前言:
现在大家对“网关nat配置”大概比较关怀,我们都想要知道一些“网关nat配置”的相关资讯。那么小编同时在网上网罗了一些有关“网关nat配置””的相关内容,希望你们能喜欢,我们快快来学习一下吧!华为路由器配置NA的方式有很多种,最常见的基本配置方式有Easy IP和NAT地址池。
1、通过Easy IP进行NAT
如下图所示,Router的出接口GE0/0/1的IP地址为200.100.1.2/24,接口E0/0/1的IP地址为192.168.0.1/24,连接Router出接口GE0/0/1的对端IP地址为200.100.1.1/24内网用户通过Router的出接口GE0/0/1做Easy IP地址转换访问外网。
内网用户通过Easy IP方式访问的配置如下:
<HUAWEI> system-view //进入系统视图
[HUAWEI] sysname Router //修改设备名称
[Router] acl number 2000 //创建ACL 2000
[Router-acl-bas-2000] rule 5 permit source 192.168.0.0 0.0.0.255 //配置允许进行NAT转换的内网地址段192.168.0.0/24
[Router-acl-bas-2000] quit
[Router] interface Ethernet0/0/1
[Router-Ethernet0/0/1] undo port switch //关闭端口的交换特性,变为路由接口
[Router-Ethernet0/0/1] ip address 192.168.0.1 255.255.255.0 //配置内网网关地址
[Router-Ethernet0/0/1] quit
[Router] interface GigabitEthernet0/0/1
[Router-GigabitEthernet0/0/1] ip address 200.100.1.2 255.255.255.0
[Router-GigabitEthernet0/0/1] nat outbound 2000 //在出接口上做Easy IP方式的NAT
[Router-GigabitEthernet0/0/1] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //配置默认路由,保证出接口到对端路由可达
2、配置NAT地址池转换
2.1 基础配置
当内网用户较多、需要使用较多外部地址访问Internet时,可以使用地址池的方式,如下所示:
Router配置如下:
<HUAWEI> system-view //进入系统视图
[HUAWEI] sysname Router //修改设备名称
[Router] acl number 2000 //创建ACL 2000
[Router-acl-bas-2000] rule 5 permit source 192.168.0.0 0.0.0.255 //配置允许进行NAT转换的内网地址段192.168.0.0/24
[Router-acl-bas-2000] quit
[Router] nat address-group 1 200.100.1.100 200.100.1.200 //配置NAT地址池
[Router] interface vlan 100 //配置内网网关的IP地址
[Router-vlan-interface100] ip address 192.168.0.1 255.255.255.0
[Router-vlan-interface100] quit
[Router] interface Ethernet2/0/1
[Router-Ethernet2/0/1] port link-type access //配置接口的类型位access
[Router-Ethernet2/0/1] port default vlan 100 //配置接口的默认VLAN ID
[Router-Ethernet2/0/1] quit
[Router] interface GigabitEthernet3/0/1
[Router-GigabitEthernet3/0/1] ip address 200.100.1.2 255.255.255.0
[Router-GigabitEthernet3/0/1] nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound
[Router-GigabitEthernet3/0/1] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 200.100.1.1 //配置默认路由,保证出接口到对端路由可达
2.2 WWW服务配置
当内网用户通过路由器的NAT地址转换功能来访问Internet,并且向外网用户提供WWW服务时,可增加配置:
[Router-GigabitEthernet3/0/1] ip address 200.100.1.2 255.255.255.0
[Router-GigabitEthernet3/0/1] nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound
[Router-GigabitEthernet3/0/1] nat server protocol tcp global 200.100.1.103 www inside 192.168.0.2 8080 //在出接口上配置内网服务器192.168.0.2的WWW服务
[Router-GigabitEthernet3/0/1] quit
2.3 校园网配置
如下所示的校园网环境中,Router的GE1/0/0连接校园网,GE2/0/0连接教育网,GE3/0/0连接Internet。内网主机访问教育网通过GE2/0/0,其他访问通过默认路由。通过GE3/0/0端口转发出去。该校园网服务器提供内外网web服务,内网地址是192.168.1.2/24,其域名是,外网地址是211.1.1.6.现要求外网主机和校园网内部主机都可以通过域名或211.1.1.6正常访问服务器,且要求校园网内部主机可以通过NAT任意访问Internet和教育网。其中,GE2/0/0的对端IP地址是211.1.1.2/24,GE3/0/0的对端IP地址是202.1.1.2/24。
根据网络规划,非教育网主机访问教育网主机,必须通过教育网专用通道访问,因此外网用户(包括教育网用户和非教育网用户)访问该校都是从GE2/0/0接入。而且如果源地址是教育网地址(如211.1.1.6/24)的报文从GE3/0/0出去,会被运营商屏蔽。
Router配置如下:
[Router] acl number 2000 //配置ACL规则,允许校园网中192.168.1.0/24网段的主机访问外网
[Router-acl-bas-2000] rule 5 permit source 192.168.1.0 0.0.0.255
[Router-acl-bas-2000] quit
[Router] acl number 3000 //用于内部主机直接使用211.1.1.6访问服务器,只有内网发起的服务才会在GE1/0/0上进行NAT
[Router-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 211.1.1.6 0
[Router-acl-adv-3000] quit
[Router] acl number 3001 //内部服务器返回内部主机的数据流不需要被重定向到教育网出口
[Router-acl-adv-3001] rule 5 permit ip source 192.168.1.2 0 destination 192.168.1.0 0.0.0.255
[Router-acl-adv-3001] quit
[Router] acl number 3003 //用于将内部服务器发往外部的数据流重定向到教育网出口
[Router-acl-adv-3003] rule 10 permit ip source 192.168.1.2 0
[Router-acl-adv-3003] quit
[Router] traffic classifier permitover operator or //定义不用重定向的数据流分类
[Router-classifier-permitover] if-match acl 3001
[Router-classifier-permitover] quit
[Router] traffic classifier redirectover operator or //定义需要重定向的数据流分类
[Router-classifier-redirectover] if-match acl 3003
[Router-classifier-redirectover] quit
[Router] traffic behavior permitover //定义permitover的流行为
[Router-behaior-permitover] traffic behavior redirectover //定义redirectover的流行为为redirect
[Router-behaior-permitover] redirect ip-nexthop 211.1.1.2 //服务器响应外网访问的数据流都被重定向到教育网出口
[Router-behaior-permitover] quit
[Router] traffic policy redirect //绑定流策略
[Router-policy-redirect] classifier permitover behavior petmitover //先匹配是否是内部服务器返回内部主机的数据流
[Router-policy-redirect] classifier redirectover behavior redirectover //后匹配重定向到教育网出口的数据流
[Router-policy-redirect] quit
[Router] nat alg dns enable //使能NAT ALG(application level gateway)的DNS功能
[Router] nat dns-map 211.1.1.6 80 tcp //配置DNS-MAP,将DNS的解析结果转化成内网服务器地址
[Router] nat address-group 0 202.1.1.50 202.1.1.100 //访问非教育网地址时NAT用
[Router] nat address-group 1 211.1.1.50 211.1.1.100 //访问教育网地址时NAT用
[Router] interface GigabitEthernet1/0/0
[Router-GigbitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0
[Router-GigbitEthernet1/0/0] traffic-policy redirect inbound //GE1/0/0对入方向的数据流执行流策略redirect
[Router-GigbitEthernet1/0/0] nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //内网用户直接使用211.1.1.6访问服务器时进行NAT
[Router-GigbitEthernet1/0/0] nat outboun 3000 //内网用户直接访问211.1.1.6时做Easy IP,将源地址改为GE1/0/0的地址,保证内网服务器和主机间的交互都经过Router转发
[Router-GigbitEthernet1/0/0] quit
[Router] interface GigabitEthernet2/0/0
[Router-GigbitEthernet2/0/0] ip address 211.1.1.1 255.255.255.0
[Router-GigbitEthernet2/0/0] nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255 //教育网出口的NAT
[Router-GigbitEthernet2/0/0] nat outbound 2000 address-group 1 //内网访问教育网时的NAT
[Router-GigbitEthernet2/0/0] quit
[Router] interface GigabitEthernet3/0/0
[Router-GigbitEthernet3/0/0] ip address 202.1.1.1 255.255.255.0
[Router-GigbitEthernet3/0/0] nat outbound 2000 address-group 0 //内网访问非教育网时的NAT
[Router-GigbitEthernet3/0/0] quit
[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2 //默认路由
