华为路由器 动态NAT地址转换配置

admin

一、组网需求：
某公司平台和办公网的私网用户和互联网相连，路由器上接口GigabitEthernet0/0/0的公网地址为202.169.10.1/24，对端运营商侧地址为202.169.10.2/24。
允许使用公网IP地址比较少（222.249.230.1），所以使用no-pat转换方式（只转换数据包的IP地址，并不使用端口号）平台的NAT方式替换A部门内部的主机地址{网段为192.168.(100-110).0/24}，访问因特网。
- o: X4 q* L5 K7 j8 r' d允许使用公网IP地址比较少（222.249.230.1），所以使用pat转换方式（同时转换数据包中的IP地址和端口号）办公网的NAT替换内部的主机地址（网段为192.168.0.0/22），访问因特网。
1、网络拓扑
略
2 L4 h1 k5 |6 k$ c- S
2、配置思路
配置接口IP地址、缺省路由和在WAN侧接口下配置NAT Outbound，实现内部主机访问外网服务功能。
二、操作步骤
1、配置云平台、办公网主机IP地址，网关分别是192.168.(100-110).254、192.168.0.1
4 H* p# y: q' r! ?0 j2、在SWA上配置vlan
<Huawei>system-view
5 X3 A# I& Q( v3 m[Huawei]sysname SW
[SW]vlan （100-110）
[SW-vlan（100-110）]q
[SW]interface  Ethernet0/0/1
; M9 @) N2 o* r& L1 H7 c* j2 d7 i[SW-Ethernet0/0/1]port link-type access
[SW-Ethernet0/0/1]port default vlan 100
9 m# v: `+ J+ C1 h4 H9 A[SW-Ethernet0/0/1]q
[SW]interface  Ethernet 0/0/2
[SW-Ethernet0/0/2]port link-type trunk
[SW-Ethernet0/0/2]port trunk allow-pass vlan all
[SW-Ethernet0/0/2]q
6 B" u1 B+ ~/ t. a# T3、在SWB上配置vlan
[Huawei]sysname SW1
[SW1]vlan 200
) n; `# S9 C+ [! t8 O/ p- @[SW1-vlan200]q
[SW1]interface Ethernet0/0/1
[SW1-Ethernet0/0/1]port link-type access
- u( H* s3 ^2 Z% i9 F( g& Y[SW1-Ethernet0/0/1]port default vlan 200
[SW1-Ethernet0/0/1]q
5 L! w6 h5 n" d& Z) I  Q; u" A[SW1]interface Ethernet 0/0/2
% h* z% G/ x. i! \1 f# a[SW1-Ethernet0/0/2]port link-type trunk
4 Z, y1 a( V! n2 S3 G[SW1-Ethernet0/0/2]port trunk allow-pass vlan all
7 e4 D3 k6 e$ m) r. T: U" V- C* y[SW1-Ethernet0/0/2]q
; s2 G/ o  Z$ F% _+ V8 [% E4、在Router上配置接口IP地址
3 {6 l- ?1 a& ^! Z  h5 Z<Huawei>system-view
1 k+ m* H- ~- z3 k8 U[Huawei]sysname Router
4 W! D9 S1 U% r/ M+ M2 K6 e8 h[Router]vlan batch 100 200
[Router]interface Vlanif 100
[Router-Vlanif100]ip address 192.168.20.1 24
9 C$ z) M0 `& e1 u4 r. ~6 o1 z[Router-Vlanif100]q
[Router]interface Vlanif 200
2 }3 U( V$ N! u$ c$ _[Router-Vlanif200]ip address  10.0.0.1 24
[Router-Vlanif200]q
' l" {0 Z3 k. l: r$ j7 g! u' ?' V[Router]interface Ethernet 0/0/0
[Router-Ethernet0/0/0]port link-type trunk
  I7 k0 m1 t. r6 U$ H[Router-Ethernet0/0/0]port trunk  allow-pass vlan all
" _7 i1 u, }7 n: Q) v5 T) O* v7 W, B+ B8 p[Router-Ethernet0/0/0]q
. _. G: ]1 Q: w7 c' u[Router]interface Ethernet 0/0/1
[Router-Ethernet0/0/1]port link-type trunk
9 ~$ T- J, z  \" _5 k! Q) s[Router-Ethernet0/0/1]port trunk allow-pass  vlan all
[Router-Ethernet0/0/1]q
[Router]interface  GigabitEthernet  0/0/0
[Router-GigabitEthernet0/0/0]ip address  202.169.10.1 24
0 f+ X4 M+ z1 d5 }- V# m6 D; ][Router-GigabitEthernet0/0/0]q
这时候主机就可以ping通网关了
5、在Router上配置缺省路由，指定下一跳为202.169.10.2
[Router]ip route-static 0.0.0.0 0.0.0.0 202.169.10.2
6、在Router上配置NAT Outbound（记住在出接口上应用）
' j- w; d' Z& f' S2 n+ F) ^- F[Router]nat address-group 1 202.169.10.100 202.169.10.200
[Router]nat address-group 2 202.169.10.201 202.169.10.202
[Router]acl number 3001
6 T) Z9 {3 f1 H( `[Router-acl-adv-3001]rule 5 permit  ip source  192.168.20.0 0.0.0.255
[Router-acl-adv-3001]q
[Router]acl number 3002
: V/ I; u: ~; e- x$ M) J% X5 U[Router-acl-adv-3002]rule  5 permit  ip source  10.0.0.0 0.0.0.255
[Router-acl-adv-3002]q
" N; Q2 ]- x1 X0 g[Router]interface  GigabitEthernet 0/0/0
$ N! b: {$ t* q% N, J[Router-GigabitEthernet0/0/0]nat outbound 3001 address-group 1 no-pat
[Router-GigabitEthernet0/0/0]nat outbound 3002 address-group 2
( ?9 M* n2 D9 ?( E5 e[Router-GigabitEthernet0/0/0]q
[Router]ip soft-forward enhance enable
如果需要在Router上执行ping -a source-ip-address命令通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网，需要配置命令ip soft-forward enhance enable使能设备产生的控制报文的增强转发功能，这样，私网的源地址才能通过NAT转换为公网地址。
7、查看结果
[Router]display  nat outbound
# a- t+ M8 a) l8 p8 |- y+ R NAT Outbound Information:
--------------------------------------------------------------------------
Interface                     Acl     Address-group/IP/Interface      Type
--------------------------------------------------------------------------
GigabitEthernet0/0/0         3001                              1    no-pat
' d! d1 ^* J, f! K* `8 M- M GigabitEthernet0/0/0         3002                              2       pat
* r6 I' B! o/ d1 P# P/ S: e/ g. m --------------------------------------------------------------------------
* `; [' A# f4 X" x& V! T  Total : 2
[Router]ping -a 192.168.20.1 202.169.10.2
  PING 202.169.10.2: 56  data bytes, press CTRL_C to break
- @0 k1 B5 B: N8 g% E9 p    Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms
8 ?# |' I% j/ S0 [: p
+ t, _! V0 i; k& X' Y3 b  --- 202.169.10.2 ping statistics ---
    5 packet(s) transmitted
0 z, g5 k3 r" A! V4 E    5 packet(s) received
4 ?/ T- s+ l2 m" z$ N    0.00% packet loss
    round-trip min/avg/max = 10/10/10 ms

[Router]ping -a 10.0.0.1 202.169.10.2
  PING 202.169.10.2: 56  data bytes, press CTRL_C to break
    Reply from 202.169.10.2: bytes=56 Sequence=1 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=2 ttl=255 time=10 ms
+ }) R/ z. c# l% K9 l2 C$ ]    Reply from 202.169.10.2: bytes=56 Sequence=3 ttl=255 time=10 ms
    Reply from 202.169.10.2: bytes=56 Sequence=4 ttl=255 time=10 ms
! F+ x$ {$ D- c    Reply from 202.169.10.2: bytes=56 Sequence=5 ttl=255 time=10 ms

  --- 202.169.10.2 ping statistics ---
    5 packet(s) transmitted
2 @" s$ j+ }) H7 Z' s  n    5 packet(s) received
$ }# y' m; f8 n, g/ y    0.00% packet loss
    round-trip min/avg/max = 10/10/10 ms
2 l6 I. F9 ?5 A5 B& l% R  w9 A8 Y- f8、查看NAT映射表项
[Router]display nat session all verbose
0 V, K8 `" g1 q' c————————————————
4 K$ l; E8 O, ]- ?& p! O8 |! y4 M版权声明：本文为CSDN博主「友人a笔记」的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。
原文链接：https://blog.csdn.net/tladagio/article/details/80725043