配置公私网一对一的NAT内部服务器示例（入接口引流方式）

NE40E-M2K V800R010C10SPC500 配置指南 - IPv6过渡技术 01

本文档是NE40E-M2K V800R010C10SPC500 配置指南 - IPv6过渡技术

评分并提供意见反馈 :

华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言，希望能帮助您更容易理解此文档的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。华为对于翻译的准确性不承担任何责任，并建议您参考英文文档（已提供链接）。

配置公私网一对一的NAT内部服务器示例（入接口引流方式）

介绍公私网一对一的NAT内部服务器的配置示例，通过指定NAT内部服务器，在业务板上配置内部服务器私网IP/端口对与公网IP/端口对的映射项，可以使外部主机访问私网内的服务器。

组网需求

如图2-6所示，一个公司内部网络的计算机通过NE40E的网络地址转换功能连接到Internet。NE40E通过以太网接口GE0/2/0与内部网络连接，通过接口GE0/3/0连接到Internet。

公司内部网址为192.168.0.0/16。其中，内部服务器地址为192.168.10.10/24。内部192.168.10.0/24网段的计算机可以访问Internet，其它网段的计算机则不能访问Internet。外部的PC可以访问内部的服务器。公司具有11.34.160.101/24至11.34.160.105/24共五个合法的IP地址。同时，公司内部服务器拥有一个单独的公网地址11.34.160.100，通过一对一的NAT公私网转换，外网200.168.1.2可以访问该内部服务器。

图2-6 NAT内部服务器组网图

说明：

本例的配置主要在NAT A，Device B设备上进行。

本例中的interface1、interface2、interface3分别代表GE0/2/0、GE0/3/0、GE0/3/0。

配置思路

采用如下思路配置NAT内部服务器：

配置NAT的基本功能；
配置NAT的引流策略；
配置NAT内部服务器。

数据准备

为完成此配置例，需准备如下数据：

VSM HA备份组的索引号1
VSM HA业务实例组的名称group1
NAT实例的名称nat1和索引号1
NAT A设备的NAT转换地址池名称address-group1、地址池编号1、IP地址段从11.34.160.101到11.34.160.105
ACL编号3001
流分类的名称classifier1
流行为的名称behavior1
流策略的名称policy1
应用NAT引流策略的接口号GE0/2/0以及接口下的IP地址192.168.10.1/24
NAT内部服务器的私网IP地址192.168.10.10以及公网IP地址11.34.160.100

操作步骤

配置NAT的基本功能。

创建NAT实例nat1，并将业务板绑定到NAT实例。

<HUAWEI> system-view
[~HUAWEI] sysname NATA
[*HUAWEI] commit
[~NATA] service-location 1
[*NATA-service-location-1] location slot 3
[*NATA-service-location-1] commit
[~NATA-service-location-1] quit
[~NATA] service-instance-group group1
[*NATA-service-instance-group-group1] service-location 1
[*NATA-service-instance-group-group1] commit
[~NATA-service-instance-group-group1] quit
[~NATA] nat instance nat1 id 1
[*NATA-nat-instance-nat1] service-instance-group group1
[*NATA-nat-instance-nat1] commit
[~NATA-nat-instance-nat1] quit

配置NAT地址池，地址池范围从11.34.160.101到11.34.160.105。

[~NATA] nat instance nat1
[~NATA-nat-instance-nat1] nat address-group address-group1 group-id 1 11.34.160.101 11.34.160.105
[*NATA-nat-instance-nat1] commit
[~NATA-nat-instance-nat1] quit

配置NAT的引流策略。

配置基于ACL 3001的流分类规则。

配置ACL的规则1：只有内部网段地址为192.168.10.0/24的主机可以访问Internet。

[~NATA] acl 3001
[*NATA-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
[*NATA-acl4-advance-3001] commit
[~NATA-acl4-advance-3001] quit

配置流分类classifier1，定义基于ACL的匹配规则。

[~NATA] traffic classifier classifier1
[*NATA-classifier-classifier1] if-match acl 3001
[*NATA-classifier-classifier1] commit
[~NATA-classifier-classifier1] quit

定义流行为behavior1，配置流量动作为绑定NAT实例。

[~NATA] traffic behavior behavior1
[*NATA-behavior-behavior1] nat bind instance nat1
[*NATA-behavior-behavior1] commit
[~NATA-behavior-behavior1] quit

定义NAT策略policy1，将所有应用的ACL规则和动作进行关联。

[~NATA] traffic policy policy1
[*NATA-trafficpolicy-policy1] classifier classifier1 behavior behavior1
[*NATA-trafficpolicy-policy1] commit
[~NATA-trafficpolicy-policy1] quit

在接口视图下应用NAT引流策略。

[~NATA] interface gigabitEthernet 0/2/0
[~NATA-GigabitEthernet0/2/0] ip address 192.168.10.1 24
[*NATA-GigabitEthernet0/2/0] traffic-policy policy1 inbound
[*NATA-GigabitEthernet0/2/0] commit
[~NATA-GigabitEthernet0/2/0] quit

配置GE0/3/0接口的IP地址。

[~NATA] interface gigabitEthernet 0/3/0
[*NATA-GigabitEthernet0/3/0] ip address 173.21.1.1 24
[*NATA-GigabitEthernet0/3/0] commit
[~NATA-GigabitEthernet0/3/0] quit

定义内部服务器地址192.168.10.10，对外地址使用11.34.160.100，采用地址级的方式保证公私网是一对一的关系。

[~NATA] nat instance nat1
[~NATA-nat-instance-nat1] nat server global 11.34.160.100 inside 192.168.10.10
[*NATA-nat-instance-nat1] commit
[~NATA-nat-instance-nat1] quit

验证配置结果。

# 查看所有用户的server-map表项信息。

<NATA> display nat server-map
This operation will take a few minutes. Press 'Ctrl+C' to break ...
Slot: 3 
Total number:  2.
  NAT Instance: nat1                                                                                                                  
  Protocol:ANY, VPN:--->-                                                                                                           
  Server:192.168.10.10[11.34.160.100]->ANY                                                                                                  
  Tag:0x0, TTL:-, Left-Time:-                                                                                                       
  CPE IP:192.168.10.10                                                                                                                  
                                                                                                                                    
  NAT Instance: nat1                                                                                                                  
  Protocol:ANY, VPN:--->-                                                                                                           
  Server reverse:ANY->11.34.160.100[192.168.10.10]                                                                                          
  Tag:0x0, TTL:-, Left-Time:-                                                                                                       
  CPE IP:192.168.10.10

配置文件

NAT A的配置文件。

#
 sysname NATA
#
service-location 1
 location slot 3
#
service-instance-group group1
 service-location 1
#
nat instance nat1 id 1
 service-instance-group group1
 nat address-group address-group1 group-id 1 11.34.160.101 11.34.160.105 
 nat server global 11.34.160.100 inside 192.168.10.10
#
acl number 3001
 rule 1 permit ip source 192.168.10.0 0.0.0.255
#
traffic classifier classifier1 operator or
 if-match acl 3001
#
traffic behavior behavior1
 nat bind instance nat1
#
traffic policy policy1
 classifier classifier1 behavior behavior1 precedence 1
#
interface GigabitEthernet 0/2/0
 undo shutdown
 ip address 192.168.10.1 255.255.255.0
 traffic-policy policy1 inbound
#
interface GigabitEthernet 0/3/0
 undo shutdown
 ip address 173.21.1.1 255.255.255.0
#
ospf 1
 area 0.0.0.0
  network 173.21.1.0 0.0.0.255
#
 return

Device B的配置文件。

#
 sysname DeviceB
#
interface GigabitEthernet 0/3/0
 undo shutdown
 ip address 173.21.1.2 255.255.255.0
#
ospf 1
 area 0.0.0.0
  network 173.21.1.0 0.0.0.255
  network 200.168.1.0 0.0.0.255
#
interface GigabitEthernet 0/2/0
 undo shutdown
 ip address 200.168.1.1 255.255.255.0
#
 return

下载文档

更新时间：2019-01-03

文档编号：EDOC1100058752

浏览量：9965

下载量：49

平均得分:

本文档适用于这些产品