Nessuna risorsa pertinente trovata nella lingua selezionata.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Raccolta di casi di configurazione dello scenario tipico del router aziendale NE-ME60 2.0

Rate and give feedback:
Huawei utilizza la traduzione automatica insieme alla revisione umana per tradurre questo documento in diverse lingue, per facilitare la comprensione del contenuto di questo documento. Nota: la traduzione automatica, anche la più avanzata, non può corrispondere alla qualità dei trasduttori professionisti. Huawei non accetta alcuna responsabilità per l'accuratezza della traduzione e raccomanda di fare riferimento al documento inglese (per il quale è stato fornito un collegamento).
NAT

NAT

Esempio per la configurazione normale della funzione NAT

Questa sezione fornisce un esempio per la configurazione della funzione NAT centralizzata per implementare le traduzioni molte a molte dagli indirizzi interni degli utenti aziendali agli indirizzi esterni e consentire solo a i PC su un segmento di rete specificato di accedere a Internet.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

Sulla rete mostrata in Figura 1-31,NE20E esegue la funzione NAT per aiutare i PC all'interno della rete aziendale accedere a Internet. NE20E utilizza l'interfaccia Ethernet 0/2/0 per connettersi alla rete aziendale. NE20E si connette a Internet usando GE 0/2/1 interfaccia. L'azienda ha cinque indirizzi IP pubblici che vanno da 11.11.11.101/32 a 11.11.11.105/32.

Figura 1-31 mostra gli indirizzi IP dell'interfaccia configurati per soddisfare i seguenti requisiti:
  • PC solo sul segmento di rete di 192.168.10.0/24 possono accedere a Internet.
  • La traduzione NAT da molta a molta viene eseguita per gli indirizzi IP interni ed esterni.
Figura 1-31  Rete NAT
NOTA:

In questo esempio, interface1 e interface2 sono GE0/2/0 e GE0/2/1, rispettivamente.


Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Configurare le funzioni di base di NAT.
  2. Configurare un criterio di traffico NAT.
Preparazione dei dati
Per completare la configurazione, sono necessari i seguenti dati:
  • Indice del gruppo di backup VSM HA: 1

  • Nome del gruppo di istanze del servizio VSM HA: group1

  • Nome dell'istanza NAT: nat1; Indice di istanza NAT: 1

  • Nome del pool di indirizzi NAT per NAT A: address-group1; ID del pool di indirizzi NAT: 1; Segmento di indirizzo IP: Da 11.11.11.101 a 11.11.11.105

  • Nome ACL: 3001

  • Numero e indirizzo IP dell'interfaccia che applica la politica del traffico NAT

Procedura

  1. Configurare le funzioni di base di NAT.
    1. Creare un'istanza NAT denominata nat1 e collegarla alla scheda di servizi.

      <HUAWEI> system-view
      [~HUAWEI] sysname NATA
      [*HUAWEI] commit
      [~NATA] service-location 1
      [*NATA-service-location-1] location follow-forwarding-mode
      [*NATA-service-location-1] commit
      [~NATA-service-location-1] quit
      [~NATA] service-instance-group group1
      [*NATA-service-instance-group-group1] service-location 1
      [*NATA-service-instance-group-group1] commit
      [~NATA-service-instance-group-group1] quit
      [~NATA] nat instance nat1 id 1
      [*NATA-nat-instance-nat1] service-instance-group group1
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

    2. Configurare un pool di indirizzi NAT con indirizzi IP compresi tra 11.11.11.101 e 11.11.11.105.

      [~NATA] nat instance nat1
      [~NATA-nat-instance-nat1] nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

  2. Configurare un criterio di traffico NAT.

    • Configurare un criterio di traffico NAT in uscita.
      1. Configurare un ACL numerato 3001, una regola ACL numerata 1 e una regola di classificazione del traffico basata su ACL per consentire solo agli host con un indirizzo di segmento di rete di 192.168.10.0/24 di accedere a Internet.
        [~NATA] acl 3001
        [*NATA-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
        [*NATA-acl4-advance-3001] commit
        [~NATA-acl4-advance-3001] quit
      2. Applicare la politica del traffico NAT per gli utenti ACL nella visualizzazione dell'interfaccia GE0/2/1.
        [~NATA] interface gigabitEthernet 0/2/1
        [~NATA-GigabitEthernet0/2/1] ip address 11.2.3.4 24
        [*NATA-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
        [*NATA-GigabitEthernet0/2/1] commit
        [~NATA-GigabitEthernet0/2/1] quit
      3. Configurare l'indirizzo IP di GE0/2/0.
        [~NATA] interface gigabitEthernet 0/2/0
        [~NATA-GigabitEthernet0/2/0] ip address 192.168.10.1 24
        [*NATA-GigabitEthernet0/2/0] commit
        [~NATA-GigabitEthernet0/2/0] quit

  3. Verificare la configurazione.

    # Visualizzare le informazioni dell'utente NAT.

    [~NATA] display nat user-information slot 9 verbose
    This operation will take a few minutes. Press 'Ctrl+C' to break ...             
    Slot: 9                                                                
    Total number:  1.                                                          
      ---------------------------------------------------------------------------                                                       
      User Type                             :  NAT444                                                                                   
      CPE IP                                :  192.168.10.100                                                                                 
      User ID : -
      VPN Instance : -
      Address Group : address-group1
      NoPAT Address Group : -
      NAT Instance : nat1
      Public IP : 11.11.11.102
      NoPAT Public IP : -
      Total/TCP/UDP/ICMP Session Limit : 8192/10240/10240/512
      Total/TCP/UDP/ICMP Session Current : 1/0/1/0
      Total/TCP/UDP/ICMP Rev Session Limit : 8192/10240/10240/512
      Total/TCP/UDP/ICMP Rev Session Current: 0/0/0/0
      Nat ALG Enable : NULL
      Aging Time(s) : -
      Left Time(s) : -
      Session Limit Discard Count : 0
      -->Transmit Packets : 1046632
      -->Transmit Bytes : 90409306
      -->Drop Packets : 0
      <--Transmit Packets : 0
      <--Transmit Bytes : 0
      <--Drop Packets : 0
      --------------------------------------------------------------------------- 

File di configurazione
  • NAT A file di configurazione

    #
    sysname NATA
    #
    service-location 1
     location follow-forwarding-mode
    #
    service-instance-group group1      
     service-location 1      
    #
    nat instance nat1 id 1      
     service-instance-group group1      
     nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105     
    #
    acl number 3001
     rule 1 permit ip source 192.168.10.0 0.0.0.255
    #
    interface GigabitEthernet 0/2/0
     undo shutdown
     ip address 192.168.10.1 255.255.255.0
    #
    interface GigabitEthernet 0/2/1
     undo shutdown
     ip address 11.2.3.4 255.255.255.0
     nat bind acl 3001 instance nat1
    #
    return
    

Esempio per la configurazione della distribuzione del traffico NAT su un'interfaccia in uscita, easy IP e la funzione Hairpin

Questa sezione fornisce un esempio per la configurazione di NAT easy IP su un'interfaccia in uscita e la funzione hairpin. La combinazione di funzioni consente agli host interni di accedere a Internet tramite la funzione NAT in uscita e di accedere a un server interno creato utilizzando la funzione easy IP.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

In Figura 1-32, un host su una rete privata è connesso a Internet tramite la router su cui è configurata la distribuzione del traffico NAT su un'interfaccia in uscita. L'host utilizza un indirizzo IP pubblico per accedere a un server interno creato in modalità easy IP sullo stesso dispositivo NAT. router è connesso alla rete privata tramite 0/2/0. router GE 0/2/1 è connessa a Internet. Sono disponibili gli indirizzi IP pubblici 11.11.11.2/32 e 11.11.11.3/32.

Figura 1-32 mostra gli indirizzi IP delle interfacce. I requisiti di configurazione sono i seguenti:
  • I PC sul segmento di rete privata di 10.91.100.4/24 possono accedere a Internet.
  • I PC sul segmento di rete privata del 10.91.100.4/24 possono accedere al server interno utilizzando un indirizzo IP pubblico.
  • L'host utilizza un indirizzo IP pubblico per accedere a un server interno creato in modalità easy IP sullo stesso dispositivo NAT.
Figura 1-32  Scenario in cui sono configurate la distribuzione del traffico NAT su un'interfaccia in uscita, easy IP e la funzione hairpin
NOTA:

In questo esempio, interface1 e interface2 sono GE0/2/0 e GE0/2/1, rispettivamente.


Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Configurare un'istanza NAT.
  2. Configurare un server interno in modalità easy IP.
  3. Associare un'interfaccia in uscita all'istanza NAT.
Preparazione dei dati
Per completare la configurazione, sono necessari i seguenti dati:
  • Nome istanza NAT (nat1) e indice (1)

  • Nome del pool di indirizzi NAT (address-group1), numero di pool di indirizzi (1), un intervallo di indirizzi IP pubblici (11.11.11.2 e 11.11.11.3)

  • Numero ACL (3001) per abbinare il traffico che un host di rete privata invia a Internet

  • Numero ACL (3002) per abbinare il traffico che un host di rete privata invia al server di rete privato

  • Nome e indirizzo IP di ciascuna interfaccia a cui viene applicata una politica di distribuzione del traffico NAT

Procedura

  1. Configurare le funzioni NAT di base.
    1. Creare un'istanza NAT denominata nat1.

      [~NAT Device] service-location 1
      [*NAT Device-service-location-1] location follow-forwarding-mode
      [*NAT Device-service-location-1] commit
      [~NAT Device-service-location-1] quit
      [~NAT Device] service-instance-group group1
      [*NAT Device-service-instance-group-group1] service-location 1
      [*NAT Device-service-instance-group-group1] commit
      [~NAT Device-service-instance-group-group1] quit
      [~NAT Device] nat instance nat1 id 1
      [*NAT Device-nat-instance-nat1] service-instance-group group1
      [*NAT Device-nat-instance-nat1] commit
      [~NAT Device-nat-instance-nat1] quit

    2. Configurare un pool di indirizzi NAT e specificare un intervallo di indirizzi IP da 11.11.11.2 a 11.11.11.3 nel pool.

      [~NAT Device] nat instance nat1
      [~NAT Device-nat-instance-nat1] nat address-group address-group1 group-id 1 11.11.11.2 11.11.11.3
      [*NAT Device-nat-instance-nat1] commit
      [~NAT Device-nat-instance-nat1] quit

  2. Configurare un server interno in modalità easy IP.
    1. Configurare l'interfaccia di rete pubblica.

      [~NAT Device] interface gigabitEthernet 0/2/1
      [~NAT Device-GigabitEthernet0/2/1] ip address 11.11.11.1 255.255.255.0
      [*NAT Device-GigabitEthernet0/2/1] commit
      [~NAT Device-GigabitEthernet0/2/1] quit

    2. Configurare un server interno. In questo esempio, la porta TCP 80 viene utilizzata su un server interno.

      [~NAT Device] nat instance nat1
      [~NAT Device-nat-instance-nat1] nat server protocol tcp global unnumbered interface GigabitEthernet0/2/1 80 inside 10.91.100.254 80
      [*NAT Device-nat-instance-nat1] commit
      [~NAT Device-nat-instance-nat1] quit

  3. Configurare una politica di distribuzione del traffico NAT su un'interfaccia in uscita.
    1. Configurare un ACL per abbinare il traffico che un host di rete privata invia a Internet.

      [~NAT Device] acl 3001
      [*NAT Device-acl4-advance-3001] rule 5 permit ip source 10.91.100.0 0.0.0.255
      [*NAT Device-acl4-advance-3001] commit
      [~NAT Device-acl4-advance-3001] quit

    2. Configurare una politica di distribuzione NAT sull'interfaccia di rete pubblica in uscita.

      [~NAT Device] interface gigabitEthernet 0/2/1
      [*NAT Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
      [*NAT Device-GigabitEthernet0/2/1] commit
      [~NAT Device-GigabitEthernet0/2/1] quit

    3. Configurare un ACL per abbinare il traffico che un host di rete privata invia al server di rete privato.

      [~NAT Device] acl 3002
      [*NAT Device-acl4-advance-3002] rule 5 permit tcp source 10.91.100.0 0.0.0.255 destination 10.91.100.254 0
      [*NAT Device-acl4-advance-3002] rule 10 permit tcp source 10.91.100.254 0 destination 10.91.100.0 0.0.0.255
      [*NAT Device-acl4-advance-3002] commit
      [~NAT Device-acl4-advance-3002] quit

    4. Configurare un criterio di distribuzione NAT nell'interfaccia di rete privata in uscita.

      [~NAT Device] interface gigabitEthernet 0/2/0
      [*NAT Device-GigabitEthernet0/2/0] ip address 10.91.100.2 255.255.255.0
      [*NAT Device-GigabitEthernet0/2/0] nat bind acl 3002 instance nat1
      [*NAT Device-GigabitEthernet0/2/0] commit
      [~NAT Device-GigabitEthernet0/2/0] quit

File di configurazione
# 
sysname NAT Device 
# 
service-location 1  
 location follow-forwarding-mode 
# 
service-instance-group group1       
 service-location 1       
# 
acl number 3001 
 rule 5 permit ip source 10.91.100.0 0.0.0.255
#
acl number 3002
 rule 5 permit tcp source 10.91.100.0 0.0.0.255 destination 10.91.100.254 0
 rule 10 permit tcp source 10.91.100.254 0 destination 10.91.100.0 0.0.0.255
#
nat instance nat1 id 1       
 service-instance-group group1       
 nat address-group address-group1 group-id 1 11.11.11.2 11.11.11.3
 nat outbound 3001 address-group address-group1 
 nat outbound 3002 address-group address-group1 
 nat server protocol tcp global unnumbered interface GigabitEthernet0/2/1 80 inside 10.91.100.254 80
#
 interface gigabitEthernet 0/2/0
 undo shutdown 
 ip address 10.91.100.2 255.255.255.0
 nat bind acl 3002 instance nat1
# 
interface gigabitEthernet 0/2/1
 undo shutdown 
 ip address 11.11.11.1 255.255.255.0
 nat bind acl 3001 instance nat1
# 
return 

Esempio per la configurazione del server interno tramite NAT 1:1 (Scenario di bordo)(Deviazione del traffico sull'interfaccia di input)

Questa sezione fornisce un esempio per la configurazione del server interno tramite NAT 1:1. Specificando un server NAT interno e configurando le voci di mappatura tra l'indirizzo IP privato del server interno/la porta e indirizzo IP pubblico/la porta, un host esterno può accedere al servizio interno.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

Sulla rete mostrata in Figura 1-33, la NE20E esegue la funzione NAT per aiutare i PC all'interno della rete aziendale accedere a Internet. NE20E utilizza l'interfaccia GE0/2/0 a connettersi a una rete interna e l'interfaccia GE0/2/1 per connettersi a Internet.

L'indirizzo di rete interno della rete aziendale è 192.168.0.0/16. L'indirizzo del server interno è 192.168.10.10/24. Solo i PC sul segmento di rete di 192.168.10.0/24 possono accedere a Internet. I PC esterni possono accedere al server interno. L'azienda ha cinque indirizzi IP legittimi che vanno da 11.11.11.101/24 a 11.11.11.105/24. Il server interno dell'azienda ha un indirizzo pubblico indipendente 11.11.11.100. È possibile accedere al server interno dall'indirizzo di rete esterno da 13.13.13.2 a NAT 1: 1.

Figura 1-33  Rete del server interno NAT
NOTA:

Le configurazioni in questo esempio sono eseguite principalmente su NAT A e Device B.

In questo esempio, interfaccia 1, interface2 e interface3 si riferiscono GE0/2/0, GE0/2/1, e GE0/3/0, rispettivamente.


Roadmap di configurazione
La roadmap di configurazione è seguente:
  1. Configurare le funzioni di base di NAT.
  2. Configurare un criterio di traffico NAT.
  3. Configurare un server NAT interno.
Preparazione dei dati
Per completare la configurazione, sono necessari i seguenti dati:
  • Indice del gruppo di backup VSM HA: 1

  • Nome del gruppo di istanze del servizio VSM HA: group1

  • Nome dell'istanza NAT: nat1; Indice di istanza NAT: 1

  • Nome del pool di indirizzi NAT per NAT A: address-group1; ID del pool di indirizzi NAT: 1; Segmento di indirizzo IP: Da 11.11.11.101 a 11.11.11.105

  • Numero ACL 3001

  • Nome del classificatore di traffico: classifier1

  • Nome del comportamento del traffico: behavior1

  • Nome della politica del traffico policy1

  • Numero e indirizzo IP dell'interfaccia che applica la politica del traffico NAT 0/2/0, 192.168.10.1/24

  • Indirizzo IP privato del server NAT interno: 192.168.10.10; indirizzo IP pubblico del server NAT interno: 11.11.11.100

Procedura

  1. Configurare le funzioni di base di NAT.
    1. Creare un'istanza NAT denominata nat1 e collegarla alla scheda di servizi.

      <HUAWEI> system-view
      [~HUAWEI] sysname NATA
      [*HUAWEI] commit
      [~NATA] service-location 1
      [*NATA-service-location-1] location follow-forwarding-mode
      [*NATA-service-location-1] commit
      [~NATA-service-location-1] quit
      [~NATA] service-instance-group group1
      [*NATA-service-instance-group-group1] service-location 1
      [*NATA-service-instance-group-group1] commit
      [~NATA-service-instance-group-group1] quit
      [~NATA] nat instance nat1 id 1
      [*NATA-nat-instance-nat1] service-instance-group group1
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

    2. Configurare un pool di indirizzi NAT con indirizzi IP compresi tra 11.11.11.101 e 11.11.11.105.

      [~NATA] nat instance nat1
      [~NATA-nat-instance-nat1] nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

  2. Configurare un criterio di traffico NAT.
    1. Configurare le regole di classificazione del traffico basate su ACL 3001.

      Regola 1: Solo i PC con indirizzo di segmento di rete interno come 192.168.10.0/24 possono accedere a Internet.

      [~NATA] acl 3001
      [*NATA-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
      [*NATA-acl4-advance-3001] commit
      [~NATA-acl4-advance-3001] quit

    2. Configurare un classificatore di traffico denominato classifier1 e definire una regola di corrispondenza basata su ACL.

      [~NATA] traffic classifier classifier1
      [*NATA-classifier-classifier1] if-match acl 3001
      [*NATA-classifier-classifier1] commit
      [~NATA-classifier-classifier1] quit

    3. Configurare un comportamento del traffico denominato behavior1 e collegarlo all'istanza NAT.

      [~NATA] traffic behavior behavior1
      [*NATA-behavior-behavior1] nat bind instance nat1
      [*NATA-behavior-behavior1] commit
      [~NATA-behavior-behavior1] quit

    4. Definire un criterio di traffico NAT denominato policy1 per associare la regola ACL al comportamento del traffico.

      [~NATA] traffic policy policy1
      [*NATA-trafficpolicy-policy1] classifier classifier1 behavior behavior1
      [*NATA-trafficpolicy-policy1] commit
      [~NATA-trafficpolicy-policy1] quit

    5. Applicare la politica del traffico NAT nella vista dell'interfaccia.

      [~NATA] interface gigabitEthernet 0/2/0
      [~NATA-GigabitEthernet0/2/0] ip address 192.168.10.1 24
      [*NATA-GigabitEthernet0/2/0] traffic-policy policy1 inbound
      [*NATA-GigabitEthernet0/2/0] commit
      [~NATA-GigabitEthernet0/2/0] quit

    6. Configurare l'indirizzo IP di GE0/2/1.

      [~NATA] interface gigabitEthernet 0/2/1
      [*NATA-GigabitEthernet0/2/1] ip address 12.12.12.1 24
      [*NATA-GigabitEthernet0/2/1] commit
      [~NATA-GigabitEthernet0/2/1] quit

  3. Definire l'indirizzo del server interno come 192.168.10.10 e l'indirizzo esterno come 11.11.11.100. Utilizzare la modalità a livello di indirizzo per garantire una relazione 1:1 tra gli indirizzi IP pubblici e privati.

    [~NATA] nat instance nat1
    [~NATA-nat-instance-nat1] nat server global 11.11.11.100 inside 192.168.10.10
    [*NATA-nat-instance-nat1] commit
    [~NATA-nat-instance-nat1] quit

  4. Verificare la configurazione.

    # Visualizzare le voci di server-map di tutti gli utenti.

    <NATA> display nat server-map
    This operation will take a few minutes. Press 'Ctrl+C' to break ...
    Slot: 9 
    Total number:  2.
      NAT Instance: nat1                                                                                                                  
      Protocol:ANY, VPN:--->-                                                                                                           
      Server:192.168.10.10[11.11.11.100]->ANY                                                                                                  
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.10.10                                                                                                                  
                                                                                                                                        
      NAT Instance: nat1                                                                                                                  
      Protocol:ANY, VPN:--->-                                                                                                           
      Server reverse:ANY->11.11.11.100[192.168.10.10]                                                                                          
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.10.10  

File di configurazione
  • NAT A un file di configurazione

    #
     sysname NATA
    #
    service-location 1
     location follow-forwarding-mode
    #
    service-instance-group group1
     service-location 1
    #
    nat instance nat1 id 1
     service-instance-group group1
     nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105 
     nat server global 11.11.11.100 inside 192.168.10.10
    #
    acl number 3001
     rule 1 permit ip source 192.168.10.0 0.0.0.255
    #
    traffic classifier classifier1 operator or
     if-match acl 3001
    #
    traffic behavior behavior1
     nat bind instance nat1
    #
    traffic policy policy1
     classifier classifier1 behavior behavior1 precedence 1
    #
    interface GigabitEthernet 0/2/0
     undo shutdown
     ip address 192.168.10.1 255.255.255.0
     traffic-policy policy1 inbound
    #
    interface GigabitEthernet 0/2/1
     undo shutdown
     ip address 12.12.12.1 255.255.255.0
    #
    ospf 1
     area 0.0.0.0
      network 12.12.12.0 0.0.0.255
    #
     return
    
  • File di configurazione del dispositivo B

    #
     sysname DeviceB
    #
    interface GigabitEthernet 0/2/0
     undo shutdown
     ip address 13.13.13.1 255.255.255.0
    #
    interface GigabitEthernet 0/3/0
     undo shutdown
     ip address 12.12.12.2 255.255.255.0
    #
    ospf 1
     area 0.0.0.0
      network 12.12.12.0 0.0.0.255
      network 13.13.13.0 0.0.0.255
    #
     return
    

Esempio per la configurazione di doppio NAT

Questa sezione fornisce un esempio per la configurazione di dual NAT su una rete aziendale. Questa funzione protegge i dati all'interno della rete aziendale e traduce sia la sorgente che la destinazione, senza esporre i dati del server interno. Un diagramma di configurazione di rete è fornito per aiutarti a capire la procedura di configurazione.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

Sulla rete mostrata in Figura 1-34, laNE20E traduce l'indirizzo IP privato dei server A e B agli indirizzi IP pubblici prima che i server comunichino con Internet. Quando il server A tenta di accedere al server B, il server A invia un pacchetto con un indirizzo IP di origine privato di 10.78.1.2 e l'indirizzo IP di destinazione di 11.11.11.1 (indirizzo pubblico del server B). Quando il server B tenta di accedere al server A, il server B invia un pacchetto con un indirizzo IP di origine privato di 10.67.1.2 e l'indirizzo IP di destinazione di 11.11.11.2 (indirizzo pubblico del server A).

Figura 1-34  Rete di dual NAT
NOTA:

In questo esempio, interface1 e interface2 sono GE0/1/1 e GE0/1/0, rispettivamente.


Roadmap di configurazione
La roadmap di configurazione è seguente:
  1. Creare un'istanza NAT e associare una scheda di servizio all'istanza NAT.
  2. Configurare una mappatura tra il pool di indirizzi NAT, gli indirizzi IP privati dei server interni e gli indirizzi pubblici.
  3. Configurare una politica di distribuzione del traffico NAT in uscita.
Preparazione dei dati
Per completare la configurazione, sono necessari i seguenti dati:
  • Indice del gruppo di backup service-location: 1

  • Nome del gruppo di istanze del servizio service-location: group1

  • Nomi e indici di istanze NAT: nata con indice 1; natb con indice 2

  • Pool di indirizzi di NAT A: address-groupa e address-groupb

  • Indirizzo IP pubblico del server: 11.11.11.2 per il server A e 11.11.11.1 per il server B

  • Numero ACL 2464 e 2465

  • Nomi e indirizzi IP delle interfacce a cui si applica una politica di distribuzione del traffico NAT in uscita: GE0/1/1 con indirizzo IP 10.78.1.1/24 e GE0/1/0 con indirizzo IP 10.67.1.1/24

Procedura

  1. Creare un'istanza NAT e associare una scheda di servizio all'istanza NAT.

    <HUAWEI> system-view
    [~HUAWEI] sysname NATA
    [*HUAWEI] commit
    [~NATA] service-location 1
    [*NATA-service-location-1] location follow-forwarding-mode
    [*NATA-service-location-1] commit
    [~NATA-service-location-1] quit
    [~NATA] service-instance-group group1
    [*NATA-service-instance-group-group1] service-location 1
    [*NATA-service-instance-group-group1] commit
    [~NATA-service-instance-group-group1] quit
    [~NATA] nat instance nata id 1
    [*NATA-nat-instance-nata] service-instance-group group1
    [*NATA-nat-instance-nata] commit
    [~NATA-nat-instance-nata] quit
    [~NATA] nat instance natb id 2
    [*NATA-nat-instance-natb] service-instance-group group1
    [*NATA-nat-instance-natb] commit
    [~NATA-nat-instance-natb] quit

  2. Configurare una mappatura tra il pool di indirizzi NAT, gli indirizzi IP privati dei server interni e gli indirizzi pubblici.

    # Nella vista di un'istanza NAT denominata nata, configurare un pool di indirizzi IP denominato address-groupa con un segmento di indirizzo IP compreso tra 11.12.12.1 e 11.12.12.10 e mappare l'indirizzo IP privato di NAT-A di 10.78.1.2 a un indirizzo IP pubblico di 11.11.11.2.

    [~NATA] nat instance nata
    [~NATA-nat-instance-nata] nat address-group address-groupa group-id 111 11.12.12.1 11.12.12.10
    [*NATA-nat-instance-nata] nat server protocol udp global 11.11.11.2 inside 10.78.1.2
    [*NATA-nat-instance-nata] commit
    [~NATA-nat-instance-nata] quit

    # Nella vista di un'istanza NAT denominata natb, configurare un pool di indirizzi IP denominato address-groupb con un segmento di indirizzo IP compreso tra 11.12.12.11 e 11.12.12.20 e mappare l'indirizzo IP privato del NAT-B di 10.67.1.2 a un indirizzo IP pubblico di 11.11.11.1.

    [~NATA] nat instance natb
    [~NATA-nat-instance-natb] nat address-group address-groupb group-id 112 11.12.12.11 11.12.12.20
    [*NATA-nat-instance-natb] nat server protocol udp global 11.11.11.1 inside 10.67.1.2
    [*NATA-nat-instance-natb] commit
    [~NATA-nat-instance-natb] quit

  3. Configurare un criterio di traffico NAT in uscita.
    1. Regola ACL configurata.

      Configurare un ACL numerato 2464 e una regola ACL numerati 5 per consentire solo agli host con un indirizzo di segmento di rete di 10.78.1.0/24 di accedere a Internet.

      [~NATA] acl number 2464
      [*NATA-acl4-basic-2464] rule 5 permit source 10.78.1.0 0.0.0.255
      [*NATA-acl4-basic-2464] commit
      [~NATA-acl4-basic-2464] quit

      # Configurare un ACL numerato 2465, una regola ACL numerata 5 e una regola di classificazione del traffico basata su ACL per consentire solo agli host con un indirizzo di segmento di rete 10.67.1.0/24 di accedere a Internet.

      [~NATA] acl number 2465
      [*NATA-acl4-basic-2465] rule 5 permit source 10.67.1.0 0.0.0.255
      [*NATA-acl4-basic-2465] commit
      [~NATA-acl4-basic-2465] quit

    2. Applicare la politica di distribuzione del traffico NAT in uscita a GE 0/1/0 e GE 0/1/1.

      # Associare l'ACL numerato 2464 e l'istanza NAT denominata nata a GE0/1/0.

      [~NATA] interface GigabitEthernet0/1/0
      [~NATA-GigabitEthernet0/1/1] ip address 10.67.1.1 24
      [~NATA-GigabitEthernet0/1/0] nat bind acl 2464 instance nata
      [*NATA-GigabitEthernet0/1/0] commit
      [~NATA-GigabitEthernet0/1/0] quit

      # Associare l'ACL numerato 2465 e l'istanza NAT denominata nata a GE0/1/1.

      [~NATA] interface GigabitEthernet0/1/1
      [~NATA-GigabitEthernet0/1/1] ip address 10.78.1.1 24
      [~NATA-GigabitEthernet0/1/1] nat bind acl 2465 instance natb
      [*NATA-GigabitEthernet0/1/1] commit
      [~NATA-GigabitEthernet0/1/1] quit

  4. Verificare la configurazione.

    # Visualizzare le informazioni dell'utente NAT.

    [~NATA] display nat instance
    nat instance nata id 1
     service-instance-group group1
     nat address-group address-groupa group-id 111 11.12.12.1 11.12.12.10 
     nat server protocol udp global 11.11.11.2 inside 10.78.1.2
    nat instance natb id 2
     service-instance-group group1
     nat address-group address-groupb group-id 112 11.12.12.11 11.12.12.20 
     nat server protocol udp global 11.11.11.1 inside 10.67.1.2
    

    # Visualizzare le voci di server-map di tutti gli utenti.

    [~NATA] display nat server-map
    This operation will take a few minutes. Press 'Ctrl+C' to break ...
    Slot: 9 
    Total number:  4.                                                                                                                   
      NAT Instance: nata                                                                                                          
      Protocol:UDP, VPN:--->-                                                                                                           
      Server:10.78.1.2[11.11.11.2]->ANY                                                                                                 
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.78.1.2                                                                                                                   
                                                                                                                                        
      NAT Instance: nata                                                                                                          
      Protocol:UDP, VPN:--->-                                                                                                           
      Server reverse:ANY->11.11.11.2[10.78.1.2]                                                                                         
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.78.1.2 
                                                                                                                                        
      NAT Instance: natb                                                                                                           
      Protocol:UDP, VPN:--->-                                                                                                           
      Server:10.67.1.2[11.11.11.1]->ANY                                                                                                 
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.67.1.2                                                                                                                   
                                                                                                                                        
      NAT Instance: natb                                                                                                           
      Protocol:UDP, VPN:--->-                                                                                                           
      Server reverse:ANY->11.11.11.1[10.67.1.2]                                                                                         
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.67.1.2                                                                                                                   
    

File di configurazione

NAT A file di configurazione

#
sysname NATA
#
service-location 1
 location follow-forwarding-mode
#
service-instance-group group1
 service-location 1
#
nat instance nata id 1
 service-instance-group group1
 nat address-group address-groupa group-id 111 11.12.12.1 11.12.12.10 
 nat server protocol udp global 11.11.11.2 inside 10.78.1.2
nat instance natb id 2
 service-instance-group group1
 nat address-group address-groupb group-id 112 11.12.12.11 11.12.12.20 
 nat server protocol udp global 11.11.11.1 inside 10.67.1.2
#
acl number 2464
 rule 5 permit source 10.78.1.0 0.0.0.255
# 
acl number 2465
 rule 5 permit source 10.67.1.0 0.0.0.255
#
interface GigabitEthernet0/1/1
 undo shutdown
 ip address 10.78.1.1 255.255.255.0
 undo dcn
 nat bind acl 2465 instance natb
#
interface GigabitEthernet0/1/0
 undo shutdown
 ip address 10.67.1.1 255.255.255.0
 undo dcn
 nat bind acl 2464 instance nata
#
return

Esempio per la configurazione di traccia origine NAT statico

Questa sezione fornisce un esempio per la configurazione della traccia di origine NAT statico in modo che la traduzione una-a-molte tra gli indirizzi IP privati e pubblici possa essere eseguita in un'azienda e solo i PC su un segmento di rete specificato possano accedere a Internet.

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

Sulla rete mostrata in Figura 1-35, i PC di un'azienda utilizzano il CPE per eseguire NAT e quindi sono connessi a BRAS. Il BRAS è connesso al server RADIUS. CR è connesso al dispositivo NAT in modalità bypass per l'accesso alla rete IPv4. La scheda di servizio del dispositivo NAT è nello slot 1. Il dispositivo NAT è connesso al CR tramite GE0/2/0. L'azienda ha 100 indirizzi IP pubblici che vanno da 11.11.11.1/24 a 11.11.11.100/24.

I requisiti di configurazione sono i seguenti:
  • Solo i PC sul segmento di rete compreso tra 10.0.0.1/24 e 10.0.0.255/24 possono accedere a Internet.
Figura 1-35  Traccia origine NAT statico
NOTA:

In questo esempio, interface1 è GE0/2/0.


Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Configurare un gruppo di istanze del servizio VSM HA.
  2. Configurare un'istanza NAT denominata nat1 e collegarla alla scheda di servizio NAT.
  3. Configurare una regola di classificazione del traffico e il comportamento NAT.
  4. Configurare una mappatura dell'algoritmo di traccia di origine NAT statico.
  5. Associare la traccia di origine NAT statico all'istanza NAT.
Preparazione dei dati
  • Indice del gruppo di backup di VSM HA: 1; nome del gruppo di istanze del servizio VSM HA: group 1; indice dell'istanza NAT chiamata nat1: 1
  • Numeri dei pool di indirizzi pubblici e privati per la traccia di origine di NAT statico
  • Numero e indirizzo IP dell'interfaccia che applica la politica del traffico NAT
  • Segmento dell'indirizzo di rete privato per la traccia di origine NAT statico: Da 10.0.0.1 a 10.0.0.255; segmento di indirizzo di rete pubblico per traccia NAT statica da 11.11.11.1 a 11.11.11.100
  • Intervallo di numeri di porte per il pool di indirizzi pubblici: Da 256 a 1023; dimensione del segmento di porta: 256
  • Numero ACL 3001; nome della regola di classificazione del traffico: c1; nome del comportamento del traffico: b1; nome della politica del traffico: p1

Procedura

  1. Configurare un gruppo di istanze del servizio VSM HA.

    <HUAWEI> system-view
    [~HUAWEI] service-location 1
    [*HUAWEI-service-location-1] location slot 1 engine 0
    [*HUAWEI-service-location-1] commit
    [~HUAWEI-service-location-1] quit
    [~HUAWEI] service-instance-group group1
    [*HUAWEI-service-instance-group-group1] service-location 1
    [*HUAWEI-service-instance-group-group1] commit
    [~HUAWEI-service-instance-group-group1] quit

  2. Configurare un'istanza NAT denominata nat1 e collegarla al servizio CGN.

    [~HUAWEI] nat instance nat1 id 1
    [*HUAWEI-nat-instance-nat1] service-instance-group group1
    [*HUAWEI-nat-instance-nat1] commit
    [~HUAWEI-nat-instance-nat1] quit

  3. Configurare un gruppo di parametri dell'algoritmo di traccia di origine NAT statico, il pool di indirizzi privato contiene gli indirizzi IP da 10.0.0.1 a 10.0.0.255, il pool di indirizzi pubblici contiene gli indirizzi IP da 11.11.11.1 a 11.11.11.100, l'intervallo di porte da 256 a 1023 e dimensione del segmento della porta come 256.

    [~HUAWEI] nat static-mapping
    [*HUAWEI-nat-static-mapping] inside-pool 1
    [*HUAWEI-nat-static-mapping-inside-pool-1] section 1 10.0.0.1 10.0.0.255
    [*HUAWEI-nat-static-mapping-inside-pool-1] quit
    [*HUAWEI-nat-static-mapping] global-pool 1
    [*HUAWEI-nat-static-mapping-global-pool-1] section 1 11.11.11.1 11.11.11.100
    [*HUAWEI-nat-static-mapping-global-pool-1] quit
    [*HUAWEI-nat-static-mapping] static-mapping 10 inside-pool 1 global-pool 1 port-range 256 1023 port-size 256
    [*HUAWEI-nat-static-mapping] commit
    [~HUAWEI-nat-static-mapping] quit

  4. Abilitare l'algoritmo di traccia di origine NAT statico sull'istanza NAT denominata nat1 e specificare ID dell'algoritmo come 10.

    [~HUAWEI] nat instance nat1
    [~HUAWEI-nat-instance-nat1] nat bind static-mapping 10
    [*HUAWEI-nat-instance-nat1] commit
    [~HUAWEI-nat-instance-nat1] quit

  5. Configurare una regola di classificazione del traffico e il comportamento NAT.
    1. Configurare una regola ACL per la classificazione del traffico. Solo i PC con indirizzo di segmento di rete interno come 10.0.0.0/24 possono accedere a Internet.

      [~HUAWEI] acl 3001
      [*HUAWEI-acl4-advance-3001] rule 1 permit ip source 10.0.0.0 0.0.0.255
      [*HUAWEI-acl4-advance-3001] commit
      [~HUAWEI-acl4-advance-3001] quit

    2. Configurare un classificatore del traffico e definire una regola di corrispondenza basata su ACL.

      [~HUAWEI] traffic classifier c1
      [*HUAWEI-classifier-c1] if-match acl 3001
      [*HUAWEI-classifier-c1] commit
      [~HUAWEI-classifier-c1] quit

    3. Configurare un comportamento del traffico e associare il comportamento del traffico all'istanza NAT denominata nat1.

      [~HUAWEI] traffic behavior b1 
      [*HUAWEI-behavior-b1] nat bind instance nat1
      [*HUAWEI-behavior-b1] commit
      [~HUAWEI-behavior-b1] quit

    4. Definire un criterio di traffico NAT per associare la regola ACL al comportamento del traffico.

      [~HUAWEI] traffic policy p1
      [*HUAWEI-trafficpolicy-p1] classifier c1 behavior b1
      [*HUAWEI-trafficpolicy-p1] commit
      [~HUAWEI-trafficpolicy-p1] quit

    5. Applicare un criterio di traffico NAT nella vista dell'interfaccia.

      [~HUAWEI] interface gigabitEthernet 0/2/0
      [~HUAWEI-GigabitEthernet0/2/0] traffic-policy p1 inbound
      [*HUAWEI-GigabitEthernet0/2/0] commit
      [~HUAWEI-GigabitEthernet0/2/0] quit

  6. Verificare la configurazione.

    # Visualizzare le informazioni dell'utente NAT sul dispositivo.

    <HUAWEI> display nat user-information slot 1 engine 0 verbose
    This operation will take a few minutes. Press 'Ctrl+C' to break ...                                                                 
    Slot: 1  Engine: 0                                                                                                                  
    Total number:  1.                                                                                                                   
      ---------------------------------------------------------------------------                                                       
      User Type                             :  NAT444                                                                                   
      CPE IP                                :  10.0.0.1                                                                                 
      User ID                               :  -                                                                                        
      VPN Instance                          :  -                                                                                        
      Address Group                         :  -                                                                                        
      NoPAT Address Group                   :  -                                                                                        
      NAT Instance                          :  nat1                                                                                     
      Public IP                             :  11.11.11.1                                                                              
      NoPAT Public IP                       :  -                                                                                        
      Start Port                            :  256                                                                                      
      Port Range                            :  256                                                                                      
      Port Total                            :  256                                                                                      
      Extend Port Alloc Times               :  0                                                                                        
      Extend Port Alloc Number              :  0                                                                                        
      First/Second/Third Extend Port Start  :  0/0/0                                                                                    
      Total/TCP/UDP/ICMP Session Limit      :  8192/10240/10240/512                                                                     
      Total/TCP/UDP/ICMP Session Current    :  1/0/1/0                                                                                  
      Total/TCP/UDP/ICMP Rev Session Limit  :  8192/10240/10240/512                                                                     
      Total/TCP/UDP/ICMP Rev Session Current:  0/0/0/0                                                                                  
      Total/TCP/UDP/ICMP Port Limit         :  0/0/0/0                                                                                  
      Total/TCP/UDP/ICMP Port Current       :  1/0/1/0                                                                                  
      Nat ALG Enable                        :  NULL                                                                                     
      Token/TB/TP                           :  0/0/0                                                                                    
      Port Forwarding Flag                  :  Non Port Forwarding                                                                      
      Port Forwarding Ports                 :  0 0 0 0 0                                                                                
      Aging Time(s)                         :  -                                                                                        
      Left Time(s)                          :  -                                                                                        
      Port Limit Discard Count              :  0                                                                                        
      Session Limit Discard Count           :  0                                                                                        
      Fib Miss Discard Count                :  0                                                                                        
      -->Transmit Packets                   :  150156628                                                                                
      -->Transmit Bytes                     :  19699109016                                                                              
      -->Drop Packets                       :  0                                                                                        
      <--Transmit Packets                   :  0                                                                                        
      <--Transmit Bytes                     :  0                                                                                        
      <--Drop Packets                       :  0                                                                                        
      ---------------------------------------------------------------------------  

File di configurazione

File di configurazione del dispositivo NAT

#
sysname HUAWEI
#
license
 active nat session-table size 16 slot 1 engine 0
#
nat static-mapping
 inside-pool 1
  section 1 10.0.0.1 10.0.0.255
 global-pool 1
  section 1 11.11.11.1 11.11.11.100
 static-mapping 10 inside-pool 1 global-pool 1 port-range 256 1023 port-size 256
#
service-location 1
 locate slot 1 engine 0
#
service-instance-group group1
 service-location 1
#
nat instance nat1 id 1
 service-instance-group group1 
 nat bind static-mapping 10
#
acl number 3001
 rule 1 permit ip source 10.0.0.0 0.0.0.255
#
traffic classifier c1
 if-match acl 3001
#
traffic behavior b1
 nat bind instance nat1
#
traffic policy p1
 classifier c1 behavior b1 precedence 1
#
interface GigabitEthernet 0/2/0
 undo shutdown
 ip address 10.1.1.1 255.255.255.0
 traffic-policy p1 inbound
#
return

Esempio per la configurazione di NAT nella modalità pool di indirizzi

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

In Figura 1-36, NAT-Device esegue la funzione NAT per aiutare i PC all'interno di una rete aziendale ad accedere a Internet. NAT-Device usa GE0/2/0 per connettersi alla rete aziendale. A GE0/2/1di NAT-Device è connesso a Internet. All'azienda sono assegnati cinque indirizzi IP pubblici da 11.11.11.101/32 a 11.11.11.105/32. Al dispositivo peer connesso a NAT-Device viene assegnato un indirizzo IP 11.2.3.5.

Figura 1-36 mostra gli indirizzi IP delle interfacce. I requisiti di configurazione sono i seguenti:
  • PC solo sul segmento di rete di 192.168.10.0/24 possono accedere a Internet.
  • La traduzione NAT multiplo-a-multiplo viene eseguita per gli indirizzi IP tra reti pubbliche e private.
Figura 1-36  Configurazione di NAT in modalità pool di indirizzi
NOTA:

In questo esempio, interface1 e interface2 sono GE0/2/0 e GE0/2/1, rispettivamente.



Roadmap di configurazione

La roadmap di configurazione è la seguente:

  1. Configurare le funzioni NAT di base.
  2. Configurare un criterio di distribuzione NAT.
  3. Applicare il criterio di distribuzione NAT.
  4. Configurare gli instradamenti statici.
Preparazione dei dati

Per completare la configurazione, sono necessari i seguenti dati:

  • Nome istanza NAT (nat1) e indice (1)
  • Nome del pool di indirizzi NAT di NAT-Device (address-group1), numero del pool di indirizzi (1), un intervallo di indirizzi IP pubblici (da 11.11.11.101 a 11.11.11.105)
  • Numero ACL (3001)
  • Nome e indirizzo IP di ciascuna interfaccia a cui viene applicata una politica di distribuzione NAT

Procedura

  1. Configurare le funzioni NAT di base.
    1. Creare un'istanza NAT denominata nat1.

      <HUAWEI> system-view
      [~HUAWEI] sysname NAT-Device
      [*HUAWEI] commit
      [~NAT-Device] nat instance nat1 id 1 simple-configuration
      [*NAT-Device-nat-instance-nat1] commit
      [~NAT-Device-nat-instance-nat1] quit

    2. Configurare un pool di indirizzi NAT e specificare un intervallo di indirizzi IP da 11.11.11.101 a 11.11.11.105 nel pool.

      [~NAT-Device] nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105
      [*NAT-Device] commit
      

  2. Configurare un criterio di distribuzione NAT. Configurare un ACL numerato 3001, una regola ACL numerata 1 e una regola di classificazione del traffico basata su ACL per consentire agli host solo un indirizzo di segmento di rete di 192.168.10.0/24 di accedere a Internet.

    [~NAT-Device] acl 3001
    [*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
    [*NAT-Device-acl4-advance-3001] commit
    [~NAT-Device-acl4-advance-3001] quit

  3. Applicare il criterio di distribuzione NAT. Applicare la regola di classificazione del traffico basata su ACL alla vista dell'interfaccia in uscita denominata GE0/2/1.

    [~NAT-Device] interface gigabitEthernet 0/2/1
    [~NAT-Device-GigabitEthernet0/2/1] ip address 11.2.3.4 24
    [*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
    [*NAT-Device-GigabitEthernet0/2/1] commit
    [~NAT-Device-GigabitEthernet0/2/1] quit

  4. Configurare un instradamento predefinito come un instradamento statico e impostare l'indirizzo hop successivo dell'instradamento predefinito su 11.2.3.5.

    [~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 11.2.3.5
    [*NAT-Device] commit

  5. Verificare la configurazione.

    # Eseguire il comando display nat user-information slot verbose per visualizzare le informazioni sull'utente NAT.

    [~NAT-Device] display nat user-information slot 9 verbose
    This operation will take a few minutes. Press 'Ctrl+C' to break ...              
    Slot: 9
    Total number:  1.                                                           
      ---------------------------------------------------------------------------                                                        
      User Type                             :  NAT444                                                                                    
      CPE IP                                :  192.168.10.100                                                                                  
      User ID                               :  -                                                                                         
      VPN Instance                          :  -                                                                                         
      Address Group                         :  address-group1                                                                                        
      NAT Instance                          :  nat1                                                                                        
      Public IP                             :  11.11.11.101                                                                                 
      Total/TCP/UDP/ICMP Session Limit      :  0/0/0/0                                                                                   
      Total/TCP/UDP/ICMP Session Current    :  64511/0/64511/0                                                                           
      Total/TCP/UDP/ICMP Rev Session Limit  :  8192/10240/10240/512                                                                      
      Total/TCP/UDP/ICMP Rev Session Current:  0/0/0/0                                                                                   
      Nat ALG Enable                        :  NULL                                                                                      
      Aging Time(s)                         :  -                                                                                         
      Left Time(s)                          :  -                                                                                         
      Session Limit Discard Count           :  0                                                                                         
      -->Transmit Packets                   :  9753259                                                                                   
      -->Transmit Bytes                     :  1111770864                                                                                
      -->Drop Packets                       :  0                                                                                         
      <--Transmit Packets                   :  0                                                                                         
      <--Transmit Bytes                     :  0                                                                                         
      <--Drop Packets                       :  0                                                                                         
      --------------------------------------------------------------------------- 
    

File di configurazione di NAT-Device
#
sysname NAT-Device 
# 
nat instance nat1 id 1 simple-configuration             
#
nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105      
#
acl number 3001 
 rule 1 permit ip source 192.168.10.0 0.0.0.255 
# 
interface GigabitEthernet 0/2/1 
 undo shutdown 
 ip address 11.2.3.4 255.255.255.0 
 nat bind acl 3001 instance nat1 
#
ip route-static 0.0.0.0 0.0.0.0 11.2.3.5
#
return

Esempio per la configurazione di easy IP per NAT

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

In Figura 1-37, il traffico deve essere inviato da una rete aziendale a una rete di gestori esterni. NAT-Device traduce un indirizzo IP privato di un utente della rete aziendale all'indirizzo IP di un'interfaccia di rete pubblica in modo che l'utente acceda alla rete del vettore esterno.

NAT-Device usa GE0/2/0 per connettersi alla rete aziendale. NAT-Device usa GE0/2/1 per connettersi a Internet. All'azienda viene assegnato solo l'indirizzo IP pubblico di 11.2.3.4. Al dispositivo peer connesso a NAT-Device viene assegnato un indirizzo IP 11.2.3.5.

Figura 1-37 mostra gli indirizzi IP delle interfacce. I requisiti di configurazione sono i seguenti:
  • PC solo sul segmento di rete di 192.168.10.0/24 possono accedere a Internet.
  • NAT-Device utilizza solo l'indirizzo IP di un'interfaccia di rete pubblica, non altri indirizzi IP pubblici.
Figura 1-37  Configurazione easy IP per NAT
NOTA:

In questo esempio, interface1 e interface2 sono GE0/2/0 e GE0/2/1, rispettivamente.



Roadmap di configurazione

La roadmap di configurazione è la seguente:

  1. Configurare le funzioni NAT di base.
  2. Configurare un criterio di distribuzione NAT.
  3. Applicare il criterio di distribuzione NAT.
  4. Configurare gli instradamenti statici.
Preparazione dei dati

Per completare la configurazione, sono necessari i seguenti dati:

  • Nome istanza NAT (nat1) e indice (1)
  • Nome del pool di indirizzi NAT di NAT-Device (indirizzo-gruppo 1) e numero di sequenza (1)
  • Numero ACL (3001)
  • Nome (GE0/2/1) e indirizzo IP (11.2.3.4/24) di un'interfaccia a cui viene applicata una politica di distribuzione NAT

Procedura

  1. Configurare le funzioni NAT di base.
    1. Creare un'istanza NAT denominata nat1.

      <HUAWEI> system-view
      [~HUAWEI] sysname NAT-Device
      [*HUAWEI] commit
      [~NAT-Device] nat instance nat1 id 1 simple-configuration
      [*NAT-Device-nat-instance-nat1] commit
      [~NAT-Device-nat-instance-nat1] quit

    2. Assegnare un indirizzo IP a un'interfaccia in uscita.

      [~NAT-Device] interface gigabitEthernet 0/2/1
      [~NAT-Device-GigabitEthernet0/2/1] ip address 11.2.3.4 24
      [*NAT-Device-GigabitEthernet0/2/1] commit
      [~NAT-Device-GigabitEthernet0/2/1] quit

    3. Configurare un mappatura tra il pool di indirizzi e l'indirizzo IP dell'interfaccia in uscita.

      [~NAT-Device] nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1
      [*NAT-Device] commit
      

  2. Configurare un criterio di distribuzione NAT. Configurare un ACL numerato 3001, una regola ACL numerata 1 e una regola di classificazione del traffico basata su ACL per consentire agli host solo un indirizzo di segmento di rete di 192.168.10.0/24 di accedere a Internet.

    [~NAT-Device] acl 3001
    [*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
    [*NAT-Device-acl4-advance-3001] commit
    [~NAT-Device-acl4-advance-3001] quit

  3. Applicare il criterio di distribuzione NAT. Applicare la regola di classificazione del traffico basata su ACL alla vista dell'interfaccia in uscita denominata GE0/2/1.

    [~NAT-Device] interface gigabitEthernet 0/2/1
    [*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
    [*NAT-Device-GigabitEthernet0/2/1] commit
    [~NAT-Device-GigabitEthernet0/2/1] quit

  4. Configurare un instradamento predefinito come un instradamento statico e impostare l'indirizzo hop successivo dell'instradamento predefinito su 11.2.3.5.

    [~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 11.2.3.5
    [*NAT-Device] commit

  5. Verificare la configurazione.

    # Eseguire il comando display nat user-information slot verbose per visualizzare le informazioni sull'utente NAT.

    [~NAT-Device] display nat user-information slot 9 verbose
    This operation will take a few minutes. Press 'Ctrl+C' to break ...              
    Slot: 9
    Total number:  1.                                                           
      ---------------------------------------------------------------------------                                                        
      User Type                             :  NAT444                                                                                    
      CPE IP                                :  192.168.10.100                                                                                  
      User ID                               :  -                                                                                         
      VPN Instance                          :  -                                                                                         
      Address Group                         :  address-group1                                                                                        
      NAT Instance                          :  nat1                                                                                        
      Public IP                             :  11.2.3.4                                                                                 
      Total/TCP/UDP/ICMP Session Limit      :  0/0/0/0                                                                                   
      Total/TCP/UDP/ICMP Session Current    :  64511/0/64511/0                                                                           
      Total/TCP/UDP/ICMP Rev Session Limit  :  8192/10240/10240/512                                                                      
      Total/TCP/UDP/ICMP Rev Session Current:  0/0/0/0                                                                                   
      Nat ALG Enable                        :  NULL                                                                                      
      Aging Time(s)                         :  -                                                                                         
      Left Time(s)                          :  -                                                                                         
      Session Limit Discard Count           :  0                                                                                         
      -->Transmit Packets                   :  9753259                                                                                   
      -->Transmit Bytes                     :  1111770864                                                                                
      -->Drop Packets                       :  0                                                                                         
      <--Transmit Packets                   :  0                                                                                         
      <--Transmit Bytes                     :  0                                                                                         
      <--Drop Packets                       :  0                                                                                         
      ---------------------------------------------------------------------------

File di configurazione di NAT-Device
# 
sysname NAT-Device 
# 
nat instance nat1 id 1 simple-configuration             
#
nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1
#
acl number 3001 
 rule 1 permit ip source 192.168.10.0 0.0.0.255

# 
interface GigabitEthernet 0/2/1 
 undo shutdown 
 ip address 11.2.3.4 255.255.255.0 
 nat bind acl 3001 instance nat1 
#
ip route-static 0.0.0.0 0.0.0.0 11.2.3.5
#
return

Esempio per la configurazione di NAT bidirezionale e un server interno

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

In Figura 1-38, GE0/2/0 di NAT-Device con indirizzo IP 192.168.1.1/24 è connesso a una rete privata. A GE0/2/1 di NAT-Device con un indirizzo IP 11.11.11.1/8 è connesso a Internet. Il server interno ha un indirizzo IP privato di 192.168.1.2/24 e un indirizzo IP pubblico di 11.11.11.6. Un host di rete privato con un indirizzo IP 192.168.1.3/24 tenta di accedere al server interno. Al dispositivo peer connesso a NAT-Device viene assegnato un indirizzo IP 11.11.11.2.

Gli utenti dei reti private e pubbliche vogliono accedere al server interno utilizzando l'indirizzo IP pubblico di 11.11.11.6.

Figura 1-38  Configurare NAT e un server interno
NOTA:

In questo esempio, interface1 e interface2 sono GE0/2/0 e GE0/2/1, rispettivamente.



Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Configurare le funzioni NAT di base.
  2. Configurare un server interno.
  3. Configurare un criterio di distribuzione NAT.
  4. Applicare il criterio di distribuzione NAT.
  5. Configurare gli instradamenti statici.
Preparazione dei dati

Per completare la configurazione, sono necessari i seguenti dati:

  • Nome istanza NAT (nat1) e indice (1)
  • Nome pool di indirizzi NAT di NAT-Device (address-group1), numero di pool di indirizzi (1) e intervallo indirizzi IP in modalità easy IP
  • Numeri ACL (3001 e 3002)
  • Nome (GE0/2/0) e indirizzo IP (192.168.1.1/24) di un'interfaccia a cui viene applicato un criterio di distribuzione NAT; nome (GE0/2/1) e indirizzo IP (11.1.1.1/24) di un'altra interfaccia a cui viene applicata una politica di distribuzione NAT

Procedura

  1. Configurare le funzioni NAT di base.
    1. Creare un'istanza NAT denominata nat1.

      <HUAWEI> system-view
      [~HUAWEI] sysname NAT-Device
      [*HUAWEI] commit
      [~NAT-Device] nat instance nat1 id 1 simple-configuration
      [*NAT-Device-nat-instance-nat1] commit
      [~NAT-Device-nat-instance-nat1] quit

    2. Assegnare un indirizzo IP a un'interfaccia in uscita.

      [~NAT-Device] interface gigabitEthernet 0/2/1
      [~NAT-Device-GigabitEthernet0/2/1] ip address 11.11.1.1 8
      [*NAT-Device-GigabitEthernet0/2/1] commit
      [~NAT-Device-GigabitEthernet0/2/1] quit

    3. Configurare un pool di indirizzi NAT in modalità easy IP.

      [~NAT-Device] nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1
      [*NAT-Device] commit

  2. Configurare un server interno.

    [~NAT-Device] nat server global 11.11.11.6 inside 192.168.1.2
    [~NAT-Device] commit

  3. Configurare un criterio di distribuzione NAT.

    • Configurare una regola di classificazione del traffico basata su ACL. Configurare un ACL numerato 3001 e una regola numerata 1 per un host di rete privata per accedere al server interno utilizzando l'indirizzo IP di 11.11.11.6. ACL viene utilizzato per consentire a GE0/2/0 di eseguire NAT solo per servizi avviati all'interno della rete privata.
    • Configurare un ACL numerato 3002, una regola ACL numerata 2 e una regola di classificazione del traffico basata su ACL per consentire a host di rete privata di accedere a Internet.
    [~NAT-Device] acl 3001
    [*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 0
    [*NAT-Device-acl4-advance-3001] commit
    [~NAT-Device-acl4-advance-3001] quit
    [~NAT-Device] acl 3002
    [*NAT-Device-acl4-advance-3002] rule 2 permit ip
    [*NAT-Device-acl4-advance-3002] commit
    [~NAT-Device-acl4-advance-3002] quit

  4. Applicare il criterio di distribuzione NAT.

    • Applicare la politica di classificazione del traffico con ACL 3001 alla vista di GE0/2/0.
    • Applicare la politica di classificazione del traffico con ACL 3002 alla vista di GE0/2/1.
    [~NAT-Device] interface gigabitEthernet 0/2/0
    [~NAT-Device-GigabitEthernet0/2/0] ip address 192.168.1.1 24
    [*NAT-Device-GigabitEthernet0/2/0] nat bind acl 3001 instance nat1
    [*NAT-Device-GigabitEthernet0/2/0] commit
    [~NAT-Device-GigabitEthernet0/2/0] quit
    [~NAT-Device] interface gigabitEthernet 0/2/1
    [*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3002 instance nat1
    [*NAT-Device-GigabitEthernet0/2/1] commit
    [~NAT-Device-GigabitEthernet0/2/1] quit

  5. Configurare un instradamento predefinito come un instradamento statico e impostare l'indirizzo hop successivo dell'instradamento predefinito su 11.11.11.2.

    [~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 11.11.11.2
    [*NAT-Device] commit

  6. Verificare la configurazione.

    # Eseguire il comando display nat server-map per visualizzare le informazioni sul server interno.

    [~NAT-Device] display nat server-map
    This operation will take a few minutes. Press 'Ctrl+C' to break ...                                                                 
    Slot: 9
    Total number:  2.                                                                                                                   
      NAT Instance: nat1                                                                                                                
      Protocol:ANY, VPN:--->-                                                                                                           
      Server:192.168.1.2[11.1.1.6]->ANY                                                                                                 
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.1.2                                                                                                                
                                                                                                                                        
      NAT Instance: nat1                                                                                                                
      Protocol:ANY, VPN:--->-                                                                                                           
      Server reverse:ANY->11.1.1.6[192.168.1.2]                                                                                         
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.1.2                        
      ---------------------------------------------------------------------------

File di configurazione di NAT-Device
# 
sysname NAT-Device 
# 
nat instance nat1 id 1 simple-configuration                                                                                                              
#
nat address-group 1 group-id 1 unnumbered interface GigabitEthernet 0/2/1
#
nat server global 11.11.11.6 inside 192.168.1.2                                                         
#
acl number 3001
 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 0
#
acl number 3002
 rule 2 permit ip  
# 
interface GigabitEthernet 0/2/0 
 undo shutdown 
 ip address 192.168.1.1 255.255.255.0
 nat bind acl 3001 instance nat1 
# 
interface GigabitEthernet 0/2/1 
 undo shutdown 
 ip address 11.11.11.1 255.0.0.0
 nat bind acl 3002 instance nat1
#                                                                               
ip route-static 0.0.0.0 0.0.0.0 11.11.11.2
#
return

Esempio per la configurazione di NAT e un server interno

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

In Figura 1-39, l'indirizzo IP privato 192.168.0.100/24 e la porta 8080 sono assegnati a un server Web per fornire i servizi Web. L'indirizzo IP pubblico del server Web è 11.1.1.3/24 e il nome del dominio è www.TestNat.com. L'interfaccia in uscita GE0/2/1 di NAT-Device è 11.1.1.2/24 e l'indirizzo IP del gateway LAN-side è 192.168.0.1. L'impresa non ha altri indirizzi IP pubblici. L'indirizzo IP del dispositivo peer sul lato del corriere è 11.1.1.1/24. L'impresa tenta di utilizzare il server Web di una rete privata per fornire servizi Web per gli utenti di Internet e consentire agli utenti della rete privata di accedere a Internet. Gli utenti della rete privata possono anche accedere al server web della rete privata tramite un server DNS su Internet.

I requisiti di configurazione sono i seguenti:
  • I PC solo sul segmento di rete di 192.168.0.200/24 possono accedere a Internet.
  • NAT-Device utilizza l'indirizzo IP pubblico di un'interfaccia pubblica e l'indirizzo IP pubblico di un server interno. Non vengono utilizzati altri indirizzi IP pubblici.
  • Gli utenti della rete pubblica accedono al server Web interno all'indirizzo 192.168.0.100/24 utilizzando l'indirizzo IP pubblico di 11.1.1.3/24 e il nome di dominio di www.TestNat.com.
  • Gli utenti della rete privata accedono al server Web interno all'indirizzo 192.168.0.100/24 utilizzando l'indirizzo IP pubblico di 11.1.1.3/24 e il nome di dominio di www.TestNat.com.
Figura 1-39  Configurare NAT e un server interno
NOTA:

In questo esempio, interface1 e interface2 sono GE0/2/0 e GE0/2/1, rispettivamente.



Roadmap di configurazione

La roadmap di configurazione è seguente:

  1. Configurare le funzioni NAT di base.
  2. Configurare un server interno.
  3. Configurare la mappatura DNS.
  4. Attivare la funzione NAT ALG per il protocollo DNS.
  5. Configurare un criterio di distribuzione NAT.
  6. Applicare il criterio di distribuzione NAT.
  7. Configurare gli instradamenti statici.
Preparazione dei dati

Per completare la configurazione, sono necessari i seguenti dati:

  • Nome istanza NAT (nat1) e indice (1)
  • Nome pool di indirizzi NAT di NAT-Device ((address-group1), numero di pool di indirizzi (1) e intervallo indirizzi IP in modalità easy IP
  • Numero ACL (3001)
  • Nome(GE0/2/1) e indirizzo IP (11.1.1.2/24) di un'interfaccia a cui viene applicato un criterio di distribuzione NAT.

Procedura

  1. Configurare le funzioni NAT di base.
    1. Creare un'istanza NAT denominata nat1.

      <HUAWEI> system-view
      [~HUAWEI] sysname NAT-Device
      [*HUAWEI] commit
      [~NAT-Device] nat instance nat1 id 1 simple-configuration
      [*NAT-Device-nat-instance-nat1] commit
      [~NAT-Device-nat-instance-nat1] quit

    2. Assegnare un indirizzo IP a un'interfaccia in uscita.

      [~NAT-Device] interface gigabitEthernet 0/2/1
      [~NAT-Device-GigabitEthernet0/2/1] ip address 11.1.1.2 24
      [*NAT-Device-GigabitEthernet0/2/1] commit
      [~NAT-Device-GigabitEthernet0/2/1] quit

    3. Configurare un pool di indirizzi NAT in modalità easy IP.

      [~NAT-Device] nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1
      [*NAT-Device] commit

  2. Configurare un server interno.

    [~NAT-Device] nat server protocol tcp global 11.1.1.3 www inside 192.168.0.100 8080
    [~NAT-Device] commit

  3. Configurare la mappatura DNS tra il nome di dominio DNS di www.TestNat.com, l'indirizzo IP pubblico di 11.1.1.3 e l'indirizzo IP privato di 192.168.0.100.

    [~NAT-Device] nat instance nat1
    [~NAT-Device-nat-instance-nat1] nat dns-mapping domain www.TestNat.com global-address 11.1.1.3 inside-address 192.168.0.100
    [*NAT-Device-nat-instance-nat1] commit
    [~NAT-Device-nat-instance-nat1] quit

  4. Attivare la funzione NAT ALG per il protocollo DNS.

    [~NAT-Device] nat instance nat1
    [~NAT-Device-nat-instance-nat1] nat alg dns
    [*NAT-Device-nat-instance-nat1] commit
    [~NAT-Device-nat-instance-nat1] quit

  5. Configurare un criterio di distribuzione NAT. Configurare un ACL numerato 3001, una regola ACL numerata 1 e una regola di classificazione del traffico basata su ACL per consentire agli host solo un indirizzo di segmento di rete di 192.168.0.200/24 di accedere a Internet.

    [~NAT-Device] acl 3001
    [*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.0.200 0.0.0.255
    [*NAT-Device-acl4-advance-3001] commit
    [~NAT-Device-acl4-advance-3001] quit

  6. Applicare il criterio di distribuzione NAT. Applicare la regola di classificazione del traffico basata su ACL alla vista dell'interfaccia in uscita denominata GE0/2/1.

    [~NAT-Device] interface gigabitEthernet 0/2/1
    [~NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
    [*NAT-Device-GigabitEthernet0/2/1] commit
    [~NAT-Device-GigabitEthernet0/2/1] quit

  7. Configurare un instradamento predefinito come un instradamento statico e impostare l'indirizzo hop successivo dell'instradamento predefinito su 11.1.1.1.

    [~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 11.1.1.1
    [*NAT-Device] commit

  8. Verificare la configurazione.

    # Eseguire il comando display nat server-map per visualizzare le informazioni sul server interno.

    [~NAT-Device] display nat server-map
    This operation will take a few minutes. Press 'Ctrl+C' to break ...                                                                 
    Slot: 9
    Total number:  2.                                                                                                                   
      NAT Instance: nat1                                                                                                                
      Protocol:TCP, VPN:--->-                                                                                                           
      Server:192.168.0.100:8080[11.1.1.3:80]->ANY                                                                                     
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.0.100                                                                                                              
                                                                                                                                        
      NAT Instance: nat1                                                                                                                
      Protocol:TCP, VPN:--->-                                                                                                           
      Server reverse:ANY->11.1.1.3:80[192.168.0.100:8080]                                                                             
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:192.168.0.100                                   
      ---------------------------------------------------------------------------

File di configurazione di NAT-Device
# 
sysname NAT-Device 
# 
nat instance nat1 id 1 simple-configuration                                                                                                              
#
nat address-group 1 group-id 1 unnumbered interface GigabitEthernet0/2/1                                                           
#
nat server protocol tcp global 11.1.1.3 www inside 192.168.0.100 8080                                                            
#
nat instance nat1
 nat alg dns                                                                                                                        
 nat dns-mapping domain www.TestNat.com global-address 11.1.1.3 inside-address 192.168.0.100      
#
acl number 3001 
 rule 1 permit ip source 192.168.0.200 0.0.0.255 
# 
interface GigabitEthernet 0/2/1
 undo shutdown 
 ip address 11.1.1.2 24
 nat bind acl 3001 instance nat1 
#
ip route-static 0.0.0.0 0.0.0.0 11.1.1.1
#
return

Esempio per la configurazione di NAT statico 1:1

Prodotti e versioni applicabili

Questo esempio di configurazione si applica ai prodotti della serie NE20E-S con V800R010C00 o versioni successive.

Requisiti di rete

In Figura 1-40, l'interfaccia in uscita GE0/2/1 di NAT-Device è 1.1.1.2/24 e l'indirizzo IP del gateway lato LAN è 192.168.0.1/24. L'indirizzo IP del dispositivo peer carrier è 1.1.1.1/24. L'indirizzo IP privato di host è 192.168.0.2/24 ed è mappato su un indirizzo IP fisso di 1.1.1.3/24 per l'elaborazione NAT. L'indirizzo IP privato deve essere tradotto nell'indirizzo IP pubblico all'interno di Internet per connettersi alla WAN.

Figura 1-40  Configurazione di NAT statica 1:1
NOTA:

In questo esempio, interface1 e interface2 sono GE0/2/0 e GE0/2/1, rispettivamente.



Roadmap di configurazione
La roadmap di configurazione è seguente:
  1. Configurare le funzioni NAT di base.
  2. Configurare un server interno.
  3. Configurare un criterio di distribuzione NAT.
  4. Applicare il criterio di distribuzione NAT.
  5. Configurare gli instradamenti statici.
Preparazione dei dati
Per completare la configurazione, sono necessari i seguenti dati:
  • Nome istanza NAT (nat1) e indice (1)
  • Numero ACL (3001)
  • Nome(GE0/2/1) e indirizzo IP (1.1.1.2/24) di un'interfaccia a cui viene applicato un criterio di distribuzione NAT.
  • Indirizzo IP privato del server interno (192.168.0.2) e indirizzo IP pubblico (1.1.1.3)

Procedura

  1. Configurare le funzioni NAT di base.
    1. Creare un'istanza NAT denominata nat1.

      <HUAWEI> system-view
      [~HUAWEI] sysname NAT-Device
      [*HUAWEI] commit
      [~NAT-Device] nat instance nat1 id 1 simple-configuration
      [*NAT-Device-nat-instance-nat1] commit
      [~NAT-Device-nat-instance-nat1] quit

    2. Configurare un pool di indirizzi NAT e specificare un intervallo di indirizzi IP da 11.11.11.101 a 11.11.11.105 nel pool.

      [~NAT-Device] nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105
      [*NAT-Device] commit

  2. Configurare un server interno nella mappatura NAT statico 1:1. Impostare l'indirizzo IP privato del server interno su 192.168.0.21 e l'indirizzo IP pubblico su 1.1.1.3.

    [*NAT-Device] nat server global 1.1.1.3 inside 192.168.0.2
    [*NAT-Device] commit

  3. Configurare un criterio di distribuzione NAT. Configurare un ACL numerato 3001, una regola ACL numerata 1 e una regola di classificazione del traffico basata su ACL per consentire agli host solo un indirizzo di segmento di rete di 192.168.0.2/24 di accedere a Internet.

    [~NAT-Device] acl 3001
    [*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.0.0 0.0.0.255
    [*NAT-Device-acl4-advance-3001] commit
    [~NAT-Device-acl4-advance-3001] quit

  4. Applicare il criterio di distribuzione NAT. Applicare la regola di classificazione del traffico basata su ACL alla vista dell'interfaccia in uscita denominata GE0/2/1.

    [~NAT-Device] interface gigabitEthernet 0/2/1
    [~NAT-Device-GigabitEthernet0/2/1] ip address 1.1.1.2 24
    [*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
    [*NAT-Device-GigabitEthernet0/2/1] commit
    [~NAT-Device-GigabitEthernet0/2/1] quit

  5. Configurare un instradamento predefinito come un instradamento statico e impostare l'indirizzo hop successivo dell'instradamento predefinito su 1.1.1.1.

    [~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
    [*NAT-Device] commit

  6. Verificare la configurazione.

    # Eseguire il comando display nat server-map per visualizzare le voci di server-map di tutti gli utenti.

    [~NAT-Device] display nat server-map
    This operation will take a few minutes. Press 'Ctrl+C' to break ...              
    Slot: 9 
    Total number:  2.
      NAT Instance: nat1           
      Protocol:ANY, VPN:--->-    
      Server:192.168.0.2[1.1.1.3]->ANY
      Tag:0x0, TTL:-, Left-Time:-
      CPE IP:192.168.0.2           
                                 
      NAT Instance: nat1           
      Protocol:ANY, VPN:--->-    
      Server reverse:ANY->1.1.1.3[192.168.0.2]
      Tag:0x0, TTL:-, Left-Time:-
      CPE IP:192.168.0.2

File di configurazione di NAT-Device
# 
sysname NAT-Device 
# 
nat instance nat1 id 1 simple-configuration             
#
nat address-group address-group1 group-id 1 11.11.11.101 11.11.11.105      
#
nat server global 1.1.1.3 inside 192.168.0.2
#
acl number 3001 
 rule 1 permit ip source 192.168.0.0 0.0.0.255
# 
interface GigabitEthernet 0/2/1 
 undo shutdown 
 ip address 1.1.1.2 255.255.255.0 
 nat bind acl 3001 instance nat1 
#
ip route-static 0.0.0.0 0.0.0.0 1.1.1.1
#
return
Download
Updated: 2019-05-16

N. documento: EDOC1100082601

Visualizzazioni:850

Download: 2

Average rating:
This Document Applies to these Products
Documenti correlati
Related Version
Share
Precedente Avanti