【基础】华为设备NAT功能配置实战全集

实验拓扑：

使用ENSP模拟器（版本V100R002C00 1.2.00.350）

实验要求：

1.在华为设备上部署静态NAT技术实现公司员工（私网）访问Intetnet(公网)

2. 在华为设备上部署动态NAT技术实现公司员工（私网）访问Intetnet(公网)

3. 在华为设备上部署PAT技术实现公司员工（私网）访问Intetnet(公网)

4. 在华为设备上部署静态端口映射技术实现公网用户访问私网的服务器（R3）。

实验步骤及验证：

1.ip地址规划：

Client1:192.168.1.2(模拟公司员工PC1)

Client2:192.168.1.3(模拟公司员工PC2)

R3：192.168.1.4(模拟公司私网服务器)

R1 g0/0/0接口：192.168.1.1.（公司私网网关）

R1 g0/0/1接口：202.106.1.2（公司出口设备外网口）

R2 g0/0/0接口：202.106.1.1（模拟ISP设备）

2.静态NAT

配置命令：

R1

[R1]int g0/0/0

[R1-GigabitEthernet0/0/0]ipadd 192.168.1.1 24

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30

[R1-GigabitEthernet0/0/1]natstatic global 202.1.1.1 inside 192.168.1.2(在出口处做一条静态NAT使内部地址192.168.1.2转换为202.1.1.1)

R2

[R2]int g0/0/0

[R2-GigabitEthernet0/0/0]ipadd 202.106.1.1 30

[R2]ip route-static202.1.1.1 255.255.255.255 202.106.1.2

(在公网设备上指一条到达NAT转换后的内部全局地址202.1.1.1的路由)

结果验证：

在PC1上可以访问公网

在没有做静态NAT条目的PC2上不能访问公网，可以得出结论：静态NAT是静态一对一的映射关系。

3.动态NAT

配置命令：

R1

[R1]nataddress-group 1 202.1.1.1 202.1.1.1 (定义一个地址池1存放了一个可用公网地址202.1.1.1)

[R1]acl2000

[R1-acl-basic-2000]rule5 per source 192.168.1.0 0.0.0.255（定义ACL允许进行NAT转换的源ip）

[R1]intg0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30[R1-GigabitEthernet0/0/1]natoutbound 2000 address-group 1（在出口下将ACL和地址池关联起来，需要注意华为设备上如果地址池中有不止一个ip地址，后面需加no-pat，本例中因只有一个地址可以不加）

结果验证：

在PC1和PC2上都可以访问公网

4.PAT 

配置命令：

R1

[R1]acl 2000

[R1-acl-basic-2000]rule5 per source 192.168.1.0 0.0.0.255（定义ACL允许进行NAT转换的源ip）

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30 

[R1-GigabitEthernet0/0/1]natoutbound 2000（定义复用接口g0/0/1用于PAT转换）

结果验证：

在PC1和PC2上都可以访问公网

5.静态端口映射

配置命令：

R1

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ipadd 202.106.1.2 30 

[R1-GigabitEthernet0/0/1]natstatic protocol tcp global 202.1.1.1 23 inside 192.168.1.4 23（将202.1.1.1的TCP 23端口静态映射到192.168.1.4的23端口）

[R1-GigabitEthernet0/0/1]natoutbound 2000

R3

[R3]int g0/0/0

[R3-GigabitEthernet0/0/0]ipadd 192.168.1.4 24

[R3]ip route-static0.0.0.0 0.0.0.0 192.168.1.1

[R3]user-interface vty 04

[R3-ui-vty0-4]authentication-modepassword

Please configure thelogin password (maximum length 16):abc（在R3上开启远程登录，使用密码验证并配置远程登录密码）

结果验证：

在R2上telnet202.1.1.1可以映射到R3，静态端口映射实验完成。

实验总结：

NAT技术主要目的：

1.节省IPV4公网地址（使用PAT）

2.通过地址转换使得私网的地址对于公网来说是不可知的，保护了私网的安全

NAT技术是目前线网中应用广泛的一项技术，在华为设备上部署NAT和在思科设备上部署NAT，协议原理相同，主要就是配置命令的不同。

本文转自Y.weisheng 51CTO博客，原文链接：http://blog.51cto.com/yuan2/1580765，如需转载请自行联系原作者