H3C防火墙地址转换大全

一、 NAT（网络地址转换）

1、 作用：通过将内部网络的私有IP地址翻译成全球唯一的公网IP地址，使内部网络可以连接到互联网等外部网络上。

2、 优点：

节省公有合法IP地址

处理地址重叠

增强灵活性

安全性

3、NAT的缺点

延迟增大

配置和维护的复杂性

不支持某些应用，可以通过静态NAT映射来避免

4、NAT实现方式

1） 静态转换

IP地址的对应关系是一对一，而且是不变的，借助静态转换，能实现外部网络对内部网络中某些特设定服务器的访问。

静态NAT配置：

配置接口IP及路由

全局：

Ip nat inside source static 192.168.1.1 61.159.62.131

在内外接口上启用NAT：

进入出口配置：ip nat outside

进入入口配置：ip nat inside 

端口映射：

ip nat inside source static tcp 192.168.1.6 80 61.159.62.133 80 

2） 动态转换

IP地址的对应关系是不确定的，而是随机的，所有被授权访问互联网的私有地址可随机转换为任何指定的合法的外部IP地址。（内部网络同时访问Internet的主机数少于配置的合法地址中的IP个数时适用）

动态NAT的配置：

全局：access-list 1 permit 192.168.1.0 0.0.0.255

全局：ip nat pool nsd 61.159.62.131 61.159.62.132 netmask 255.255.255.248（定义地址池名称为nsd,地址池IP范围61.159.62.131 到61.159.62.132）

全局：ip nat inside source list 1 pool nsd

3） 端口多路复用（PAT）

通过改变外出数据包的源IP地址和源端口并进行端口转换，内部网络的所有主机均可共享一个合法IP地址实现互联网的访问，节约IP。

PAT的配置：

全局：ip nat inside source list 1 interface f0/1 overload

 

动态转换NAT配置步骤：

1.配置ACL，用于限定可以做地址转换的内网范围

2.配置合法地址池

3.设置ACL和地址池的映射关系

4.指定内外部接口

5、NAT三种实现方式的区别：

静态转换的对应关系一对一且不变，并且没有节约公用IP，只隐藏了主机的真实地址。

动态转换虽然在一定情况下节约了公用IP，但当内部网络同时访问Internet的主机数大于合法地址池中的IP数量时就不适用了。

端口多路复用可以使所有内部网络主机共享一个合法的外部IP地址，从而最大限度地节约IP地址资源。

二、 查看NAT转换条目

特权：show  ip  nat  translations显示当前存在的转换

三、 清除NAT转换条目

1、特权： clear ip nat translation * 清除NAT转换条目中的所有所条目

注：静态NAT条目不会被清除

四、 NAT常见问题

ACL阻止转换后的流量

进行地址转换的ACL不全

overload参数漏配

不对称路由问题

动态地址池IP地址范围配置错误

动态地址池与静态转换地址重叠

Inside和outside接口配置错误

五、 显示每个转换的数据包

特权：debug  ip  nat 

Undebug all

S表示源地址

D表示目的地址

192.168.1.2->61.159.62.130表示将192.168.1.2转换为61.159.62.130

Nslookup www.tedu.com

Clear ip nat translation *

动态NAT配置步骤

1、配置ACL，用于限定可以做地址转换的内网范围

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

2、配置合法地址池

R1(config)#ip nat pool mylan 201.1.1.2 201.1.1.8 netmask 255.255.255.0

3、设置ACL和地址池的映射关系

R1(config)#ip nat inside source list 1 pool mylan

4、指定内部接口和外部接口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#int f0/1

R1(config-if)#ip nat outside

R1#sho ip nat translations    查看NAT转换表

R1#clear ip nat translation * 清除动态转换的NAT表

将内网服务器发布到互联网，可以采用静态NAT

1、配置将哪个内网IP映射为哪个合法地址

R1(config)#ip nat inside source static 192.168.1.100 201.1.1.9

2、指定内部接口和外部接口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#int f0/1

R1(config-if)#ip nat outside

R1#sho ip nat translations

NAT：将一个网络的地址转换成另一个网络地址

端口映射

当互联网用户访问发布的IP地址+端口号，才能找到相应的内网服务器

1、清除上一步的静态映射

R1(config)#no ip nat inside source static 192.168.1.100 201.1.1.9

2、映射192.168.1.100的80端口到201.1.1.9的80端口

R1(config)#ip nat inside source static tcp 192.168.1.100 80 201.1.1.9 80 

3、将192.168.1.101的DNS服务发布到互联网

R1(config)#ip nat inside source static udp 192.168.1.101 53 201.1.1.9 53 

4、指定内部接口和外部接口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#int f0/1

R1(config-if)#ip nat outside

R1#sho ip nat translations

5、内网增加一台server3，ip地址是192.168.1.101，网关指向192.168.1.1。在services选项卡中选择左侧的DNS，右侧name填www.tedu.cn，Address填201.1.1.1，点击add，设置DNS Service为On的状态

6、在互联网服务器上添加它使用的DNS服务器是201.1.1.9，然后运行命令行工具，输入nslookup www.tedu.cn

PAT：如果外网地址只有一个，配置在路由器的外端口上了，那么可以让内网所有的地址都转换成外网端口的地址，进行互联网访问

1、清除前面所做的动态转换

R1#clear ip nat translation *

R1(config)#no ip nat inside source list 1 

R1(config)#no ip nat pool mylan

2、定义ACL，限制可以进行PAT转换的内网地址

R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

3、配置ACL和路由器外端口的映射

R1(config)#ip nat inside source list 1 interface fastEthernet 0/1 overload 

4、指定内部接口和外部接口

R1(config)#int f0/0

R1(config-if)#ip nat inside

R1(config-if)#int f0/1

R1(config-if)#ip nat outside

R1#sho ip nat translations

调试（相当于是在路由器上进行抓包）

R1#debug ip na