1、华为 NAT 配置案例模拟图表 1 模拟拓扑图1、在华为设备上部署静态 NAT 技术,实现公司员工(私网)访问internet(公网)静态一对一:AR1#interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255AR2#AR2ip route-static 202.1.1.1 255.255.255.255 202.106.1.2AR2结果测试:查看静态转换表AR1display
2、nat static Static Nat Information:Interface : GigabitEthernet0/0/1Global IP/Port : 202.1.1.1/- Inside IP/Port : 192.168.1.2/-Protocol : - VPN instance-name : - Acl number : -Netmask : 255.255.255.255 Description : -Total : 1AR1在没有做静态 NAT 条目的 PC2 上不能访问公网,可以得出结论:静态 NAT 是静态一对一的关系2、在华为设备上部署动态 NAT 技术,实现公
3、司员工(私网)访问internet(公网)动态 NATAR1nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址 202.1.1.1)AR1dis cu | begin aclacl number 2000 (定义转换的源 IP)rule 5 permit source 192.168.1.0 0.0.0.255 interface GigabitEthernet0/0/1(接口调用)ip address 202.106.1.2 255.255.255.0 nat outbound 2000 address-group 1 结果测试
4、:在出接口下将 ACL 和地址池关联起来,需要注意华为设备上如果地支持中有不止一个 IP 地址,后面需加 no-pat,本例中只有一个地址可以不加;PC1 和 PC2 都可以访问公网AR1-GigabitEthernet0/0/1nat outbound 2000 address-group 1 ?no-pat Not use PATPlease press ENTER to execute command 3、在华为设备上部署 PAT 技术实现公司员工(私网)访问 internet(公网)AR1#acl number 2000rule 5 permit source 192.168.1.0
5、0.0.0.255interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0 nat outbound 2000 (定义复用接口 g0/0/1 用于 PAT 转换)结果测试AR1dis nat outbound NAT Outbound Information:-Interface Acl Address-group/IP/Interface Type-GigabitEthernet0/0/1 2000 202.106.1.2 easyip -Total : 1AR14、在华为设备上部署静态端口映射技术实现公网用户访问私
6、网服务器静态端口映射-AR1#acl number 2000 rule 5 permit source 192.168.1.0 0.0.0.255 interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0 nat static protocol tcp global 202.1.1.1 23 inside 192.168.1.4 23nat outbound 2000#returnAR1-GigabitEthernet0/0/1-AR3#AR3ip route-static 0.0.0.0 0.0.0.0 192.168.1.1AR3dis cu | begin vtyuser-interface vty 0 4authentication-mode passwordset authentication password cipher *user-interface vty 16 20AR3
