所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - NAT与IPv6过渡技术 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置双向NAT示例(集中板场景)

配置双向NAT示例(集中板场景)

介绍针对企业网出口路由器的双向NAT功能的配置示例,实现对企业内部数据完全保密,出口对源和目的都做NAT转换,内部服务器完全不对外体现。请结合配置组网图来理解业务的配置过程。

组网需求

图2-14所示,服务器A和服务器B为了隐藏自身的实际IP地址,通过NE40E的地址转换功能实现服务器A和服务器B通过转换后的对外公布的地址进行通讯。即当服务器A访问服务器B时,报文源IP地址为10.78.1.2,目的IP为服务器B的对外公布的地址10.23.23.20,而服务器B访问服务器A时,源IP地址为10.67.1.2,目的IP为服务器A的对外公布的地址10.23.23.21。

图2-14  双向NAT基本应用组网图
说明:

本例中的interface1和interface2分别代表GE1/0/1、GE1/0/0


配置思路

配置双向NAT的思路如下:
  1. 配置业务板的会话表资源。
  2. 创建NAT实例,并将业务板关联NAT实例;
  3. 配置NAT地址池和NAT内部服务器与公网地址的转换关系;
  4. 配置出接口NAT引流策略。

数据准备

为完成此配置例,需准备如下数据:
  • VSM HA备份组的索引号1

  • NAT A设备业务板上的槽位号

  • VSM HA业务实例组的名称group1

  • NAT实例的名称nata的索引号1和NAT实例的名称natb的索引号2

  • NAT A设备的NAT转换地址池address-groupa和address-groupb

  • 服务器A转换后的公网地址10.23.23.21和服务器B转换后的公网地址10.23.23.20

  • ACL的编号名分别为2464和2465

  • 应用NAT出接口引流策略的接口号GE1/0/1和GE1/0/0以及接口下的IP地址10.78.1.1/24和10.67.1.1/24

操作步骤

  1. 配置业务板的会话表资源。

    <HUAWEI> system-view
    [~HUAWEI] sysname NATA
    [*HUAWEI] commit
    [~NATA] license
    [~NATA-license] active nat session-table size 6 slot 1 card 0
    [~NATA-license] commit
    [~NATA-license] quit

  2. 创建NAT实例,并将业务板关联NAT实例。

    [~NATA] service-location 1
    [*NATA-service-location-1] location slot 1 card 0
    [*NATA-service-location-1] commit
    [~NATA-service-location-1] quit
    [~NATA] service-instance-group group1
    [*NATA-service-instance-group-group1] service-location 1
    [*NATA-service-instance-group-group1] commit
    [~NATA-service-instance-group-group1] quit
    [~NATA] nat instance nata id 1
    [*NATA-nat-instance-nata] service-instance-group group1
    [*NATA-nat-instance-nata] commit
    [~NATA-nat-instance-nata] quit
    [~NATA] nat instance natb id 2
    [*NATA-nat-instance-natb] service-instance-group group1
    [*NATA-nat-instance-natb] commit
    [~NATA-nat-instance-natb] quit

  3. 配置NAT地址池和NAT内部服务器与公网地址的转换关系。

    # 在NAT实例nata视图下配置地址池名为address-groupa,从10.22.22.1到10.22.22.10的地址段,指定服务器A的私网IP地址10.78.1.2转换的公网地址为10.23.23.21。

    [~NATA] nat instance nata
    [~NATA-nat-instance-nata] nat address-group address-groupa group-id 111 10.22.22.1 10.22.22.10
    [*NATA-nat-instance-nata] nat server protocol udp global 10.23.23.21 inside 10.78.1.2
    [*NATA-nat-instance-nata] commit
    [~NATA-nat-instance-nata] quit

    # 在NAT实例natb视图下配置地址池名为address-groupb,从10.22.22.11到10.22.22.20的地址段,指定服务器B的私网地址10.67.1.2转换的公网地址为10.23.23.20。

    [~NATA] nat instance natb
    [~NATA-nat-instance-natb] nat address-group address-groupb group-id 112 10.22.22.11 10.22.22.20
    [*NATA-nat-instance-natb] nat server protocol udp global 10.23.23.20 inside 10.67.1.2
    [*NATA-nat-instance-natb] commit
    [~NATA-nat-instance-natb] quit

  4. 配置出接口NAT引流策略
    1. 配置ACL规则。

      # 配置ACL规则的地址访问控制列表号为2464,ACL规则的编号为5,只有内部网段地址为10.78.1.0/24的主机可以访问Internet。

      [~NATA] acl number 2464
      [*NATA-acl4-basic-2464] rule 5 permit source 10.78.1.0 0.0.0.255
      [*NATA-acl4-basic-2464] commit
      [~NATA-acl4-basic-2464] quit

      # 配置基于ACL流分类规则,地址访问控制列表号为2465,ACL规则的编号为5,只有内部网段地址为10.67.1.0/24的主机可以访问Internet。

      [~NATA] acl number 2465
      [*NATA-acl4-basic-2465] rule 5 permit source 10.67.1.0 0.0.0.255
      [*NATA-acl4-basic-2465] commit
      [~NATA-acl4-basic-2465] quit

    2. 在接口GE1/0/0和GE1/0/1下应用出接口NAT引流策略。

      # 在接口GE1/0/0上绑定ACL编号为2464和NAT实例名为nata。

      [~NATA] interface GigabitEthernet1/0/0
      [~NATA-GigabitEthernet1/0/0] nat bind acl 2464 instance nata
      [*NATA-GigabitEthernet1/0/0] commit
      [~NATA-GigabitEthernet1/0/0] quit

      # 在接口GE1/0/1上绑定ACL编号为2465和NAT实例名为natb。

      [~NATA] interface GigabitEthernet1/0/1
      [~NATA-GigabitEthernet1/0/1] nat bind acl 2465 instance natb
      [*NATA-GigabitEthernet1/0/1] commit
      [~NATA-GigabitEthernet1/0/1] quit

  5. 配置NAT转换策略。

    # 配置NAT实例nata的转换策略。

    [~NATA] nat instance nata
    [~NATA-nat-instance-nata] nat outbound 2464 address-group address-groupa
    [*NATA-nat-instance-nata] commit
    [~NATA-nat-instance-nata] quit

    # 配置NAT实例natb的转换策略。

    [~NATA] nat instance natb
    [~NATA-nat-instance-natb] nat outbound 2465 address-group address-groupb
    [*NATA-nat-instance-natb] commit
    [~NATA-nat-instance-natb] quit
    说明:

    仅在VSUF-80/VSUF-160业务板上需要配置nat outbound { acl-number | any } address-group address-group-name命令。

  6. 检查配置结果。

    # 查看NAT用户的信息。

    [~NATA] display nat instance
    nat instance nata id 1
     service-instance-group group1
     nat address-group address-groupa group-id 111 10.22.22.1 10.22.22.10 
     nat server protocol udp global 10.23.23.21 inside 10.78.1.2
     nat outbound 2464 address-group address-groupa //在VSUF-80/VSUF-160业务板上需要执行
    nat instance natb id 2
     service-instance-group group1
     nat address-group address-groupb group-id 112 10.22.22.11 10.22.22.20 
     nat server protocol udp global 10.23.23.20 inside 10.67.1.2
     nat outbound 2465 address-group address-groupb //在VSUF-80/VSUF-160业务板上需要执行

    # 查看所有用户的server-map表项信息。

    [~NATA] display nat server-map
    This operation will take a few minutes. Press 'Ctrl+C' to break ...
    Slot: 1 
    Total number:  4.                                                                                                                   
      NAT Instance: nata                                                                                                          
      Protocol:UDP, VPN:--->-                                                                                                           
      Server:10.78.1.2[10.23.23.21]->ANY                                                                                                 
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.78.1.2                                                                                                                   
                                                                                                                                        
      NAT Instance: nata                                                                                                          
      Protocol:UDP, VPN:--->-                                                                                                           
      Server reverse:ANY->10.23.23.21[10.78.1.2]                                                                                         
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.78.1.2 
                                                                                                                                        
      NAT Instance: natb                                                                                                           
      Protocol:UDP, VPN:--->-                                                                                                           
      Server:10.67.1.2[10.23.23.20]->ANY                                                                                                 
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.67.1.2                                                                                                                   
                                                                                                                                        
      NAT Instance: natb                                                                                                           
      Protocol:UDP, VPN:--->-                                                                                                           
      Server reverse:ANY->10.23.23.20[10.67.1.2]                                                                                         
      Tag:0x0, TTL:-, Left-Time:-                                                                                                       
      CPE IP:10.67.1.2                                                                                                                   
    

配置文件

对于VSUF-80/VSUF-160,NAT A的配置文件。

#
sysname NATA
#
license
 active nat session-table size 6 slot 1 card 0
#
service-location 1
 location slot 1 card 0
#
service-instance-group group1
 service-location 1
#
nat instance nata id 1
 service-instance-group group1
 nat address-group address-groupa group-id 111 10.22.22.1 10.22.22.10 
 nat server protocol udp global 10.23.23.21 inside 10.78.1.2
 nat outbound 2464 address-group address-groupa //在VSUF-80/VSUF-160业务板上需要执行
nat instance natb id 2
 service-instance-group group1
 nat address-group address-groupb group-id 112 10.22.22.11 10.22.22.20 
 nat server protocol udp global 10.23.23.20 inside 10.67.1.2
 nat outbound 2465 address-group address-groupb //在VSUF-80/VSUF-160业务板上需要执行
#
acl number 2464
 rule 5 permit source 10.78.1.0 0.0.0.255
# 
acl number 2465
 rule 5 permit source 10.67.1.0 0.0.0.255
#
interface GigabitEthernet1/0/1
 undo shutdown
 ip address 10.78.1.1 255.255.255.0
 undo dcn
 nat bind acl 2465 instance natb
#
interface GigabitEthernet1/0/0
 undo shutdown
 ip address 10.67.1.1 255.255.255.0
 undo dcn
 nat bind acl 2464 instance nata
#
return
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028549

浏览量:20162

下载量:206

平均得分:
本文档适用于这些产品
相关文档
相关版本
Share
上一页 下一页