【实验】华为NAT配置实例

实验拓扑

PC1属于VLAN10，PC2属于VLAN20

PC1 IP：192.168.10.254/24

R1 G0/0/0 IP：12.0.0.1/24

PC2 IP：192.168.20.254/24

R2 G0/0/0 IP: 12.0.0.2/24

SW1 VLAN1 IP：192.168.1.10/24

SW2 VLAN1 IP：192.168.1.20/24o , . K D - W

实验内容

R1模拟内网出口路由，R2模拟D } 7 o 7 X $运营商设备

1、在R1上做静态NAT使内网成员可以访问外网

2、在R1上做动态NAT使内网成员可以访问外网

3、在R1上做PAT使内网成员可以访问外网

4、在R1上做静态端口Z y i n B C 5映射，使R2可以对SW1和SW2进行远程管理

1、静态NAT配置

现有2个公网地址

202.106.1.1/32

202.106.1.2/32

静态NAT为一对一并不能节省IP地址% A W

R1静态NAT配置：

<R1>system-view

[R1]inta 0 Z d g0/0/0

[R1-GigabitEtha p R B 0 h T !ernet0/0/0]nat static global 202% O % ! h f G.106.1.1 inside 192.168.10.254 //将3 H ) 4 - !这个公网地址映射到内部IP为：192.168.10.254的主机也就是C1

[R1-GigabitEthernet0/0/0]nat static global 202.106c 2 W 6 6 Q t &.1.2 ins~ A P k 0ide 192.168.20.254 //同上映射到C2

R2配置回c L e g程路由：

[R2]i@ . Ap route-. . h nstatic 202.106.1.1 32 12.0.0.F w V $ e P G1

[R2]ip route-static 202.106.1.2 32 12.0.0.1

现在应该C1与C2都可以与外网通信了

在R2上抓包验证看源地址是否是202.106.1.1和202.106.1) B 1 Z ( 9 l ! =.2

2、动态NAT

现有以下公网地址202.106.1.0/j ( W * 9 P 3 @ #24

动态NAT是在出口6 - , & ! G路由器上做了一个地址池，内网PC访问外网时会从地址池内获取一个公网IP。

R1动态NAT配置：

[R1]nT p g h 6 T L 2at address-group 1 202.106.1.1 202.106.1.L E {254 //创建一个NAT| J $ Q c地址 ~ x ^ E a池

[R1]acl 2000 //定义一个访问控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1-acl-basic-2000]quit

[3 S { j NR1]interfa^ 4 2 = U % a j hce g0/0/0

[R1-GigabitQ D 1 A u oEthernet0/0/0]nat outbound 2000 aH [ z y A Z @ 7ddress-group 1 no-pat //将ACL与地址池关联，no-pat表示不可反复使用

R2配置回程路由:

[R2]n r ] 3ip route-static 202.5 # v r V X106.1.0 24 12.j X A r Y L 90.0.1

抓@ L t & ; N c / C包测试

会J 8 7 U发现这里模拟器是t z 0 J有bug的，ping命令发送5个包，这里每个包m ^ s | a 4 1 都获取了一个地址

3、PAT配置

现有一个公网地址202.106.1.1/32

PAT是将一个公网地址反复使用，所有主机都通% ] , e ( Q y x过它来上网

Rr S M | k w C X1 PAT配置：

[R1]nat address-group 1 202.106.1.1 202.106.1.1 //创建一个地址池

[R1]acl 2000 //定义一个访问控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[R1-acl-. B o 6 ;basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1-GigabitEtA ] w O ,hernet0/0/0]nat outbound 2000 address-group 1 //将ACL与地址池关联

R2上回程路由：

[R2]ip route-static 202.106.1.1 32 12.0.0.1

抓包测试

现在一个公网IP都没有只有一个外网口G0/0/0I] / W - = D { @P：12.0.0.1

[R1]acl 2000 //定义一个访问控制列表

[R1-acl-basic-2000]rule permit source 192.168.10.0 0.0.0.255

[R1-acl-basic-2000]rule permiW H f 5t source 192.168.20.0 0.0.0.255

[R1]interface g0/0/0

[R1-GigabitEthernet0/0/0]ip address 12.0.0.1 24

[R1-GigabitEthernet0/0/0]nat outbound 2000 //反复使N . 2 . k用当前~ O I @ C 5接口地址

抓包验证

4、静态端口映射e S A h - _ {

在PAT的基础上输1 : +入如下命令

R1：

[R1-GigabitEthernet0/0/0]nat static protocol tcp global current-interface telnR d C B : 8 e *et

inside 192.168.1.10 telnet

//将当前接口的23端口映射到192.168.1.10的23端口，这里输入端口y z u e _ Z b号或者协议都可以

[R1-Gi5 u % u X - N y pgabitEK L U . U ! 3 ; Hthernet0/0/W v M _ n t a ) I0]nat static protocol tcp global current-interface 1212. | ; 3 ( B C 2 z inside 192.168.1.20 telnet

//将当前接口的1212端口映射到192.168.1.20的23端口

测试

--------------------------------------w A u-----------------------------------------------------