华为路由器 动态NAT地址转换配置

admin

一、组网需求：
" l5 I9 H+ q( m$ a某公司平台和办公网的私网用户和互联网相连，路由器上接口GigabitEthernet0/0/0的公网地址为202.169.10.1/24，对端运营商侧地址为202.169.10.2/24。
允许使用公网IP地址比较少（222.249.230.1），所以使用no-pat转换方式（只转换数据包的IP地址，并不使用端口号）平台的NAT方式替换A部门内部的主机地址{网段为192.168.(100-110).0/24}，访问因特网。
允许使用公网IP地址比较少（222.249.230.1），所以使用pat转换方式（同时转换数据包中的IP地址和端口号）办公网的NAT替换内部的主机地址（网段为192.168.0.0/22），访问因特网。
1、网络拓扑
/ [/ b3 Q, K* y. p' N. A/ b略
+ S. f8 {" [% I& B4 v+ l+ ^$ z+ E3 }- X
" |  M) g$ |! ], d% w" S1 Q2、配置思路
7 ?7 k  I2 D3 r5 E, U配置接口IP地址、缺省路由和在WAN侧接口下配置NAT Outbound，实现内部主机访问外网服务功能。
% a5 x3 |- }3 ?+ r( r4 q$ _二、操作步骤
1、配置云平台、办公网主机IP地址，网关分别是192.168.(100-110).254、192.168.0.1
3 u0 d3 w+ {; \* j2、在SWA上配置vlan
3 a$ H- t% W- [! i1 i  T& y2 @<Huawei>system-view
[Huawei]sysname SW
1 D. y) ?0 i4 @; t- P6 F[SW]vlan （100-110）
5 q1 J6 z+ t) F4 y* u8 Y. G; q[SW-vlan（100-110）]q
[SW]interface  Ethernet0/0/1
0 [% q  ~9 b" p' k  ^[SW-Ethernet0/0/1]port link-type access
5 y3 q8 q2 z: }. Q* o2 {" f[SW-Ethernet0/0/1]port default vlan 100
[SW-Ethernet0/0/1]q
[SW]interface  Ethernet 0/0/2
3 o, s* p# x$ j7 b[SW-Ethernet0/0/2]port link-type trunk
[SW-Ethernet0/0/2]port trunk allow-pass vlan all
$ K* |3 {' B, b2 ]3 @% l$ q! I3 ^[SW-Ethernet0/0/2]q
3、在SWB上配置vlan
- N4 j9 J3 K" r9 O[Huawei]sysname SW1
& o" ^& I7 W0 F, o5 r$ c" m" l[SW1]vlan 200
[SW1-vlan200]q
[SW1]interface Ethernet0/0/1
$ ^  X1 G. x3 P, o[SW1-Ethernet0/0/1]port link-type access
[SW1-Ethernet0/0/1]port default vlan 200
[SW1-Ethernet0/0/1]q
. A$ \; X: u7 L0 J' I[SW1]interface Ethernet 0/0/2
[SW1-Ethernet0/0/2]port link-type trunk
  ~2 B. E4 A9 W" Y5 T+ j6 D& S[SW1-Ethernet0/0/2]port trunk allow-pass vlan all
[SW1-Ethernet0/0/2]q
" p( k9 n0 Y5 V  \* m4、在Router上配置接口IP地址
' Y* ]* L; G+ g0 [% Q<Huawei>system-view
[Huawei]sysname Router
; H( o. O! J8 S# ][Router]vlan batch 100 200
[Router]interface Vlanif 100
[Router-Vlanif100]ip address 192.168.20.1 24
[Router-Vlanif100]q
, W8 j2 x. M; t9 J& U3 T[Router]interface Vlanif 200
[Router-Vlanif200]ip address  10.0.0.1 24
[Router-Vlanif200]q
! z+ J. T& m: F) o[Router]interface Ethernet 0/0/0
# K9 u. @/ O9 m/ D, E$ T/ X4 g4 `[Router-Ethernet0/0/0]port link-type trunk
[Router-Ethernet0/0/0]port trunk  allow-pass vlan all
) N  {/ n; U; _! p[Router-Ethernet0/0/0]q
[Router]interface Ethernet 0/0/1
  {8 f9 J2 @7 I+ T4 [" `8 b5 [[Router-Ethernet0/0/1]port link-type trunk
5 h$ B. y; H- s1 M- B. @8 G" O[Router-Ethernet0/0/1]port trunk allow-pass  vlan all
[Router-Ethernet0/0/1]q
[Router]interface  GigabitEthernet  0/0/0
  H- N6 o+ _( p) _7 \  T0 e[Router-GigabitEthernet0/0/0]ip address  202.169.10.1 24
6 W* j  B" E0 z; F. Q, v  Y: p! f[Router-GigabitEthernet0/0/0]q
+ Q) h3 A6 h# k# y这时候主机就可以ping通网关了
5、在Router上配置缺省路由，指定下一跳为202.169.10.2
  X9 ], y- N" s- U3 p[Router]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2
6、在Router上配置NAT Outbound（记住在出接口上应用）
" `: \  o$ Z5 O8 g, B- o- n9 ~[Router]nat address-group 1 202.169.10.100 202.169.10.200
[Router]nat address-group 2 202.169.10.201 202.169.10.202
( y2 R5 U) X/ X* H, L! x! ][Router]acl number 3001
" P8 w/ ^/ M' d. ]! }' A+ P, X0 z0 `[Router-acl-adv-3001]rule 5 permit  ip source  192.168.20.0 0.0.0.255
[Router-acl-adv-3001]q
[Router]acl number 3002
8 ?% ^* g: p0 ]9 e7 Q0 Y8 c: G: m+ E[Router-acl-adv-3002]rule  5 permit  ip source  10.0.0.0 0.0.0.255
; `* r2 \7 w# g" ~* S[Router-acl-adv-3002]q
[Router]interface  GigabitEthernet 0/0/0
7 A, d1 C3 ^$ ~2 f: |- _[Router-GigabitEthernet0/0/0]nat outbound 3001 address-group 1 no-pat
[Router-GigabitEthernet0/0/0]nat outbound 3002 address-group 2
[Router-GigabitEthernet0/0/0]q
, g# Q* h% u6 W+ U" L6 h+ J/ C" Z[Router]ip soft-forward enhance enable
如果需要在Router上执行ping -a source-ip-address命令通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网，需要配置命令ip soft-forward enhance enable使能设备产生的控制报文的增强转发功能，这样，私网的源地址才能通过NAT转换为公网地址。
7、查看结果
/ h4 G* A6 h6 c% [* Y9 Y2 q[Router]display  nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
) O4 o6 M: g# U8 a Interface                     Acl     Address-group/IP/Interface      Type
8 z! O% `+ T. q7 y- x --------------------------------------------------------------------------
GigabitEthernet0/0/0         3001                              1    no-pat
2 s8 x$ g  r1 i% ~) W GigabitEthernet0/0/0         3002                              2       pat
--------------------------------------------------------------------------
* u! E- t/ T: C8 J0 n  Total : 2
[Router]ping -a 192.168.20.1 202.169.10.2
  PING 202.169.10.2: 56  data bytes, press CTRL_C to break
7 j% A8 u: u8 ^- M  d5 E! B1 M& ^    Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms
/ i' P4 N0 _+ o7 E; w    Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms

5 z  V7 b7 p0 R  --- 202.169.10.2 ping statistics ---
2 `# ?, K$ z' Z1 `    5 packet(s) transmitted
    5 packet(s) received
' q' L5 E8 x: ~2 o+ z1 E" \& L    0.00% packet loss
) B2 E  o. ]% }0 y0 q    round-trip min/avg/max = 10/10/10 ms

% l+ r+ |! X: H: `$ t+ e: y1 W[Router]ping -a 10.0.0.1 202.169.10.2
  PING 202.169.10.2: 56  data bytes, press CTRL_C to break
    Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms
4 _$ ~/ {& w& u+ d9 I2 ?+ `/ d9 u    Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms
3 T! W& c' T7 j; b5 }5 T    Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms

  --- 202.169.10.2 ping statistics ---
    5 packet(s) transmitted
( x1 j, f9 d% P    5 packet(s) received
    0.00% packet loss
    round-trip min/avg/max = 10/10/10 ms
8、查看NAT映射表项
[Router]display nat session all verbose
————————————————
' `7 C- V6 T- B版权声明：本文为CSDN博主「友人a笔记」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/tladagio/article/details/80725043
! m! T: ^; p* S  f2 C