评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置双向NAT和NAT内部服务器综合示例
组网需求
如图2-15所示,NAT-Device的GE0/2/0连接内网,内网地址是192.168.1.1/24,NAT-Device的GE0/2/1连接外网,外网地址是11.11.11.1/8。内网服务器的内网IP为192.168.1.2/24,外网IP为11.11.11.6,需要访问内网服务器的内网主机IP为192.168.1.3/24。NAT-Device网络侧对端设备的IP地址是11.11.11.2。
现要求内网用户和外网用户可以通过公网地址11.11.11.6正常访问内网服务器。
数据准备
- NAT实例的名称nat1和索引号1
- NAT-Device的NAT转换地址池名称address-group1、地址池编号1、IP地址段采用easy-ip方式
- ACL的名称3001、3002
- 应用NAT引流策略的接口名称为GE0/2/0、GE0/2/1以及接口下的IP地址分别为192.168.1.1/24、11.1.1.1/24
操作步骤
- 配置NAT基本功能。
- 配置内部服务器。
[~NAT-Device] nat server global 11.11.11.6 inside 192.168.1.2 [~NAT-Device] commit
- 配置NAT引流策略。
- 配置基于ACL流分类规则,地址访问控制列表号为3001,ACL规则的编号为1,用于内部主机直接使用11.11.11.6访问服务器,只有内网发起的服务才会在GE0/2/0上进行NAT。
- 配置基于ACL流分类规则,地址访问控制列表号为3002,ACL规则的编号为2,用于内部主机访问Internet。
[~NAT-Device] acl 3001 [*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 0 [*NAT-Device-acl4-advance-3001] commit [~NAT-Device-acl4-advance-3001] quit [~NAT-Device] acl 3002 [*NAT-Device-acl4-advance-3002] rule 2 permit ip [*NAT-Device-acl4-advance-3002] commit [~NAT-Device-acl4-advance-3002] quit
- 应用NAT引流策略。
- 在接口GE0/2/0视图下应用ACL3001用户的流分类策略。
- 在接口GE0/2/1视图下应用ACL3002用户的流分类策略。
[~NAT-Device] interface gigabitEthernet 0/2/0 [~NAT-Device-GigabitEthernet0/2/1] ip address 192.168.1.1 24 [*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1 [*NAT-Device-GigabitEthernet0/2/1] commit [~NAT-Device-GigabitEthernet0/2/1] quit [~NAT-Device] interface gigabitEthernet 0/2/1 [*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3002 instance nat1 [*NAT-Device-GigabitEthernet0/2/1] commit [~NAT-Device-GigabitEthernet0/2/1] quit
- 配置静态路由:缺省路由,指定下一跳地址为11.11.11.2。
[~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 11.11.11.2 [*NAT-Device] commit
- 验证配置结果。
# 查看NAT server的信息。
[~NAT-Device] display nat server-map This operation will take a few minutes. Press 'Ctrl+C' to break ... Slot: 9 Total number: 2. NAT Instance: nat1 Protocol:ANY, VPN:--->- Server:192.168.1.2[11.1.1.6]->ANY Tag:0x0, TTL:-, Left-Time:- CPE IP:192.168.1.2 NAT Instance: nat1 Protocol:ANY, VPN:--->- Server reverse:ANY->11.1.1.6[192.168.1.2] Tag:0x0, TTL:-, Left-Time:- CPE IP:192.168.1.2 ---------------------------------------------------------------------------
NAT-Device的配置文件
# sysname NAT-Device # nat instance nat1 id 1 simple-configuration # nat address-group 1 group-id 1 unnumbered interface GigabitEthernet 0/2/1 # nat server global 11.11.11.6 inside 192.168.1.2 # acl number 3001 rule 1 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 0 # acl number 3002 rule 2 permit ip # interface GigabitEthernet 0/2/0 undo shutdown ip address 192.168.1.1 255.255.255.0 nat bind acl 3001 instance nat1 # interface GigabitEthernet 0/2/1 undo shutdown ip address 11.11.11.1 255.0.0.0 nat bind acl 3002 instance nat1 # ip route-static 0.0.0.0 0.0.0.0 11.11.11.2 # return
