华为路由器NAT地址转换

时间:2024-11-13 09:57:29

要求:

分别配置5种NAT并测试

1.启动设备

2.配置IP地址

3.在AR1上配置默认路由

[AR1]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2

一、静态NAT

1.在AR1的出接口上配置NAT静态映射

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]nat static global 12.1.1.3 inside 10.1.1.11

[AR1-GigabitEthernet0/0/0]quit

2.查看NAT状态

3.测试

分别用pc1和pc2对公网主机12.1.1.2进行连通测试

pc1:

pc2:

可以看到.虽然PC1和 PC2 处于相同网段 .但在AR1上只映射了PC1的地址10.1.1.11,因此路由器只对 PCl进行静态转换,而 PC2无法连通。由此说明.静态转换是固定一对一的映射关系。

执行 ping 命令的同时,可以在路由器AR1上查看NAT会话

[AR1]dis nat session source 10.1.1.11

二、Basic NAT

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]undo nat static global 12.1.1.3 inside 10.1.1.11

[AR1-GigabitEthernet0/0/0]q

[AR1]reset nat session all

1.定义NAT公网地址池

[AR1]nat address-group 1 12.1.1.3 12.1.1.6

2.对10.1.1.0/24的地址范围授予允许权限

[AR1]acl 2000

[AR1-acl-basic-2000]rule 1 permit source 10.1.1.0 0.0.0.255

[AR1-acl-basic-2000]quit

3.关联ACL和公网地址池

在路由器出接口将公网地址池和ACL 进行关联

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat

[AR1-GigabitEthernet0/0/0]quit

4.测试

在内网的任意一台PC 上使用 ping命令加-t选项测试连通性

pc>ping 12.1.1.2 -t

从上述结果中可以看到,4个包过后会不时有丢包现象。这是因为NAT是逐个数据包进行转换的,4个ICMP数据包已经用光了地址池中的4个IP地址。从下面的查看NAT会话结果中也可以看到,4 个地址都已经被转换了。因此,当地址资源未被释放时会丢包,在实际生产环境中很少使用Basic NAT。

[AR1]dis nat session source 10.1.1.12

三、NAPT

1.删除BasicNAT关联

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1 no-pat

[AR1-GigabitEthernet0/0/0]quit

2.建立无no-pat选项的关联

[Huawei]int g0/0/0

[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1

[Huawei-GigabitEthernet0/0/0]quit

3.测试

在内网的任意一台 PC 上使用 ping 命令加-t 选项测试连通性

pc>ping 12.1.1.2 -t

从上述结果中可以看到,不再有丢包现象,此时再查看 NAT 会话,可以看到每个数据包转换都使 用同一个IP 地址,说明实现了地址复用。

[AR1]dis nat session source 10.1.1.12

四、easy-ip

配置之前先对AR1的出接口删除之前的NAPT配置

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1

[AR1-GigabitEthernet0/0/0]q

1.配置easy-ip

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]nat outbound 2000

[AR1-GigabitEthernet0/0/0]quit

3.测试

使用内网的两台PC同时进行连通性测试,可以看到能同时连通12.1.1.2

再查看 NAT会话,可以看到内网多个IP 地址都被路由器出接口IP 地址12.1.1.1 转换了

[AR1]dis nat session all

五、NAT-server

1.启用NATALG功能

[AR1]nat alg ftp enable

2.定义内网FTP服务器和公网IP地址的映射关系

[AR1]int g0/0/0

[AR1-GigabitEthernet0/0/0]nat server protocol tcp global 12.1.1.3 ftp inside 10.1.1.100 ftp

[AR1-GigabitEthernet0/0/0]quit

查看NAT-server的配置信息

[AR1]dis nat server

3.配置FTP服务器

4.测试

在client1上使用公网IP12.1.1.3登录FTP服务器

从上述结果中可以看到,NAT-server配置生效,公网用户可以通过NAT发布的公网IP地址12.1.1.3访问内网的FTP服务器10.1.1.100。

相关文章