所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - NAT与IPv6过渡技术 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置集中式NAT示例(集中板场景)

配置集中式NAT示例(集中板场景)

介绍集中式NAT功能的配置示例,实现公司内部私有地址和外部公共地址进行多对多的转换,并限定只有特定网段的PC可以访问Internet,结合配置组网图来理解业务的配置过程。

组网需求

图2-11所示,一个公司内部网络的计算机通过路由器的网络地址转换功能连接到Internet。路由器的业务板插在1号槽位上。路由器通过以太网接口2/0/0与内部网连接。路由器通过接口GE2/0/1与Internet相连,公司具有10.34.160.101/32至10.34.160.105/32共5个公网IP地址。

各接口IP地址如图2-11所示,通过配置要达到以下要求:
  • 内部网段192.168.10.0/24的计算机可以访问Internet,其它网段的计算机则不能访问Internet。
  • 实现公司内部私有地址和外部公共地址进行多对多的转换。
图2-11  NAT基本应用组网图
说明:

本例中的interface1、interface2分别代表GE2/0/0、GE2/0/1


配置思路

采用如下思路配置集中式NAT。

  1. 配置NAT基本功能。
  2. 配置NAT引流策略。

数据准备

为完成此配置例,需要准备如下的数据:
  • VSM HA备份组的索引号1

  • NAT A设备业务板上的槽位号(场景需求中已指明为1号槽位号)

  • VSM HA业务实例组的名称group1

  • NAT实例的名称nat1和索引号1

  • NAT A设备的NAT转换地址池名称address-group1、地址池编号1、IP地址段从10.34.160.101到10.34.160.105

  • ACL的名称3001

  • 流分类的名称classifier1

  • 流行为的名称behavior1

  • 流策略的名称policy1

  • 应用NAT引流策略的接口号以及接口下的IP地址

操作步骤

  1. 配置NAT基本功能。
    1. 对于VSUF-80/VSUF-160,配置1号业务板的会话表资源为6M。

      <HUAWEI> system-view
      [~HUAWEI] sysname NATA
      [*HUAWEI] commit
      [~NATA] license
      [*NATA-license] active nat session-table size 6 slot 1 card 0
      [*NATA-license] commit
      [~NATA-license] quit

    2. 创建NAT实例nat1,并将业务板绑定到NAT实例。

      [~NATA] service-location 1
      [*NATA-service-location-1] location slot 1 card 0
      [*NATA-service-location-1] commit
      [~NATA-service-location-1] quit
      [~NATA] service-instance-group group1
      [*NATA-service-instance-group-group1] service-location 1
      [*NATA-service-instance-group-group1] commit
      [~NATA-service-instance-group-group1] quit
      [~NATA] nat instance nat1 id 1
      [*NATA-nat-instance-nat1] service-instance-group group1
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

    3. 配置NAT地址池,地址池范围从10.34.160.101到10.34.160.105。

      [~NATA] nat instance nat1
      [~NATA-nat-instance-nat1] nat address-group address-group1 group-id 1 10.34.160.101 10.34.160.105
      [*NATA-nat-instance-nat1] commit
      [~NATA-nat-instance-nat1] quit

  2. 配置NAT的引流策略。

    请根据实际情况,选择NAT入接口引流策略和NAT出接口引流策略的一种。
    说明:

    NAT入接口引流策略和NAT出接口引流策略不能同时应用在同一设备上。

    • 应用NAT入接口引流策略。
      1. 配置基于ACL流分类规则,地址访问控制列表号为3001,ACL规则的编号为1,只有内部网段地址为192.168.10.0/24的主机可以访问Internet。
        [~NATA] acl 3001
        [*NATA-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
        [*NATA-acl4-advance-3001] commit
        [~NATA-acl4-advance-3001] quit
      2. 配置流分类。
        [~NATA] traffic classifier classifier1
        [*NATA-classifier-classifier1] if-match acl 3001
        [*NATA-classifier-classifier1] commit
        [~NATA-classifier-classifier1] quit
      3. 定义流行为behavior1,配置流量动作为绑定NAT实例nat1。
        [~NATA] traffic behavior behavior1
        [*NATA-behavior-behavior1] nat bind instance nat1
        [*NATA-behavior-behavior1] commit
        [~NATA-behavior-behavior1] quit
      4. 定义NAT策略policy1,将所有应用的ACL规则和动作进行关联。
        [~NATA] traffic policy policy1
        [*NATA-trafficpolicy-policy1] classifier classifier1 behavior behavior1
        [*NATA-trafficpolicy-policy1] commit
        [~NATA-trafficpolicy-policy1] quit
      5. 在接口GE2/0/0视图下应用NAT引流策略。
        [~NATA] interface gigabitEthernet 2/0/0
        [~NATA-GigabitEthernet2/0/0] ip address 192.168.10.1 24
        [*NATA-GigabitEthernet2/0/0] traffic-policy policy1 inbound
        [*NATA-GigabitEthernet2/0/0] commit
        [~NATA-GigabitEthernet2/0/0] quit
    • 应用NAT出接口引流策略。
      1. 配置基于ACL流分类规则,地址访问控制列表号为3001,ACL规则的编号为1,只有内部网段地址为192.168.10.0/24的主机可以访问Internet。
        [~NATA] acl 3001
        [*NATA-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
        [*NATA-acl4-advance-3001] commit
        [~NATA-acl4-advance-3001] quit
      2. 在接口GE2/0/1视图下应用ACL用户的流分类策略。
        [~NATA] interface gigabitEthernet 2/0/1
        [~NATA-GigabitEthernet2/0/1] ip address 10.2.3.4 24
        [*NATA-GigabitEthernet2/0/1] nat bind acl 3001 instance nat1
        [*NATA-GigabitEthernet2/0/1] commit
        [~NATA-GigabitEthernet2/0/1] quit

  3. 配置NAT转换策略。

    [~NATA] nat instance nat1
    [~NATA-nat-instance-nat1] nat outbound 3001 address-group address-group1
    [*NATA-nat-instance-nat1] commit
    [~NATA-nat-instance-nat1] quit
    说明:

    VSUF-80/VSUF-160业务板上需要配置nat outbound { acl-number | any } address-group address-group-name命令,在LPUF-51-E/LPUI-51-E/LPUI-51-S业务板上不需要配置该命令。

  4. 验证配置结果。

    # 查看NAT用户的信息。

    [~NATA] display nat user-information slot 1 verbose
    This operation will take a few minutes. Press 'Ctrl+C' to break ...             
    Slot: 1                                                                
    Total number:  1.                                                          
      ---------------------------------------------------------------------------                                                       
      User Type                             :  NAT444                                                                                   
      CPE IP                                :  192.168.10.100                                                                                 
      User ID                               :  -                                                                                        
      VPN Instance                          :  -                                                                                        
      Address Group                         :  address-group1                                                                                       
      NAT Instance                          :  nat1                                                                                       
      Public IP                             :  10.34.160.101                                                                                
      Total/TCP/UDP/ICMP Session Limit      :  0/0/0/0                                                                                  
      Total/TCP/UDP/ICMP Session Current    :  64511/0/64511/0                                                                          
      Total/TCP/UDP/ICMP Rev Session Limit  :  8192/10240/10240/512                                                                     
      Total/TCP/UDP/ICMP Rev Session Current:  0/0/0/0                                                                                  
      Nat ALG Enable                        :  NULL                                                                                     
      Aging Time(s)                         :  -                                                                                        
      Left Time(s)                          :  -                                                                                        
      Session Limit Discard Count           :  0                                                                                        
      -->Transmit Packets                   :  9753259                                                                                  
      -->Transmit Bytes                     :  1111770864                                                                               
      -->Drop Packets                       :  0                                                                                        
      <--Transmit Packets                   :  0                                                                                        
      <--Transmit Bytes                     :  0                                                                                        
      <--Drop Packets                       :  0                                                                                        
      --------------------------------------------------------------------------- 

配置文件

  • 对于NAT入接口引流策略,NAT A设备的配置文件

    #
    sysname NATA
    #
    license
     active nat session-table size 6 slot 1 card 0 
    #
    
    service-location 1      
     location slot 1 card 0
    #
    service-instance-group group1      
     service-location 1      
    #
    nat instance nat1 id 1      
     service-instance-group group1      
     nat address-group address-group1 group-id 1 10.34.160.101 10.34.160.105     
     nat outbound 3001 address-group address-group1 
    #
    acl 3001
     rule 1 permit ip source 192.168.10.0 0.0.0.255
    #
    traffic classifier classifier1
     if-match acl 3001
    #
    traffic behavior behavior1
     nat bind instance nat1
    #
    traffic policy policy1
     classifier classifier1 behavior behavior1
    #
    interface GigabitEthernet 2/0/0
     undo shutdown
     ip address 192.168.10.1 255.255.255.0
     traffic-policy policy1 inbound
    #
    return
    
  • 对于NAT出接口引流策略,NAT A设备的配置文件

    #
    sysname NATA
    #
    license
     active nat session-table size 6 slot 1
    #
    service-location 1      
     location slot 1 card 0
    #
    service-instance-group group1      
     service-location 1      
    #
    nat instance nat1 id 1      
     service-instance-group group1      
     nat address-group address-group1 group-id 1 10.34.160.101 10.34.160.105     
     nat outbound 3001 address-group address-group1 
    #
    acl 3001
     rule 1 permit ip source 192.168.10.0 0.0.0.255
    #
    interface GigabitEthernet 2/0/1
     undo shutdown
     ip address 10.2.3.4 255.255.255.0
     nat bind acl 3001 instance nat1
    #
    return
    
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028549

浏览量:20176

下载量:206

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页