关闭

NAT配置与管理——2

751人阅读 评论(0) 收藏 举报
分类:

配置动态NAT

通过动态ANT可以动态建立私网IP和公网IP的映射表项,动态NAT包括一对一转换的Basic NAT和多对一转换的NAPTEasy IP这三种NAT实现方式。

动态NAT的基本配置思想主要有三个方面:首先通过ACL指定允许使用NAT进行IP地址转换的用户范围,然后创建用于动态NAT地址转换的公网地址池,最后在NAT的出接口上把配置的ACL和公网地址池(如采用Easy IP,此时公网地址池就是NAT出接口的IP地址)进行关联,相当于在NAT出接口上应用所配置的ACL和公网地址池。

动态NAT的主要配置任务如下:、

①配置地址转换的ACL规则。

②配置出接口的地址关联。

③(可选)使能NAT ALG功能。

④(可选)配置NAT 过滤方式和映射模式

⑤(可选)配置两次NAT

⑥(可选)配置NAT日志输出

⑦(可选)配置NAT地址映射表项老化时间。

一、配置地址转换的ACL规则

这是必选配置任务,因为出接口地址关联配置任务中必须要用到这里配置好的地址转换ACL,用于控制允许使用NAT进行地址转换的用户私网IP地址范围和网络应用范围。可根据实际情况配置基本ACL规则或高级ACL规则指定允许使用NAT进行地址转换的用户主机源IP地址范围,可以使用高级ACL同时限制使用NAT的通信协议类型,但在规则中的地址范围方面仅可指定源IP地址,不能指定目的IP地址。

仅可在动态NAT中调用ACL来控制允许使用地址池进行地址转换的内部网络用户,静态和NAT Server相当于都静态配置了一对一的地址映射表,不需要ACL控制。

动态NAT地址转换ACL配置方法简单,只需在系统视图下使用:aclnumber acl-numbermatch-order {auto | config}】命令创建一个基本ACL或高级ACL,然后利用对应的基本ACL或高级ACL中的rule命令配置相应的ACL规则。

例:允许内部网络192.168.1.0/24网段的用户使用NAT地址池进行地址转换。

<Huawei>system-view

[Huawei]acl2001

[Huawei-acl-basic-2001]rulepermit source 192.168.1.0 0.0.0.255

例:允许内部网络192.168.1.10/24用户使用NAT地址池进行地址转换。

<Huawei>system-view

[Huawei]acl2001

[Huawei-acl-basic-2001]rulepermit source 192.168.1.10 0

例:允许内部网络192.168.1.0/24网段的用户在进行TCP通信时使用NAT地址池进行地址转换。

<Huawei>system-view

[Huawei]acl3001

[Huawei-acl-adv-3001]rule3 permit  tcp source 192.168.1.0 0.0.0.255

二、配置出接口的地址关联

必选配置任务。出接口地址关联就是把所创建的公网地址池与ACLNAT出接口上进行关联。

①如用户配置了NAT设备出接口的IP地址和其他应用之后,还有空闲公网IP地址,可以配置单独的地址池。

②如果用户在配置了NAT设备出接口的IP地址和其他应用后,已没有其他可用公网IP地址,则可以选择Easy IP方式,因为Easy IP可以借助NAT设备出接口的IP地址完成动态NAT

三、使能NATALG功能

可选项,仅在要通过ANT设备进行DNSFTPSIPRTSP等应用时,需要配置NAT ALG功能。使能ALG功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据动态形成的NAT地址(或同时包括端口号)映射表项进行替换,使报文正常穿越NAT

使能ALG方法,在系统视图下使用:nat alg { all | dns | ftp | rstp |sip} enable,缺省ALG处于未使能状态。

四、配置NAT过滤方式和映射模式

可选配置项,仅当网络中存在来自不同厂商的设备,且存在使用STUNSimple Traversal of UDP Through NAT,通过NATUDP简单穿越)、TURNraversal Using Relay NAT,使用中继NAT穿越)、ICEInteractive ConnectivityEstablishment,交互式连通建立)技术的应用时才需要配置。

因为以上应用技术广泛依赖SIPSession Initiation Protocol,会话初始化协议)代理等软件,而SIP又属于多通道应用,在功能实现时需要创建多个数据通道链接,因此为了保障多个通道的链接,必须配置NAT映射模式和过滤方式,只允许符合映射关系、过滤条件的报文通过。

五、配置两次NAT

可选配置,仅当内外网地址重叠(属于同一IP网段)时才需要通过两次NAT来实现内外网的正常通信。此时内外网主机可以根据重叠地址池和临时地址池的映射关系,将重叠地址替换为临时地址后再进行NAT地址转换,以实现内外网的互访。重叠地址池用来指定指定内网哪些IP允许和外网重叠,只有属于重叠地址池的地址才会做两次NAT;临时地址池指定了可用哪些临时IP地址来替换重叠地址池里的地址。

配置两次NAT就是要配置重叠地址池和临时地址池的映射关系,方法在系统视图下:nat overlap-addressmap-index overlappool-startaddresstemppool-startaddress pool-length length inside-vpn-instance inside-vpn-instance-name

配置好重叠地址池到临时地址池后的映射后还需要配置从NAT出接口到达临时地址的静态路由(目的IP为临时IP,出接口为NAT出接口,下一跳通常为公网IP地址),否则NAT流量仍然无法通过出接口发出去。

六、配置NAT日志输出

可选配置,可根据实际需要在NAT设备上配置NAT日志输出功能,记录包括报文的源IP地址、源端口、目的IP地址、目的端口、转换后的源IP、转换后的源端口以及NAT的时间信息和用户执行的操作等。

 

七、配置NAT地址映射表项老化时间

可选配置,为NAT地址映射表配置老化时间,以控制用户对NAT配置的使用。配制方法,在系统视图下使用:firewall-nat session {dns | ftp |ftp-data | http | icmp | tcp | tcp-proxy | udp | sip | sip-media | rtsp |rtsp-media} aging-time time-value

八、动态NAT地址转换配置示例:

公司A区和B区的私网用户和Internet相连,路由器上出接口GE3/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24A区用户希望使用公网地址池中的地址(202.169.10.100~202.168.10.200),采用NAT方式替换A区内的主机地址(网段为192.168.20.0/24),访问InternetB区用户希望结合B区的公网IP地址比较少的情况,使用公网地址池(202.169.10.80~202.168.10.83),采用IP地址和端口的替换方式替换B区内部的主机地址(网段为10.0.0.0/24),访问Internet

1、基本配置思路

两个不同的内网用户区域,采用了不同的公网地址池,且是多对一的NAT地址转换,所以需要配置两个NAT地址池。然后通过两个ACL限制两个用户区域中允许使用对应动态地址转换应用的内部网络用户(当然还需要在NAT上配置到达Internet的缺省路由)。

2、具体配置

①配置NAT设备各接口IP地址

②配置两个用于控制A区和B区用户应用动态NAT地址转换的ACL。因为这里仅需要控制作为源IP地址的用户私网IP,不用控制通信协议类型,所以仅配置基本ACL即可。

③配置两个动态NAT出接口地址关联,采用地址池的方式。

④配置到达Internet的缺省路由,指定下一跳地址为运营商侧设备IP地址202.168.10.2

Routerip route-static 0.0.0.0 0.0.0.0 202.168.10.2

如果需要在Router上执行ping –a source-ip-address命令,通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户是否可以访问Internet,则还需要配置ip soft-forward enhance enable命令,使能设备产生的控制报文的增强转发功能,这样ping报文中的私网源IP地址才能通过NAT转换为公网IP地址,使得最终的ICMP回应报文正确返回私网ping主机上。

配置好后,可在Router上执行display nat outbound,查看地址转换配置。

九、配置两次NAT示例

路由器出接口GE1/0/0IP202.11.1.2/24LAN侧接口IP地址为202.10.0.1/24,对端运营商IP202.11.1.1/24,公司内网一台主机IP分配不合理,PC-1和公网中的服务器ServerA地址重叠。

1、基本配置思路

这是一个通过动态NAT实现内网主机访问外网主机的示例,因为内外网地址重叠,需要在配置动态NAT情况下还要配置两次NAT。配置动态NAT时,地址池为临时地址池,然后通过两次NAT配置临时地址池与重叠的公网地址池之间的映射关系(临时地址池与重叠地址池要处于不同的IP网段),PC2主机使用域名访问方式,所以需要同时配置DNS ALG(但不需要配置DNS Mapping)。

2、具体配置步骤

①配置各接口IP

<Huawei>system-view

[Huawei]sysnameRouter

[Router]interfacegigabitethernet 1/0/0

[Router-GigabitEthernet1/0/0]ipaddress 202.11.1.2 24

[Router-GigabitEthernet3/0/0]quit

[Router]interfaceethernet 2/0/0

[Router-Ethernet2/0/0]ipaddress 202.10.0.1 24

[Router-Ethernet2/0/0]quit

②配置两次NAT。两次NAT主要是配置重叠的公网地址池和临时地址池之间的映射关系(假设临时地址池的起始地址为202.12.1.100,共254个),还需配置从出接口GE1/0/0到达临时地址的静态路由。

[Router]natoverlap-address 0 202.10.0.100 202.12.1.100 pool-length 254

[Router]iproute-static 202.12.1.100 32 gigabitethernet 1/0/0 202.11.1.1

③配置动态ANT

[Router]acl3180

[Router-acl-adv-3180]rule5 permit ip source 202.10.0.0 0.0.0.255 !—定义允许内部地址使用NAT地址转换的高级ACL规则(同时限定仅允许IP通信可使用NAT地址转换)

[Router-acl-adv-3180]quit

[Router]nataddress-group 1 202.11.1.100 202.11.1.200

[Router]interfacegigabitethernet 1/0/0

[Router-GigabitEthernet1/0/0]natoutbound 3180 address-group 1 !—NAT出接口上关联内部网络地址和NAT公网地址池

[Router-GigabitEthernet1/0/0]quit

[Router]natalg dns enable   !—使能DNSALG功能

④配置到达Internet的缺省路由,指定下一跳地址为202.11.1.1

[Router]iproute-static 0.0.0.0 0.0.0.0 202.11.1.1

配置好后,可执行display nat overlap-address all查看地址池映射关系。

配置静态NAT

静态NAT可以实现私网IP地址和公网IP地址的固定一对一映射,基本的配置思想就是配置用户私网IP地址与用于NAT地址转换的公网IP地址之间的一对一静态映射表项。

①配置静态地址映射

②(可选)使能DNS Mapping

③(可选)使能NAT ALG功能

④(可选)配置NAT过滤方式和映射模式

⑤(可选)配置两次NAT

⑥(可选)配置NAT日志输出

⑦(可选)配置NAT地址映射表项老化时间

一、配置静态NAT地址映射

可在系统视图下为所有NAT出口全局配置,也可在NAT出接口视图下仅为该接口配置。

配置静态NAT时,其中的global-addresshost-address必须保证和所有设备现有地址没有重复,包括设备接口地址、用户地址池地址,以避免冲突。

二、配置DNSMapping

在配置静态地址转换时配置DNS Mapping,可以指明“域名-公网IP-公网端口-协议类型”映射表项。当DNS解析报文到达NAT设备时,NAT设备会根据DNS Mapping建立的映射表项中的公网域名对应的公网IP查找静态地址表项,得到公网IP地址对应的私网IP,再用该私网地址替换DNS的解析报文数据部分的内部服务器公网IP并转发给用户。但DNS报文必须与NAT ALG结合使用,否则仍不能正常穿越NAT

三、静态一对一NAT配置示例:

对端运营商侧地址为202.10.1.1/24

1、基本配置思路

仅配置一条一对一的静态NAT弟子转换配置。

2、具体配置

①配置各接口IP地址

<Huawei>system-view

[Huawei]sysnameRouter

[Router]interfacegigabitethernet 2/0/0

[Router-GigabitEthernet2/0/0]ipaddress 202.10.1.2 24

[Router-GigabitEthernet3/0/0]quit

[Router]interfaceethernet 1/0/0

[Router-Ethernet1/0/0]ipaddress 192.168.0.1 24

[Router-Ethernet2/0/0]quit

②配置出接口GE2/0/0一对一的静态NAT映射表项

[Router]interfacegigabitethernet 2/0/0

[Router-GigabitEthernet2/0/0]natstatic global 202.10.1.3 inside 192.168.0.2

[Router-GigabitEthernet2/0/0]quit

③配置到达Internet的缺省路由,下一跳为运营商侧IP地址202.10.10.1

[Router]iproute-static 0.0.0.0 0.0.0.0 202.10.1.1

配置好后,可在Router上执行display nat static查看地址池映射关系

配置NAT Server

NAT Server功能为了解决外网访问采用私网IP的内网服务器的一种NAT方案,又称为“内部服务器”NAT方案。

NAT Server的基本配置思想就是为内部服务器创建全局公网IP地址到内部私网IP地址之间的一对一静态映射表项,同样可根据实际需要选择配置其他NAT扩展应用技术。

①配置内部服务器地址映射

②(可选)使能DNS Mapping

③(可选)使能NAT ALG功能

④(可选)配置NAT过滤方式和映射模式

⑤(可选)配置两次NAT

⑥(可选)配置NAT日志输出

⑦(可选)配置NAT地址映射表项老化时间

一、配置NATServer地址映射

NAT Server的配置中往往涉及一个内网用户访问内部服务器的需求问题:

①当内网服务器有域名,DNS服务器在内网侧,内网用户需要通过域名访问内部服务器,或者内网服务器没有域名,内网用户需要通过私网IP地址访问内部服务器时,无需另外的配置,只需在NAT设备上配置好内部服务器地址映射就可以了

②当内网服务器有域名,DNS服务器在公网侧,内网用户需要通过域名访问内部服务器,这时除需要配置内部服务器地址映射外,还需要配置DNS MappingDNS ALG

③内网服务器没有域名,内网用户通过公网IP地址访问内部服务器,这时除了配置内部服务器地址映射外,还需通过QoS流策略重定向下一跳行为,定义内部网络用户以公网IP访问内部服务器时的下一跳为NAT出接口IP,并在NAT内部接口方向进行应用。

二、NATServer地址映射配置示例

公司提供WWW ServerFTP Server共外部网络用户访问。WWW Server内部IP192.168.20.2/24,端口8080,对外公布的地址为202.169.10.5/24FTP Server内部IP10.0.0.3/24,对外公布的地址为202.169.10.33/24,对端运营商侧地址为202.169.10.2/24

1、基本配置思路

没有要求采用域名访问WWW服务器(不需DNS),没要求内网用户通过服务器的公网IP或域名访问,所以仅需配置基本的NAT Server即可。

2、具体配置步骤

①配置各接口IP地址

②配置WWWFTP服务器地址映射

③使能FTPNAT ALG功能

[Router]natalg ftp enable

④配置到达Internet的缺省路由,下一跳为运营商侧的IP地址202.169.10.2

[Router]iproute-static 0.0.0.0 0.0.0.0 202.169.10.2

配置好后,可执行display nat server查看NAT Server配置:

三、NAT综合配置示例

WWW服务器内部IP192.168.0.100/24,端口8080,对外公网IP202.10.1.3/24,域名为www.TestNat.comNAT路由器出接口GE1/0/0IP地址为202.10.1.2/24,内部接口Eth2/0/0IP192.168.0.1,对端运营商侧地址为202.10.1.1/24,现公司要求通过公司内部的Web服务器对外网用户提供Web服务器,同时公司的内网用户还可以访问外网,内网用户也可以通过外网的DNS服务器使用域名访问公司内部的Web服务器。

1、基本配置思路

①仅有一个公网IP地址配置在NAT路由器的出接口上,无论内部网络用户访问Internet,还是访问在Internet中发布的内部Web服务器,都只能通过一个公网IP地址进行。内部网络用户访问Internet可以通过Easy IP来实现,公网用户或内部网络用户访问发布到了InternetWeb服务器,只能通过NAT Server来实现。

②用户要能够通过域名访问位于内部网络,且DNS服务器又位于InternetWeb服务器,这时需要配置DNS ALGDNS Mapping

2、具体配置步骤

①配置各接口IP地址。

<Huawei>system-view

[Huawei]sysnameRouter

[Router]interfacegigabitethernet 1/0/0

[Router-GigabitEthernet1/0/0]ipaddress 202.10.1.2 24

[Router-GigabitEthernet1/0/0]quit

[Router]interfaceethernet 2/0/0

[Router-Ethernet2/0/0]ipaddress 192.168.0.1 24

[Router-Ethernet2/0/0]quit

②配置Easy IP

[Router]acl2000

[Router-acl-basic-2000]rule5 permit source 192.168.0.0 0.0.0.255 !--定义用于指定NAT内部网络用户地址的基本ACL规则

[Router-acl-basic-2000]quit

[Router]interfacegigabitethernet 1/0/0

[Router-GigabitEthernet1/0/0]natoutbound 2000--在出接口上把内部网络地址与本接口IP地址进行关联

[Router-GigabitEthernet1/0/0]quit

③配置NAT Server

[Router]interfacegigabitethernet 1/0/0

[Router-GigabitEthernet1/0/0]natserver protocol tcp global 202.10.1.3 www inside 192.168.0.100 8080

[Router-GigabitEthernet1/0/0]quit

④配置DNS NAT ALGDNS Mapping

[Router]natalg dns enable

[Router]natdns-map www.TestNat.com 202.10.1.3 80 tcp !—配置内部web服务器“域名-公网IP-端口-协议类型”

[Router]quit

⑤配置到达Internet的缺省路由,指定下一跳地址为运营商侧公网IP地址202.10.1.1

[Router]iproute-static 0.0.0.0 0.0.0.0 202.10.1.1

NAT管理

1display nat address-group [group-index] [verbose]:查看指定或全部的NAT地址池或简要或者详细配置信息

2display nat outbound [acl acl-number | address-group group-index |interface interface-type interface-number [.subnumber]]:查看指定ACL或地址池或出接口下的NAT出接口地址关联信息。

3display nat static [global global-address | inside host-address[vpn-instance vpn-instance-name] | interface interface-type interface-name]:查看公网地址或内网地址或出接口下的静态NAT配置信息。

4display nat server [global global-address | inside host-address[vpn-instance vpn-instance-name] | interface interface-type interface-name |acl acl-number]:查看指定公网地址、内网地址或者出接口下的NAT Server地址映射表配置信息。

5display nat alg:查看NAT地址转换中的ALG配置信息。

6display nat dns-map [domain-name]:查看DNS映射信息

7display nat overlap-address {map-index | all | inside-vpn-instance  inside-vpn-instance -name}:查看NAT双向地址转换(即两次NAT)的相关信息。

8display firewall-nat session aging-time:查看NAT表项老化时间

9display nat filter-mode:查看NAT过滤方式

10display nat mapping-mode:查看NAT映射模式

11display nat mapping table {all | number}或者display nat mapping tableinside-address ip-address protocol {tcp|udp} port port-number [vpn-instancevpn-instance-name]:查看NAT映射表所有表项信息或个数。

12display nat session {all [ verbose] | number}或者display nat session {[protocol {icmp | tcp | udp | protocol-number}][source source-address [source-port]] [destination destination-address [destination-port]]}[verbose]:查看NAT的会话信息。

13reset nat session {all | transit interface interface-typeinterface-number}:清除NAT会话信息。

 

0
0

查看评论
* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场
    个人资料
    • 访问:353628次
    • 积分:5820
    • 等级:
    • 排名:第4368名
    • 原创:234篇
    • 转载:13篇
    • 译文:0篇
    • 评论:22条
    最新评论