1. 程式人生 > >華為動態NAT配置

華為動態NAT配置

華為動態NAT配置

試驗要求:
1)將內部網路10.1.1.0/24轉換為公網地址200.1.1.1~200.1.1.10/28上網(訪問Server3),並抓包分析
2)驗證動態NAT是單向轉換

環境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步驟:
R1:
[R1]acl 2000 #建立編號為2000的基本ACL列表
[R1-acl-basic-2000]rule 50 permit source 10.1.1.0 0.0.0.255
#建立序號為50的條目,允許(permit)來自(source)10.1.1.0網段的所有主機通過
[R1-acl-basic-2000]q #退出ACL模式
[R1]nat address-group 1 200.1.1.1 200.1.1.10
#建立NAT地址池(address-group)1,200.1.1.1-200.1.1.10
[R1]int g 0/0/2 #進入GE 0/0/2埠
[R1-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
#在埠上啟用動態NAT,將ACL2000匹配的流量應轉換到該埠作為源地址,並匹配從該出口出去(outbound)的流量,關聯NAT地址池(address-group)1,並且不做埠轉換(no-pat),只做地址轉換。

結果驗證:

注:
根據實驗要求,最右側裝置為Server3,但配置完成後並不能形成單向的動態NAT,因此我將Server3換成了AR2240,配置好IP地址後再進行測試,結果就是正確的了,因此在驗證結果時,如果經過反覆排查發現自己的配置沒有任何問題的情況下,可以考慮是否是由模擬器導致的問題,嘗試更換裝置。

#=============================================================================#

華為靜態NAT配置

試驗要求:
1)將內部地址10.1.1.11/24、10.1.1.12/24靜態轉換為公網地址200.1.1.11/28、200.1.1.12/28 ,以便訪問外網(Server3)或被外網(Server3)訪問,並抓包分析
2)驗證靜態NAT是雙向轉換

環境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步驟:
[R1]int g 0/0/2 #進入GE 0/0/2埠
[R1-GigabitEthernet0/0/2]nat static global 200.1.1.11 inside 10.1.1.11
#配置全域性(global)靜態(static)NAT,將內網10.1.1.11地址轉換成200.1.1.11
[R1-GigabitEthernet0/0/2]nat static global 200.1.1.12 inside 10.1.1.12
#配置全域性(global)靜態(static)NAT,將內網10.1.1.12地址轉換成200.1.1.12

結果驗證:

#=============================================================================#

華為NAPT配置

試驗要求:
公司要求將內部網路10.1.1.0/24轉換為一個公網地址200.1.1.10/28上網(訪問Server3)。

環境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步驟:
[R1]acl 2000 #建立編號為2000的基本ACL列表
[R1-acl-basic-2000]rule 50 permit source 10.1.1.0 0.0.0.255
#建立序號為50的條目,允許(permit)來自(source)10.1.1.0網段的主機通過
[R1-acl-basic-2000]q #退出ACL模式
[R1]nat address-group 1 200.1.1.10 200.1.1.10
#建立NAT地址池1,並指定地址池內IP為200.1.1.10
[R1]int g 0/0/2 #進入GE 0/0/2埠
[R1-GigabitEthernet0/0/2]nat outbound 2000 address-group 1
#啟動NAT,並將ACL2000匹配的IP地址作為NAT的源地址,並套用地址池1進行地址轉換

結果驗證:

#=============================================================================#

華為Easy IP配置

實驗要求:
公司路由器外部介面G0/0/2是動態IP,要求內部網路10.1.1.0/24利用外部介面G0/0/2上網(訪問Server3)。

環境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步驟:
[R1]acl 2000 #建立編號為2000的基本ACL列表
[R1-acl-basic-2000]rule 50 permit source 10.1.1.0 0.0.0.255
#建立序號為50的條目,允許(permit)來自(source)10.1.1.0網段的所有主機通過
[R1-acl-basic-2000]q #退出ACL模式
[R1]int g 0/0/2 #進入GE 0/0/2埠
[R1-GigabitEthernet0/0/2]nat outbound 2000
#啟動NAT,並將基本ACL2000列表匹配到的所有IP地址作為源地址進行NAT轉換,且所有源地址都將轉換為該埠地址進行外網訪問

結果驗證:

#=============================================================================#

華為NAT Server配置

試驗要求:
1)將內部地址10.1.1.11/24的80埠靜態轉換為公網地址200.1.1.11/28的80埠,以便被外網(Client2)訪問;同時Server1和Client2可以互相ping通。
2)將內部地址10.1.1.12/24的21埠靜態轉換為公網地址200.1.1.12/28的21埠,以便被外網(Client2)訪問。

環境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步驟:
[R1]int g 0/0/1 #進入GE 0/0/1埠
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 200.1.1.12 21 inside 10.1.1.12 21
#建立NAT地址轉換,全域性(global)模式下,將10.1.1.12的TCP協議(protocol)21埠轉換為200.1.1.12的TCP協議(protocol)的21埠
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 200.1.1.11 80 inside 10.1.1.11 80
#建立NAT地址轉換,全域性(global)模式下,將10.1.1.11的TCP協議(protocol)80埠轉換為200.1.1.11的TCP協議(protocol)的80埠
[R1-GigabitEthernet0/0/1]nat server protocol icmp global 200.1.1.11 inside 10.1.1.11
#建立NAT地址轉換,全域性(global)模式下,將10.1.1.11的icmp協議(protocol)轉換為200.1.1.11的icmp協議(protocol)

結果驗證: