【基礎】華爲設備NAT功能配置實戰全集

實驗拓撲：

使用ENSP模擬器（版本V100R002C00 1.2.00.350）

 

實驗要求：

1.在華爲設備上部署靜態NAT技術實現公司員工（私網）訪問Intetnet(公網)

2. 在華爲設備上部署動態NAT技術實現公司員工（私網）訪問Intetnet(公網)

3. 在華爲設備上部署PAT技術實現公司員工（私網）訪問Intetnet(公網)

4. 在華爲設備上部署靜態端口映射技術實現公網用戶訪問私網的服務器（R3）。

實驗步驟及驗證：

1.ip地址規劃：

Client1:192.168.1.2(模擬公司員工PC1)

Client2:192.168.1.3(模擬公司員工PC2)

R3：192.168.1.4(模擬公司私網服務器)

R1 g0/0/0接口：192.168.1.1.（公司私網網關）

R1 g0/0/1接口：202.106.1.2（公司出口設備外網口）

R2 g0/0/0接口：202.106.1.1（模擬ISP設備）

2.靜態NAT

配置命令：

R1

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ipadd 192.168.1.1 24

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30

[R1-GigabitEthernet0/0/1]natstatic global 202.1.1.1 inside 192.168.1.2(在出口處做一條靜態NAT使內部地址192.168.1.2轉換爲202.1.1.1)

R2

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ipadd 202.106.1.1 30

[R2]ip route-static202.1.1.1 255.255.255.255 202.106.1.2

(在公網設備上指一條到達NAT轉換後的內部全局地址202.1.1.1的路由)

結果驗證：

在PC1上可以訪問公網

在沒有做靜態NAT條目的PC2上不能訪問公網，可以得出結論：靜態NAT是靜態一對一的映射關係。

3.動態NAT

配置命令：

R1

[R1]nataddress-group 1 202.1.1.1 202.1.1.1 (定義一個地址池1存放了一個可用公網地址202.1.1.1)

[R1]acl2000

[R1-acl-basic-2000]rule5 per source 192.168.1.0 0.0.0.255（定義ACL允許進行NAT轉換的源ip）

[R1]intg0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30[R1-GigabitEthernet0/0/1]natoutbound 2000 address-group 1（在出口下將ACL和地址池關聯起來，需要注意華爲設備上如果地址池中有不止一個ip地址，後面需加no-pat，本例中因只有一個地址可以不加）

結果驗證：

在PC1和PC2上都可以訪問公網

4.PAT 

配置命令：

R1

[R1]acl 2000

[R1-acl-basic-2000]rule5 per source 192.168.1.0 0.0.0.255（定義ACL允許進行NAT轉換的源ip）

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30 

[R1-GigabitEthernet0/0/1]natoutbound 2000（定義複用接口g0/0/1用於PAT轉換）

結果驗證：

在PC1和PC2上都可以訪問公網

5.靜態端口映射

配置命令：

R1

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30 

[R1-GigabitEthernet0/0/1]natstatic protocol tcp global 202.1.1.1 23 inside 192.168.1.4 23（將202.1.1.1的TCP 23端口靜態映射到192.168.1.4的23端口）

[R1-GigabitEthernet0/0/1]natoutbound 2000

R3

[R3]int g0/0/0

[R3-GigabitEthernet0/0/0]ipadd 192.168.1.4 24

[R3]ip route-static0.0.0.0 0.0.0.0 192.168.1.1

[R3]user-interface vty 04

[R3-ui-vty0-4]authentication-modepassword

Please configure thelogin password (maximum length 16):abc（在R3上開啓遠程登錄，使用密碼驗證並配置遠程登錄密碼）

結果驗證：

在R2上telnet202.1.1.1可以映射到R3，靜態端口映射實驗完成。

實驗總結：

NAT技術主要目的：

1.節省IPV4公網地址（使用PAT）

2.通過地址轉換使得私網的地址對於公網來說是不可知的，保護了私網的安全

NAT技術是目前線網中應用廣泛的一項技術，在華爲設備上部署NAT和在思科設備上部署NAT，協議原理相同，主要就是配置命令的不同。

歡迎加入我們的運營商網絡技術交流Q羣：80268245 和全國的一線工程師交流技術。