文章目录
- 华为eNSP配置专题-NAT的配置
-
- 0、参考文档
- 1、前置环境
- 2、基本环境搭建
- 3、配置静态NAT
- 4、配置动态NAT(no-pat模式)
- 5、配置动态NAT(端口模式)
- 6、查看NAT会话情况
- 7、配置动态NAT(easyIP模式)
- [8、配置NAT Server](#8、配置NAT Server)
-
- [8.1、NAT Server概述](#8.1、NAT Server概述)
- [8.2、NAT Server配置](#8.2、NAT Server配置)
华为eNSP配置专题-NAT的配置
0、参考文档
华为-静态NAT:提供了如何取消已有NAT配置的方法。
1、前置环境
1.1、宿主机
笔记本电脑,配置如下:Windows10企业版,32GB内存
1.2、eNSP模拟器
eNSP1.3.00
2、基本环境搭建
2.1、基本终端构成和连接
0、总体拓扑如下:
1、2台PC。
2、1台交换机,型号为S5700
3、2台路由器,型号为AR2220。其中一台为作为各网段的默认网关,另外一台路由器模拟互联网
4、开启设备。
2.2、各终端基本配置
2.2.1、PC1和PC2的配置
1、PC1配置静态IP和网关如下:
IP:192.168.1.1
掩码:255.255.255.0
网关:192.168.1.254
2、PC2配置静态IP和网关如下:
IP:192.168.1.2
掩码:255.255.255.0
网关:192.168.1.254
2.2.2、交换机不做任何配置
交换机不用做任何配置,因为默认有一个VLAN1。
2.2.3、网关路由器的配置
1、右击网关路由器-》点击"CLI",进入系统模式,改名为AR1。
system-view
sysname AR12、为g0/0/0配置内网IP地址,即网关地址:
int g0/0/0
ip add 192.168.1.254 243、为g0/0/1配置公网地址:
int g0/0/1
ip add 12.1.1.1 242.2.4、模拟互联网的路由器的配置
1、右击模拟互联网的路由器-》点击"CLI",进入系统模式,改名为AR1。
system-view
sysname AR22、为g0/0/0配置公网IP地址,模拟互联网:
int g0/0/0
ip add 12.1.1.254 243、配置静态NAT
3.1、配置前测试
1、打开模拟互联网的路由器的数据抓包。
2、在PC1的命令行ping 12.1.1.254,会发现ping不通,但是路由器AR2上已经接收到了ping的数据。
3、这个问题的原因在于,PC1去ping 12.1.1.254时,会把包转发给网关,即192.168.1.254。网关是有到10.1.1.0/24的直连路由的,因此可以把包转给12.1.1.254。所以模拟互联网的路由器12.1.1.254可以收到192.168.1.1的ICMP包。但是当需要返回包时,AR2会找是否有192.168.1.1的路由,显然找不到,所以没法返回。所以这也造成了能在AR2上看到PC1的ping的包,但PC1却ping不通AR2。
3.2、在接口外配置静态NAT
3.2.1、在接口外配置静态NAT
1、右击模拟互联网的路由器AR1-》点击"CLI",进入系统视图。
system-view2、配置静态NAT
nat static global 12.1.1.2 inside 192.168.1.13、由于这是在接口外配置的,所以要到接口内部再使能NAT:
int g0/0/1
nat static enable4、这时再从PC1去ping AR2,发觉可以ping通了,并且IP地址为10.1.1.2。
3.2.2、取消接口外配置静态NAT的方法
int g/0/0/1
undo nat static enable
quit
undo nat static global 12.1.1.2 inside 192.168.1.13.3、在接口内配置静态NAT
3.3.1、在接口内配置静态NAT
1、在AR1上做如下配置即可,以下配置都是立即生效:
<AR1>system-view
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside
192.168.1.13.3.2、取消接口内配置静态NAT的方法
1、在AR1上做如下配置即可,以下配置都是立即生效:
int g/0/0/1
undo nat static global 12.1.1.3 inside 192.168.1.14、配置动态NAT(no-pat模式)
所谓no-pat模式,就是只做IP映射,不做端口映射。
4.1、配置动态NAT(no-pat模式)
1、右击模拟互联网的路由器AR1-》点击"CLI",进入系统视图。
system-view2、配置地址池,可用的转换地址为12.1.1.3到12.1.1.10这8个地址。
[AR1]nat address-group 1 12.1.1.3 12.1.1.103、配置ACL匹配规则
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]quit4、为端口g0/0/1配置动态NAT,以下语句以为匹配ACL2000的地址,为他们配置编号为1的NAT地址池,采用非端口映射方式。
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat5、配置完成会立即生效。但因为eNSP的bug,每过一段时间会出问题,这不是NAT的问题,而是模拟器的Bug。
4.2、取消已配置的动态NAT(no-pat模式)
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
undo nat address-group 1 5、配置动态NAT(端口模式)
5.1、配置动态NAT(端口模式)
1、右击模拟互联网的路由器AR1-》点击"CLI",进入系统视图。
system-view2、配置地址池,这里只需要配置一个地址,因为使用了端口映射。注意把首尾IP配置成相同的一个,就达到了配置一个地址的目的。
[AR1]nat address-group 1 12.1.1.11 12.1.1.113、为端口g0/0/1配置动态NAT,与上面唯一的区别就是不带no-pat选项。配置立刻会生效,PC1就能ping通AR2(即代表互联网)了。
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 5.2、取消已配置的动态NAT(端口模式)
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1
[AR1-GigabitEthernet0/0/1]quit
[AR1]undo nat address-group 16、查看NAT会话情况
1、右击模拟互联网的路由器AR1-》点击"CLI",进入系统视图。
system-view2、输入如下命令,查看当前NAT会话
[AR1]display nat session all
7、配置动态NAT(easyIP模式)
easyIP模式就是不必配置专门的IP地址,直接使用网关本身的外网IP地址+端口映射。
7.1、配置动态NAT(easyIP模式)
1、右击模拟互联网的路由器AR1-》点击"CLI",进入系统视图。
system-view2、为端口g0/0/1配置动态NAT,与上面唯一的区别就是不带address-group选项了,直接使用网关本身的IP地址。配置会立即生效。
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 7.2、取消已配置的动态NAT(easyIP模式)
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 8、配置NAT Server
8.1、NAT Server概述
NAT Server实质就是反向代理,用一个外网地址为一个内网地址做代理,这样外网的其他机器就可以用外网地址访问这台内网的服务器了。
8.2、NAT Server配置
1、右击模拟互联网的路由器AR1-》点击"CLI",进入系统视图。
system-view2、为端口g0/0/1配置NAT Server,将12.1.1.2的80端口映射刀片192.168.1.2的端口上。
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.2 80 inside 192.168.1.2 80