu#sysname Quidway#radius scheme systemserver-type huaweiprimary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domaindomain systemradius-scheme systemaccess-limit disablestate activevlan-assignment-mode integeridle-cut disableself-service-url disablemessenger time disabledomain default enable system#local-server nas-ip 127.0.0.1 key huaweilocal-user huawei用于WEB网管和TELNETpassword simple huaweiservice-type telnet level 3#vlan 1#vlan 10#vlan 20#vlan 30# vlan 40#interfaceVlan-interface1管理IPip address 192.168.100.2 255.255.255.0 #interface Aux0/0#interface Ethernet0/1port access vlan 10#interface Ethernet0/2port access vlan 10#interface Ethernet0/3port access vlan 10#interface Ethernet0/4port access vlan 10#interface Ethernet0/5port access vlan 10#interface Ethernet0/6port access vlan 10#interface Ethernet0/7port access vlan 10#interface Ethernet0/8port access vlan 10#interface Ethernet0/9port access vlan 10#interface Ethernet0/10port access vlan 10#interface Ethernet0/11port access vlan 20#interface Ethernet0/12port access vlan 20#interface Ethernet0/13 port access vlan 20#interface Ethernet0/14 port access vlan 20#interface Ethernet0/15 port access vlan 20#interface Ethernet0/16 port access vlan 20#interface Ethernet0/17 port access vlan 20#interface Ethernet0/18 port access vlan 20#interface Ethernet0/19 port access vlan 20#interface Ethernet0/20 port access vlan 20#interface Ethernet0/21 port access vlan 30#interface Ethernet0/22 port access vlan 30#interface Ethernet0/23 port access vlan 30#interface Ethernet0/24 port access vlan 30#interface Ethernet0/25 port access vlan 30#interface Ethernet0/26 port access vlan 30# interface Ethernet0/27 port access vlan 30#interface Ethernet0/28 port access vlan 30#interface Ethernet0/29 port access vlan 30#interface Ethernet0/30 port access vlan 30#interface Ethernet0/31 port access vlan 40#interface Ethernet0/32 port access vlan 40#interface Ethernet0/33 port access vlan 40#interface Ethernet0/34 port access vlan 40#interface Ethernet0/35 port access vlan 40#interface Ethernet0/36 port access vlan 40#interface Ethernet0/37 port access vlan 40#interface Ethernet0/38 port access vlan 40#interface Ethernet0/39 port access vlan 40#interface Ethernet0/40 port access vlan 40#interface Ethernet0/41 port access vlan 40 #interface Ethernet0/42port access vlan 40 #interface Ethernet0/43 port access vlan 40 #interface Ethernet0/44 port access vlan 40 #interface Ethernet0/45 port access vlan 40 #interface Ethernet0/46 port access vlan 40 #interface Ethernet0/47 port access vlan 40 #interface Ethernet0/48 上行口port link-type trunkport trunk permit vlan 1 10 20 30 40 只允许这几个VLAN 标签透传 #interface NULL0 #user-interface aux 0 user-interface vty 0 4 #return<Quidway> 0人了章。

华为NAT配置案例

华为NAT配置案例

华为NAT配置案例模拟图表1模拟拓扑图1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet(公网)静态一对一:AR1#interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0nat static global 202.1.1.1 inside 192.168.1.2 netmask255.255.255.255AR2#[AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2[AR2]结果测试:查看静态转换表[AR1]display nat staticStatic Nat Information:Interface : GigabitEthernet0/0/1Global IP/Port : 202.1.1.1/----Inside IP/Port : 192.168.1.2/----Protocol : ----VPN instance-name : ----Acl number : ----Netmask : 255.255.255.255Description : ----Total : 1[AR1]在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静态一对一的关系2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet(公网)动态NAT[AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1)[AR1]dis cu | begin aclacl number 2000 (定义转换的源IP)rule 5 permit source 192.168.1.0 0.0.0.255interface GigabitEthernet0/0/1(接口调用)ip address 202.106.1.2 255.255.255.0nat outbound 2000 address-group 1结果测试:在出接口下将ACL和地址池关联起来,需要注意华为设备上如果地支持中有不止一个IP地址,后面需加no-pat,本例中只有一个地址可以不加;PC1和PC2都可以访问公网[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 ?no-pat Not use PAT<cr> Please press ENTER to execute command3、在华为设备上部署PAT技术实现公司员工(私网)访问internet(公网)AR1#acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0nat outbound 2000 (定义复用接口g0/0/1用于PAT转换)结果测试[AR1]dis nat outboundNAT Outbound Information:--------------------------------------------------------------------------Interface Acl Address-group/IP/Interface Type--------------------------------------------------------------------------GigabitEthernet0/0/1 2000 202.106.1.2 easyip--------------------------------------------------------------------------Total : 1[AR1]4、在华为设备上部署静态端口映射技术实现公网用户访问私网服务器静态端口映射--------------------------------------------------------------------------AR1#acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0nat static protocol tcp global 202.1.1.1 23 inside 192.168.1.4 23 nat outbound 2000#return[AR1-GigabitEthernet0/0/1]--------------------------------------------------------------------------AR3#[AR3]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1[AR3]dis cu | begin vtyuser-interface vty 0 4authentication-mode passwordset authentication password cipher ****user-interface vty 16 20[AR3]。

华为Eudemon防火墙NAT配置实例

华为Eudemon防火墙NAT配置实例

[原创]华为Eudemon防火墙NAT配置实例Post By:2007-7-11 11:35:00贴一下我公司里防火墙的配置,希望能够起到抛砖引玉的作用。

具体外网IP和内网ARP绑定信息已经用“x”替代,请根据实际情况更换。

“//”后面的部分是我导出配置后添加的注释。

防火墙型号为华为Eudemon 200,E0/0/0口为外网接口,E0/0/1口为内网。

另外此配置方法也完全适用于华为Secpath系列防火墙,略加改动也可适用于华为AR系列路由器。

------------------------------------------传说中的分隔线------------------------------------------#sysname Eudemon//设置主机名#super password level 3 simple xxxxxxxx//Super密码为xxxxxxxx #firewall packet-filter default permit interzone local trust direction inboundfirewall packet-filter default permit interzone local trust direction outboundfirewall packet-filter default permit interzone local untrust direction inboundfirewall packet-filter default permit interzone local untrust direction outboundfirewall packet-filter default permit interzone local dmz direction inboundfirewall packet-filter default permit interzone local dmz direction outboundfirewall packet-filter default permit interzone trust untrust direction inboundfirewall packet-filter default permit interzone trust untrust direction outboundfirewall packet-filter default permit interzone trust dmz direction inboundfirewall packet-filter default permit interzone trust dmz direction outboundfirewall packet-filter default permit interzone dmz untrust direction inboundfirewall packet-filter default permit interzone dmz untrust direction outbound//设置默认允许所有数据包通过#青岛IT社区提醒:本地交易眼见为实,当面验货!不要嫌麻烦!交易地点建议在人多地方,防止抢劫!QQ:支持(0) 中立(0) 反对(0)wanghaoqd 小大 2楼个性首页| QQ| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信蛋白超人等级:退役版主帖子:206 7积分:185 威望:5精华:1 注册:2004-3-24Post By:2007-7-11 11:35:00nat address-group 1 //将ISP分配的公网IP加入地址池1nat server global insidenat server global insidenat server global insidenat server global insidenat server global inside //将几个公网IP地址映射到内部服务器nat alg enable ftpnat alg enable dnsnat alg enable icmpnat alg enable netbiosundo nat alg enable h323undo nat alg enable hwccundo nat alg enable ilsundo nat alg enable pptpundo nat alg enable qqundo nat alg enable msnundo nat alg enable user-defineundo nat alg enable rtspfirewall permit sub-ip#firewall statistic system enable#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0/0ip address //设置外网端口IP地址,此处为网通分配的内部私有IP,#interface Ethernet0/0/1ip address //设置内网IP地址,采用#interface NULL0#acl number 2000rule 0 permit source //ACL 2000,目的是只允许rule 1 deny#acl number 3001rule 0 deny udp destination-port eq 445rule 1 deny udp destination-port eq netbios-nsrule 2 deny udp destination-port eq netbios-dgmrule 3 deny udp destination-port eq netbios-ssnrule 4 deny udp destination-port eq 1434rule 5 deny tcp destination-port eq 135rule 6 deny tcp destination-port eq 139rule 7 deny tcp destination-port eq 389rule 8 deny tcp destination-port eq 445rule 9 deny tcp destination-port eq 636rule 10 deny tcp destination-port eq 1025rule 11 deny tcp destination-port eq 1503rule 12 deny tcp destination-port eq 3268rule 13 deny tcp destination-port eq 3269rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 5554rule 16 deny tcp destination-port eq 5800rule 17 deny tcp destination-port eq 5900rule 18 deny tcp destination-port eq 9996rule 19 deny tcp destination-port eq 6667//ACL 300 1,关闭常见蠕虫病毒使用的端口#firewall zone localset priority 100QQ:支持(0) 中立(0) 反对(0)wanghaoqd 小大 3楼个性首页| QQ| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信蛋白超人等级:退役版主帖子:206 7积分:185 威望:5精华:1 注册:2004-3-24Post By:2007-7-11 11:36:00#firewall zone trustset priority 85add interface Ethernet0/0/1//将E0/ 0/1口加入TRUST区#firewall zone untrustset priority 5add interface Ethernet0/0/0 //将E0/0/0口加入UN TRUST区#firewall zone dmzset priority 50#firewall interzone local trustpacket-filter 3001 inbound//在LO CAL到TRUST方向应用ACL 3001号#firewall interzone local untrustpacket-filter 3001 inbound//在LO CAL到UNTRUST方向应用ACL 3001号#firewall interzone local dmz#firewall interzone trust untrustnat outbound 2000 address-group 1 //在TRUST到U NTRUST的方向做NAT,使用2000号ACL#firewall interzone trust dmz#firewall interzone dmz untrust#aaalocal-user admin password cipher A^.5<+_KCH)./a!1$H@GYA!!//建立用户admin,密码为密文local-user admin level 3 //用户权限为3(最高级)authentication-scheme default#authorization-scheme default#accounting-scheme default#domain default##arp static xxxx-xxxx-xxxx//做IP和MAC地址绑定arp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxxarp static xxxx-xxxx-xxxx…………………………//省略许多行......arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111arp static 1111-1111-1111//把不使用的IP与不存在的#ip route-static //设置缺省路由,此处IP地址为网通内部IP,#snmp-agentsnmp-agent local-engineid 000007DB7F00000Dsnmp-agent community read xxxxxxsnmp-agent community write xxxxxxsnmp-agent sys-info version all//设置SNMP参数,以使用网管软件来监控#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode aaa//设置VTY口的认证模式为AAA#returnQQ:支持(0) 中立(0) 反对(0) pladin123小大 4楼个性首页| 信息| 搜索| 邮箱| 主页| 手机号码所在地查询|加好友发短信等级:QDIT游民帖子:23 8积分:1309 威望:0 精华:0 注册:2007-3-30 16:0 4:00Post By:2007-7-23 13:12:00楼上的这种方法带宽方面的如何的呢?内网所有都用一个IP,那不是浪费了吗还有我们和美国视频会议的时候,会不会有影响。

ensp上防火墙上配置nat

ensp上防火墙上配置nat

ensp上防⽕墙上配置nat博⽂⼤纲:⼀、华为防⽕墙NAT的六个分类;⼆、解决NAT转换时的环路及⽆效ARP;三、server-map表的作⽤;四、NAT对报⽂的处理流程;五、各种常⽤NAT的配置⽅法;⼀、华为防⽕墙NAT的六个分类华为防⽕墙的NAT分类:NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端⼝,属于多对多转换,不能节约公⽹IP地址,使⽤情况较少。

NAPT(Network Address and Port Translation,⽹络地址和端⼝转换):类似于Cisco的PAT转换,NAPT即转换报⽂的源地址,⼜转换源端⼝。

转换后的地址不能是外⽹接⼝IP地址,属于多对多或多对⼀转换,可以节约公⽹IP地址,使⽤场景较多。

出接⼝地址(Easy-IP):因其转换⽅式⾮常简单,所以也被称为Easy-IP、和NAPT⼀样,即转换源IP地址,⼜转换源端⼝。

区别是出接⼝地址⽅式转换后的地址只能是NAT设备外⽹接⼝所配置的IP地址,属于多对⼀转换,可以节约IP地址。

NAT Server:静态⼀对⼀发布,主要⽤于内部服务器需要对Internet提供服务时使⽤,。

Smart NAT(智能转换):通过预留⼀个公⽹地址进⾏NAPT转换,⽽其他的公⽹地址⽤来进⾏NAT No-PAT转换,该⽅式不太常⽤。

三元组NAT:与源IP地址、源端⼝和协议类型有关的⼀种转换,将源IP地址和源端⼝转换为固定公⽹IP地址和端⼝,能解决⼀些特殊应⽤在普遍NAT中⽆法实现的问题。

主要应⽤于外部⽤户访问局域⽹的⼀些P2P应⽤。

⼆、解决NAT转换时的环路及⽆效ARP在特定的NAT转换时,可能会产⽣环路及⽆效ARP,关于其如何产⽣,⼤概就是,在有些NAT的转换⽅式中,是为了解决内⽹连接Internet,⽽映射出了⼀个公有IP,那么,若此时有⼈通过internet来访问这个映射出来的公有IP,就会产⽣这两种情况。

若要详细说起来,⼜是很⿇烦,但是解决这两个问题很简单,就是配置⿊洞路由(将internet主动访问映射出来的地址的流量指定到空接⼝null0),关于如何配置,将在过后的配置中展⽰出来,我总结了以下需要配置⿊洞路由的场景,如下表所⽰:表中的前三个可以对应到⽂章开始的⼏个NAT类型中,那么NAT Server(粗泛)、NAT Server(精细)⼜是什么⿁呢?NAT Server(粗泛):是NAT Server转换类型中的⼀种,表⽰源地址和转换后的地址只有简单的映射关系,没有涉及端⼝等映射,如源地址为192.168.1.2,转换后的地址为33.2.55.6,如果做的是NAT Server(粗泛)这种类型的NAT,那么所有访问33.2.55.6的数据包都将转发给192.168.1.2这个地址。

华为防火墙NAT配置命令

华为防火墙NAT配置命令

私网用户通过NAPT方式访问Internet(备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。

)本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。

组网需求如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。

2.配置安全策略,允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由,防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址,并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

华为IPSEC VPN互通 + 上网配置示例【包含基本VPN+NAT+NAT免俗】

华为IPSEC VPN互通 + 上网配置示例【包含基本VPN+NAT+NAT免俗】

华为IPSEC VPN互通 + 上网配置示例【包含基本VPN+NAT+NAT免俗】一、实验目的掌握 NAT 的配置掌握 IPSEC VPN 的基础配置二、实验拓扑三、配置要点1.总公司的配置#sysname ZongGongSi#acl number 3000rule 5 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 #ipsec proposal test#ike proposal 1#ike peer test v2pre-shared-key simple passwordremote-address 23.1.1.2ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.10.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 12.1.1.1 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 12.1.1.22.分公司配置sysname FenGongSi#acl number 3000rule 5 deny ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 #ipsec proposal test#ike peer test v2pre-shared-key simple passwordremote-address 12.1.1.1#ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.20.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.2 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 23.1.1.1#3.互联网的配置#sysname Internet#interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.1 255.255.255.0#interface LoopBack100ip address 100.100.100.100 255.255.255.0 #interface LoopBack200ip address 200.200.200.200 255.255.255.0 #四、互通测试1.主机上 ping 分支上网PC>ping 172.16.20.20Ping 172.16.20.20: 32 data bytes, Press Ctrl_C to break From 172.16.20.20: bytes=32 seq=1 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=2 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=3 ttl=127 time=31 ms From 172.16.20.20: bytes=32 seq=4 ttl=127 time=16 ms From 172.16.20.20: bytes=32 seq=5 ttl=127 time=31 ms--- 172.16.20.20 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 16/34/47 msPC>ping 100.100.100.100Ping 100.100.100.100: 32 data bytes, Press Ctrl_C to break From 100.100.100.100: bytes=32 seq=1 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=2 ttl=254 time=15 ms From 100.100.100.100: bytes=32 seq=3 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=4 ttl=254 time=47 ms From 100.100.100.100: bytes=32 seq=5 ttl=254 time=47 ms --- 100.100.100.100 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 15/34/47 ms2.路由器上校验<ZongGongSi>dis ike sa v2Conn-ID Peer VPN Flag(s) Phase---------------------------------------------------------------3 23.1.1.2 0 RD 22 23.1.1.2 0 RD 1Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTHRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP<ZongGongSi>dis ipsec sa briefNumber of SAs:2Src address Dst address SPI VPN Protocol Algorithm------------------------------------------------------------------------------- 23.1.1.2 12.1.1.1 2433519709 0 ESP E:DES A:MD5-9612.1.1.1 23.1.1.2 2579144653 0 ESP E:DES A:MD5-96。

华为NAT转换

华为NAT转换

10.10.10.1 172.10.1.1 168.192.10.1 10.10.10.1
在NAT路由器上,将外部网的重叠IP重新映射成不重叠的IP地址。这个方案可
以解决使用相同私网网段的企业网络的合并问题。
1.3 NAT转换的地址类型
nat server protocol tcp global 210.75.198.184 www inside 10.11.110.13 www
nat server protocol tcp global 210.75.198.153 www inside 10.11.105.83 www
来越困难。在RFC1918中,设计采用私网地址(见下)的解决方案来解决IP地
址缺乏的问题。
10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
1)转发原则根据数据包的来源是内部还是外部而不同。
以NAT重叠转换为例,建立如下转换表:
内部局部 内部全局 外部局部 外部全局
10.10.10.1 172.10.10.1 — — — — — — — —
1)由于从列表中选择,每次转换采用的IP地址并不一定是同一个;
2)合法地址被采用后,其他的转换需求不能再使用这个合法IP。
3、复用转换(Overloading NAT)
在动态转换中,每个合法的IP地址只能在转换表中使用一次,在内部网络主
机访问外部需求增多的情况下,合法地址列表中的IP地址会很快不够用。这
址将根据转换表项第1行转换为172.10.10.1,目的IP地址将根据转换表项第

华为NAT配置

华为NAT配置

华为NAT配置背景: 早在20世纪90年代初,有关RFC⽂档就提出啦IP地址耗尽的可能。

,2019年11⽉26⽇,是⼈类互联⽹时代值得纪念的⼀天,全球43亿个IPv4地址今⽇正式耗尽。

IPv6技术虽然能从根本上解决地址短缺的问题,但也⽆法⽴刻替换现有成熟且⼴泛应⽤的IPv4⽹络。

那么必须使⽤⼀些技术⼿段来延长IPv4的寿命,,其中⼴泛使⽤的技术之⼀就是⽹络地址转换(Network AddressTranslation,NAT)原理: NAT是将IP数据报⽂报头中的IP地址 转换为另⼀个IP地址的过程NAT有3种类型:静态NAT、动态地址NAT以及⽹络地址端⼝转换NAPT功能及应⽤场景: 功能:主要⽤于实现内部⽹络(私有IP地址)访问外部⽹络(公有IP地址) NAT转换设备(实现NAT功能的⽹络设备)维护这地址转换表,所有经过NAT转换设备并且需要进⾏地址转换的报⽂,,都会通过该表做相应转换。

NAT转换设备处于内部⽹络和外部⽹络的连接处,,常见的有路由器、防⽕墙等。

实验⽬的:实验内容:实验拓扑:实验编址:实验步骤: 1.基本配置 根据实验编址表进⾏相应的基本配置,,并使⽤ping命令检测各直连链路的连通性。

2.配置静态NAT(⼀对⼀) 公司在⽹关路由器R1上配置访问外⽹的默认路由 由于内⽹使⽤的都是私有IP地址,,员⼯⽆法直接访问公⽹。

现需要在⽹关路由器R1上配置NAT地址转换,将私⽹地址转换为公⽹地址。

PC1为公司客户经理使⽤的终端,不仅需要⾃⾝能访问外⽹,,还需要外⽹⽤户也能直接访问他,,因此⽹络管理员分配啦⼀个公⽹IP地址202.1069.10.2给PC1座⾦泰NAT地址转换。

在R1的GE 0/0/0接⼝下使⽤nat static 命令配置内部地址到外部地址的⼀对⼀转换配置完之后,在R1上查看NAT静态配置信息,并在PC1ping检测与外⽹的连通 PC1通过静态NAT地址转换,成功访问外⽹,,在路由器R1上的GE 0/0/0接⼝抓包查看NAT地址是否转换成功,结果如下图 可以看到R1已经成功把来⾃PC1的ICMP报⽂的源地址172.16.1.1转换为公⽹地址202.169.10.5。

动态NAT的配置命令-华为

动态NAT的配置命令-华为
[Huawei] interface serial1/0/0 [Huawei-Serial1/0/0] nat outbound acl-number {address-group groupindex [no-pat] | interface interface-type interface-number}
S=10.0.0.1
NAT table
3 D=198.76.29.4
S=19nside Address Global Address
2 10.0.0.1
198.76.28.11
5
10.0.0.2
198.76.28.12
地址池 (198.76.28.11~20)
动态NAT的配置命令-华为
前言
▪ NAT(Network Address Translation,网络地址转换)是指将私网地址转换为公网上 可以使用的地址的技术。NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免 来自网络外部的攻击,隐藏并保护网络内部的计算机。NAT可以为分为静态NAT和动态 NAT,其中动态NAT基于地址池来实现私有地址和公有地址的转换。
7
配置验证
[RTA]display nat address-group 1
NAT Address-Group Information:
--------------------------------------
Index Start-address
End-address
1
200.10.10.1
200.10.10.200
[RTA]display nat outbound
NAT Outbound Information:
----------------------------------------------------------------

华为路由器NAT命令详解

华为路由器NAT命令详解

华为路由器NAT命令详解配置脚本#sysname RouterA#radius scheme system#domain system#acl number 2000 /配置允许进行NAT转换的内网地址段/ rule 0 permit source 192.168.0.0 0.0.0.255rule 1 deny#interface Ethernet0/0ip address 202.1.1.2 255.255.255.248nat outbound 2000#interface Ethernet0/1ip address 192.168.0.1 255.255.255.0 /内网网关/#interface NULL0#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默认路由/user-interface con 0user-interface vty 0 4#return配置脚本#sysname RouterA#nat address-group 0 202.1.1.3 202.1.1.6 /用户NA T的地址池/ #radius scheme system#domain system#acl number 2000 /配置允许进行NAT转换的内网地址段/ rule 0 permit source 192.168.0.0 0.0.0.255rule 1 deny#interface Ethernet0/0ip address 202.1.1.2 255.255.255.248nat outbound 2000 address-group 0 /在出接口上进行NA T转换/interface Ethernet0/1ip address 192.168.0.1 255.255.255.0 /内网网关/#interface NULL0#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默认路由/#user-interface con 0user-interface vty 0 4#return5.2.4 对外提供ftp,www等服务以www服务为例,除了5.2.1和5.2.2的配置,公网接口需要增加如下配置:[Quidway-Ethernet0/0]nat server protocol tcp global 202.1.1.2 www inside 192.168.0.2 www注意:如果需要其他用户可以ping通内部对外提供服务的服务器,必须增加如下配置: [Router-Ethernet1]nat server protocol icmp global 202.1.1.2 inside 192.168.0.2注意:内部用户不能使用公网地址来访问内部服务器,必须使用内网地址访问.如上例子:192.168.0.0/24网段的用户,不能访问http://202.1.1.2,而只能访问http://192.168.0.2 配置脚本#sysname RouterA#radius scheme system#domain system#acl number 2000 /配置允许进行NAT转换的内网地址段/ rule 0 permit source 192.168.0.0 0.0.0.255rule 1 deny#interface Ethernet0/0ip address 192.168.0.1 255.255.255.0 /内网网关/nat outbound 2000#interface Serial0/0ip address 202.1.1.2 255.255.255.252 /公网出口/nat outbound 2000 /在出接口上进行NA T转换/ #interface Serial0/1ip address 61.1.1.2 255.255.255.252 /公网出口/nat outbound 2000#interface NULL0#ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 preference 60 /配置默认路由/ip route-static 0.0.0.0 0.0.0.0 61.1.1.1 preference 60 /配置默认路由/#user-interface con 0user-interface vty 0 4#return【验证】disp ip routRouting Table: public netDestination/Mask Protocol Pre Cost Nexthop Interface0.0.0.0/0 STA TIC 60 0 61.1.1.1 Serial0/1202.1.1.1 Serial0/0 61.1.1.0/30 DIRECT 0 0 61.1.1.6 Serial0/1 61.1.1.2/32 DIRECT 0 0 61.1.1.5 Serial0/1 61.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoopBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 192.168.0.0/24 DIRECT 0 0 192.168.0.1 Ethernet0/0 192.168.0.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 202.1.1.0/30 DIRECT 0 0 202.1.1.6 Serial2/0/0 202.1.1.2/32 DIRECT 0 0 202.1.1.5 Serial2/0/0202.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoopBack0 disp nat sessionThere are currently 2 NAT sessions:Protocol GlobalAddr Port InsideAddr Port DestAddr Port6 202.1.1.2 12288 192.168.0.2 1036 200.1.1.1 23 VPN: 0, status: 11, TTL: 24:00:00, Left: 23:59:556 61.1.1.2 12289 192.168.0.3 1035 200.1.1.1 23VPN: 0, status: 11, TTL: 00:01:00, Left: 00:00:21 【提示】1、通过在路由上配置两条等值路由来实现负载分担2、如果只想实现NAT的主备用,只需要修改两条默认路由为不同的优先级即可。

华为路由器ARG3路由器出口NAT及流量控制

华为路由器ARG3路由器出口NAT及流量控制

配置思路 采用如下思路配置NAT Outbound: 配置接口IP地址。 在WAN侧接口下配置NAT Outbound, 实现内部主机访问外网服务功能。
HUAWEI TECHNOLOGIES CO., LTD.
Huawei Confidential
Page 5
NAT outbound配置举例(续)
# sysname RouterA # vlan batch 10 20 30 # traffic classifier c1 operator or if-match vlan-id 10 traffic classifier c2 operator or if-match vlan-id 20 traffic classifier c3 operator or if-match vlan-id 30 # traffic behavior b1 car cir 256 cbs 48128 pbs 80128 green pass yellow pass red discard statistic enable traffic behavior b2 car cir 4000 cbs 752000 pbs 1252000 green pass yellow pass red discard statistic enable traffic behavior b3 car cir 2000 cbs 376000 pbs 626000 green pass yellow pass red discard statistic enable
Huawei Confidential
Page 2
NAT Server配置
组网需求 A公司的网络通过AR2200的地址转换功能连接到广域网。该公司提供WWW Server供外部 网络用户访问。其中WWW Server的内部IP地址为192.168.20.2:8080,对外公布的地址为 202.169.10.5/24。 B公司的网络通过AR2200的地址转换功能连接到广域网。该公司提供FTP Server供外部网 络用户访问,FTP Server的内部IP地址为10.0.0.3/24,对外公布的地址为 202.169.10.33/24。
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

华为NAT配置案例
华为NAT配置案例模拟
图表1模拟拓扑图
1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet
(公网)
静态一对一:
AR1#
interface GigabitEthernet0/0/1
ip address 202.106.1.2 255.255.255.0
nat static global 202.1.1.1 inside 192.168.1.2 netmask
255.255.255.255
AR2#
[AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2
[AR2]
结果测试:
查看静态转换表
[AR1]display nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 202.1.1.1/----
Inside IP/Port : 192.168.1.2/----
Protocol : ----
VPN instance-name : ----
Acl number : ----
Netmask : 255.255.255.255
Description : ----
Total : 1
[AR1]
在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静
态一对一的关系
2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet
(公网)
动态NAT
[AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1)
[AR1]dis cu | begin acl
acl number 2000 (定义转换的源IP)
rule 5 permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/1(接口调用)
ip address 202.106.1.2 255.255.255.0
nat outbound 2000 address-group 1
结果测试:
在出接口下将ACL和地址池关联起来,需要注意华为设备上如果地支持中有不止一个IP地址,后面需加no-pat,本例中只有一个地址可以不加;PC1和PC2都可以访问公网
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 ?
no-pat Not use PAT
<cr> Please press ENTER to execute command
3、在华为设备上部署PAT技术实现公司员工(私网)访问internet(公网)
AR1#
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/1
ip address 202.106.1.2 255.255.255.0
nat outbound 2000 (定义复用接口g0/0/1用于PAT转换)
结果测试
[AR1]dis nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/1 2000 202.106.1.2 easyip
--------------------------------------------------------------------------
Total : 1
[AR1]
4、在华为设备上部署静态端口映射技术实现公网用户访问私网服务器
静态端口映射
--------------------------------------------------------------------------
AR1#
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/1
ip address 202.106.1.2 255.255.255.0
nat static protocol tcp global 202.1.1.1 23 inside 192.168.1.4 23 nat outbound 2000
#
return
[AR1-GigabitEthernet0/0/1]
--------------------------------------------------------------------------
AR3#
[AR3]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1
[AR3]dis cu | begin vty
user-interface vty 0 4
authentication-mode password
set authentication password cipher ****
user-interface vty 16 20
[AR3]。

相关文档
最新文档