[网络工程师]-路由配置-NAT配置

已于 2022-10-07 21:58:08 修改
阅读量3.8k 收藏 26
点赞数 2
分类专栏: 网络工程师 文章标签: 网络 运维 华为
于 2022-10-07 21:56:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_58983558/article/details/127192673
版权

        华为路由器配置NA的方式有很多种,最常见的基本配置方式有Easy IPNAT地址池

1、通过Easy IP进行NAT

        如下图所示,Router的出接口GE0/0/1的IP地址为200.100.1.2/24,接口E0/0/1的IP地址为192.168.0.1/24,连接Router出接口GE0/0/1的对端IP地址为200.100.1.1/24内网用户通过Router的出接口GE0/0/1做Easy IP地址转换访问外网。

         

        内网用户通过Easy IP方式访问的配置如下:

<HUAWEI> system-view                //进入系统视图

[HUAWEI] sysname Router                //修改设备名称

[Router] acl number 2000                //创建ACL 2000

[Router-acl-bas-2000] rule 5 permit source 192.168.0.0 0.0.0.255                //配置允许进行NAT转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000] quit

[Router] interface Ethernet0/0/1

[Router-Ethernet0/0/1] undo port switch                //关闭端口的交换特性,变为路由接口

[Router-Ethernet0/0/1] ip address 192.168.0.1 255.255.255.0                //配置内网网关地址

[Router-Ethernet0/0/1] quit

[Router] interface GigabitEthernet0/0/1

[Router-GigabitEthernet0/0/1] ip address 200.100.1.2 255.255.255.0

[Router-GigabitEthernet0/0/1] nat outbound 2000                //在出接口上做Easy IP方式的NAT

[Router-GigabitEthernet0/0/1] quit

[Router] ip route-static 0.0.0.0 0.0.0.0 200.100.1.1                //配置默认路由,保证出接口到对端路由可达

2、配置NAT地址池转换

2.1 基础配置

        当内网用户较多、需要使用较多外部地址访问Internet时,可以使用地址池的方式,如下所示:

           

Router配置如下:

<HUAWEI> system-view                //进入系统视图

[HUAWEI] sysname Router                //修改设备名称

[Router] acl number 2000                //创建ACL 2000

[Router-acl-bas-2000] rule 5 permit source 192.168.0.0 0.0.0.255                //配置允许进行NAT转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000] quit

[Router] nat address-group 1 200.100.1.100 200.100.1.200                //配置NAT地址池

[Router] interface vlan 100                //配置内网网关的IP地址

[Router-vlan-interface100] ip address 192.168.0.1 255.255.255.0

[Router-vlan-interface100] quit

[Router] interface Ethernet2/0/1

[Router-Ethernet2/0/1] port link-type access                //配置接口的类型位access

[Router-Ethernet2/0/1] port default vlan 100                //配置接口的默认VLAN ID

[Router-Ethernet2/0/1] quit

[Router] interface GigabitEthernet3/0/1

[Router-GigabitEthernet3/0/1] ip address 200.100.1.2 255.255.255.0

[Router-GigabitEthernet3/0/1] nat outbound 2000 address-group 1                //在出接口上配置NAT Outbound

[Router-GigabitEthernet3/0/1] quit

[Router] ip route-static 0.0.0.0 0.0.0.0 200.100.1.1                //配置默认路由,保证出接口到对端路由可达

2.2 WWW服务配置

        当内网用户通过路由器的NAT地址转换功能来访问Internet,并且向外网用户提供WWW服务时,可增加配置:

[Router-GigabitEthernet3/0/1] ip address 200.100.1.2 255.255.255.0

[Router-GigabitEthernet3/0/1] nat outbound 2000 address-group 1                //在出接口上配置NAT Outbound

[Router-GigabitEthernet3/0/1] nat server protocol tcp global 200.100.1.103 www inside 192.168.0.2 8080                //在出接口上配置内网服务器192.168.0.2的WWW服务

[Router-GigabitEthernet3/0/1] quit

2.3 校园网配置

        如下所示的校园网环境中,Router的GE1/0/0连接校园网,GE2/0/0连接教育网,GE3/0/0连接Internet。内网主机访问教育网通过GE2/0/0,其他访问通过默认路由。通过GE3/0/0端口转发出去。该校园网服务器提供内外网web服务,内网地址是192.168.1.2/24,其域名是www.test.edu.cn,外网地址是211.1.1.6.现要求外网主机和校园网内部主机都可以通过域名或211.1.1.6正常访问服务器,且要求校园网内部主机可以通过NAT任意访问Internet和教育网。其中,GE2/0/0的对端IP地址是211.1.1.2/24,GE3/0/0的对端IP地址是202.1.1.2/24。

                     

        根据网络规划,非教育网主机访问教育网主机,必须通过教育网专用通道访问,因此外网用户(包括教育网用户和非教育网用户)访问该校都是从GE2/0/0接入。而且如果源地址是教育网地址(如211.1.1.6/24)的报文从GE3/0/0出去,会被运营商屏蔽。

Router配置如下:

[Router] acl number 2000        //配置ACL规则,允许校园网中192.168.1.0/24网段的主机访问外网

[Router-acl-bas-2000] rule 5 permit source 192.168.1.0 0.0.0.255

[Router-acl-bas-2000] quit

[Router] acl number 3000        //用于内部主机直接使用211.1.1.6访问服务器,只有内网发起的服务才会在GE1/0/0上进行NAT

[Router-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 211.1.1.6 0

[Router-acl-adv-3000] quit

[Router] acl number 3001        //内部服务器返回内部主机的数据流不需要被重定向到教育网出口

[Router-acl-adv-3001] rule 5 permit ip source 192.168.1.2 0 destination 192.168.1.0 0.0.0.255

[Router-acl-adv-3001] quit

[Router] acl number 3003        //用于将内部服务器发往外部的数据流重定向到教育网出口

[Router-acl-adv-3003] rule 10 permit ip source 192.168.1.2 0

[Router-acl-adv-3003] quit

[Router] traffic classifier permitover operator or        //定义不用重定向的数据流分类

[Router-classifier-permitover] if-match acl 3001

[Router-classifier-permitover] quit

[Router] traffic classifier redirectover operator or        //定义需要重定向的数据流分类

[Router-classifier-redirectover] if-match acl 3003

[Router-classifier-redirectover] quit

[Router] traffic behavior permitover        //定义permitover的流行为

[Router-behaior-permitover] traffic behavior redirectover        //定义redirectover的流行为为redirect

[Router-behaior-permitover] redirect ip-nexthop 211.1.1.2        //服务器响应外网访问的数据流都被重定向到教育网出口

[Router-behaior-permitover] quit

[Router] traffic policy redirect        //绑定流策略

[Router-policy-redirect] classifier permitover behavior petmitover        //先匹配是否是内部服务器返回内部主机的数据流

[Router-policy-redirect] classifier redirectover behavior redirectover        //后匹配重定向到教育网出口的数据流

[Router-policy-redirect] quit

[Router] nat alg dns enable        //使能NAT ALG(application level gateway)的DNS功能

[Router] nat dns-map www.test.edu.cn 211.1.1.6 80 tcp        //配置DNS-MAP,将DNS的解析结果转化成内网服务器地址

[Router] nat address-group 0 202.1.1.50 202.1.1.100        //访问非教育网地址时NAT用

[Router] nat address-group 1 211.1.1.50 211.1.1.100        //访问教育网地址时NAT用

[Router] interface GigabitEthernet1/0/0

[Router-GigbitEthernet1/0/0] ip address 192.168.1.1 255.255.255.0

[Router-GigbitEthernet1/0/0] traffic-policy redirect inbound        //GE1/0/0对入方向的数据流执行流策略redirect

[Router-GigbitEthernet1/0/0] nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255        //内网用户直接使用211.1.1.6访问服务器时进行NAT

[Router-GigbitEthernet1/0/0] nat outboun 3000        //内网用户直接访问211.1.1.6时做Easy IP,将源地址改为GE1/0/0的地址,保证内网服务器和主机间的交互都经过Router转发

[Router-GigbitEthernet1/0/0] quit

[Router] interface GigabitEthernet2/0/0

[Router-GigbitEthernet2/0/0] ip address 211.1.1.1 255.255.255.0

[Router-GigbitEthernet2/0/0] nat static global 211.1.1.6 inside 192.168.1.2 netmask 255.255.255.255        //教育网出口的NAT

[Router-GigbitEthernet2/0/0] nat outbound 2000 address-group 1        //内网访问教育网时的NAT

[Router-GigbitEthernet2/0/0] quit

[Router] interface GigabitEthernet3/0/0

[Router-GigbitEthernet3/0/0] ip address 202.1.1.1 255.255.255.0

[Router-GigbitEthernet3/0/0] nat outbound 2000 address-group 0        //内网访问非教育网时的NAT

[Router-GigbitEthernet3/0/0] quit

[Router] ip route-static 0.0.0.0 0.0.0.0 202.1.1.2        //默认路由

579YOU
关注
  • 2
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
最新软考网络工程师配置高频知识点手册
11-17
最新2023年,软考,网络工程师,下午题,实验,华为路由器、交换机,代码配置,高频知识点,91页 重点版,高清!最全! 第一部分:基础实验 实验一:登录华为设备 实验二:ACL 原理及应用 实验三:NAT 原理及应用 ...
nat原理和配置
a664566的博客
02-24 3784
产生背景: 随着网络规模的发展,上网设备的数量越来越多,每个设备都需要IP地址, 但是IP地址空间不足,同时还存在大量的IP地址浪费,所以我们推出“公有/私有”地址的解决方案。 但是, 公司内网主机一旦使用了私有地址,就无法实现访问公有网络。 所以, 我们需要在“公司边界设备”上,配置 NAT 技术。 NAT:network address translation 网络 地址 转换 ...
NAT
zhangzekai2000的博客
11-17 1352
NAT网络地址转换–将私网地址转换成公网地址 一、实验要求 二、NAT介绍 1、分类: 1)静态NAT(一对一:一个公网地址对应一个私网地址)此公网地址不能是接口IP地址 2)NAPT/PAT–网路地址端口转换/端口地址转换(一对多:一个公网地址对应多个私网地址) 去: 172.16.1.1:8000—>100.1.1.2:443 202.100.1.1—>100.1.1.2:44...
NAT技术
weixin_51883798的博客
03-23 220
NAT地址转换的基础原理_哔哩哔哩_bilibili家庭网的出口路由器上,企业园区,校园网等等园区网络,都会使用NAT技术。主要用于私网和公网之间进行转化。私网IP地址,可以重复使用。源IP:192.168.1.10目的IP:200.1.2.3家庭网出口路由器会判断,源IP来自一个私网,无法使用该IP进行互联网访问。这时候家庭网设备进行一次NAT地址转换,电信会分配给一个合法的公网IP,路由器会使用这个公网IP地址去寻找百度。此时,源IP变为122.1.2.1。服务器回复家庭网设备。路由器已经记录了哪个电脑
策略路由中traffic-policy
weixin_41003371的博客
03-23 7563
路由表中去往目的地址存在两条路的情况下,数据流量是负载的。 实验中:pc1 ping pc3时,流量往R1-R2-R4(回包也是) pc4 ping pc3时,流量走R1-R3-R4 pc5 ping pc3时,流量走R1-R2-R4 如果现在要求192.168.1.0/24只走R1-R2-R4,现在使用MQC来实现 使用策略路由MQC模块化QOS命令行 [R1-acl-basic-2000]rule permit source 192.16...
NAT网络地址转换
奋斗中的魔鬼筋肉人
08-19 253
NAT的三种实现方式 静态转换 将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换 将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。动态转换可以使用多个合法外部地址集 端口多路复用(PAT) 内部网络的所有主机均可共
HCLE网络安全13
qq_52661813的博客
12-28 179
NAT 在IP地址空间中,A,B,C三类单播地址中,各有一部分地址,他们被称为私有地址(或私网IP地址),其余的都称为公有地址(公网IP地址)。 A:10.0.0.0 - 10.255.255.255 --- 相当于一个A类的网段 B:172.16.0.0 - 172.31.255.255 --- 相当于16个B类的网段 C:192.168.0.0 - 192.168.255.255 --- 相当于256个C类的网段 私网IP地址具有 ---- 可复用性 ---- 不允许私网IP地址在互联网使用 我们习惯将
路由器的NAT配置
n_u_l_l_的博客
10-11 7098
因为公网ip的数量有限,要联网的计算机很多,所以要用nat技术进行地址转换。 一、拓扑结构 要在R0 上设置NAT。 二、端口设置 主机的IP、子网掩码、网关配置路由器端口配置。 三、NAT配置 R0 的配置 Router(config)#ip route 192.168.2.0 255.255.255.0 12.1.1.2 Router(config)#access-list 1 perm...
路由NAT配置
mm0323的博客
06-25 760
NAT(Network Address Translation,网络地址转换),NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。要求:1、 掌握静态NAT配置方法。2、 掌握动态NAT配置方法。3、 掌握端口映射的配置方法。
华为路由配置NAT
weixin_43055250的博客
11-04 3965
华为路由配置NAT
huawei路由NAT配置
风起
12-20 1977
这里写自定义目录标题配置静态路由动态NAT HCIA课堂笔记 NAT 配置静态路由 ip route-static 0.0.0.0 0.0.0.0 12.1.2.2 NAT映射: [ARl-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1 将122映射为192 看当前路由 [AR2]dis cur | in ip route 动态NAT 创建IP池: [AR1]nat address-group 1 122.1.2.
网络工程师培训 运维工程师培训 系统工程师技术培训 LNPU 11 静态路由配置 共49页.pptx
01-23
掌握高级应用(策略路由、BGP、VOIP) 掌握Sniffer的使用 掌握SNMP技术原理与实践 掌握负载均衡的技术原理 掌握WEB服务器的配置 掌握FTP服务器的配置 掌握邮件服务器的配置 掌握代理服务器的配置 掌握数据库服务器的...
计算机网络构建技术-网络构建
03-07
熟悉CISCO和锐捷全系列的交换机产品,掌握交换机的基本工作原理和端口配置、VLAN划分等内容,掌握路由器的基本工作原理和基本配置路由协议配置、广域网协议配置NAT和访问控制列表的配置。熟悉网络的基本构架,能...
网络工程师培训 运维工程师培训 系统工程师技术培训 LNPU 26 网络地址转换(NAT) 共43页.pptx
01-23
掌握高级应用(策略路由、BGP、VOIP) 掌握Sniffer的使用 掌握SNMP技术原理与实践 掌握负载均衡的技术原理 掌握WEB服务器的配置 掌握FTP服务器的配置 掌握邮件服务器的配置 掌握代理服务器的配置 掌握数据库服务器的...
网络工程师培训 运维工程师培训 系统工程师技术培训 LNPU 18 BGP路由协议 共64页.pptx
01-23
掌握高级应用(策略路由、BGP、VOIP) 掌握Sniffer的使用 掌握SNMP技术原理与实践 掌握负载均衡的技术原理 掌握WEB服务器的配置 掌握FTP服务器的配置 掌握邮件服务器的配置 掌握代理服务器的配置 掌握数据库服务器的...
SD-WAN怎样保障网络稳定
TIANGEKUAJING的博客
04-25 566
随着企业网络的日益复杂,如何确保线路的稳定性和高效性成为了网络管理的一大挑战。尤其是在线路出现故障、质量下降或拥塞时,如何快速响应并切换到最佳线路,就显得尤为重要。SD-WAN,作为一种新型的网络架构,为用户提供了灵活应对各种网络问题的能力。
FR-TSN4206获得“时间敏感网络产业链名录计划”测试认证证书,TSN交换机助力智能工业发展
最新发布
fiberroad的博客
04-30 223
TSN技术,即时间敏感网络技术,已成为智能工业、自动驾驶等领域的核心。它通过时钟同步、数据调度等功能,确保低延迟、高可靠性的数据传输。为推动TSN技术在我国的发展,工业互联网产业联盟联合多家单位启动了“时间敏感网络产业链名录计划”。光路科技的FR-TSN4206交换机成功通过该计划认证
java线上问题排查之磁盘和网络查看分析(二)
wayne_youlu的博客
04-30 177
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
锐捷NAT-PT配置
12-05
以下是锐捷设备进行NAT-PT配置的步骤: 1. 配置R1和R3的静态路由,将数据包发送到NAT-PT设备进行v6v4地址转换。 ``` [R1]ip route-static 2001:DB8:1:1::/64 10.1.1.2 [R3]ip route-static 10.1.1.0 255.255.255.0 2001:DB8:3:3::2 ``` 2. 配置R1和R3的NAT-PT地址映射。 ``` [R1]nat-pt mapping 10.1.1.2 2001:DB8:1:1::2 [R3]nat-pt mapping 2001:DB8:3:3::3 10.1.1.3 ``` 3. 配置R2的NAT-PT进行v4tov6和v6tov4的地址转换。 ``` [R2]nat-pt [R2-nat-pt]v4v6 mapping-scheme 1 [R2-nat-pt-v4v6-1]protocol tcp [R2-nat-pt-v4v6-1]inside-interface GigabitEthernet 0/0/1 [R2-nat-pt-v4v6-1]outside-interface GigabitEthernet 0/0/0 [R2-nat-pt-v4v6-1]address-group 1 [R2-nat-pt-v4v6-1]quit [R2-nat-pt]v6v4 mapping-scheme 1 [R2-nat-pt-v6v4-1]protocol tcp [R2-nat-pt-v6v4-1]inside-interface GigabitEthernet 0/0/0 [R2-nat-pt-v6v4-1]outside-interface GigabitEthernet 0/0/1 [R2-nat-pt-v6v4-1]address-group 1 [R2-nat-pt-v6v4-1]quit [R2-nat-pt]quit [R2]interface GigabitEthernet 0/0/0 [R2-GigabitEthernet0/0/0]nat-pt enable [R2-GigabitEthernet0/0/0]quit [R2]interface GigabitEthernet 0/0/1 [R2-GigabitEthernet0/0/1]nat-pt enable [R2-GigabitEthernet0/0/1]quit ``` 4. 验证NAT-PT配置是否成功。 ``` [R2]display nat-pt statistics ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

579YOU

对您有用的话给个鼓励吧!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值