高分 求解华为路由器NAT

发布网友 发布时间：2022-04-26 08:52

我来回答

共2个回答

热心网友 时间：2022-04-12 21:37

1、网络环境： 内网用户IP地址为10.83.91.0/255.255.254.0，也就是说IP地址为两个C类地址，涵盖范围为10.83.91.0到10.83.92.255。路由器使用的是华为公司出品的2621产品，该产品有两个以太网口供我们使用。网口一连接*，IP地址为公网地址；网口二连接内网，IP地址为私网地址。 2、配置过程： 公司希望在路由器上配置NAT功能，让内网中的用户使用NAT访问*。2621路由器上已经配置了*接口IP为61.51.3.103(公网IP地址），内网接口IP地址为10.83.91.254。NAT配置命令如下，笔者将一一做详细注释。 “acl 1” 命令解释：设置一个访问控制列表，列表号为1。 “rule normal permit source 10.83.91.254 0.0.1.255” 命令解释：为访问控制列表添加规则，容许10.83.91.254/255.255.254.0这个网段的所有地址通过。注意一点的是命令中使用的是0.0.1.255这样的反向掩码形式，实际上他代表子网掩码为255.255.254.0。 “nat outbound 1 interface” 命令解释：在NAT出口接口上进行设置，即*接口，启用NAT功能。容许NAT的主机为访问控制列表1中规定的地址。 小提示：华为路由器启用NAT功能时使用了一种称作EASYIP的技术，可以让内网IP映射为路由器的*接口IP地址，从而让多个内网IP地址对应一个公网IP，这个技术可以在数量上节省一个公网IP地址。 3、附属功能： 有的公司可能有专门的WWW服务器或MAIL服务器，对于这些服务器来说不能使用NAT进行映射，因为NAT后如果没有采用其他诸如端口映射的方法*用户是不能正常访问WWW和MAIL服务器的。这时可以在路由器上使用nat server命令解决这个问题，对主机进行宣告。例如上面的公司如果其WWW服务器的IP地址内网是10.83.91.2，公网发布地址为61.51.3.104的话，可以使用如下命令宣告：“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。 总结：笔者在公司的2621上配置了NAT后网络运行非常稳定，不过配置时要注意以下几点，一是设置访问控制列表时一定要设置相应的规则，如果ACL是空或者规则采用permit any都会造成NAT的失效，因为路由器将不知道哪个接口为NAT*接口，哪个是内网接口。 nat address-group 1 218.249.xxx.xxx 218.249.xxx.xxx
#
dhcp server ip-pool 0
network 192.168.0.0 mask 255.255.255.0
gateway-list 192.168.0.1
dns-list 211.94.65.97
#
interface Ethernet1/0
ip address 192.168.0.1 255.255.255.0
ip address 218.249.xxx.xxx 255.255.255.240 sub
#
interface Ethernet2/0
speed 10
plex full
ip address 172.30.161.10 255.255.255.252
nat outbound 2000 address-group 1
#
interface NULL0
#
acl number 2000
rule 0 permit source 192.168.0.0 0.0.0.255
rule 1 deny
#
ip route-static 0.0.0.0 0.0.0.0 172.30.161.9 preference 60

这两个都是网上找的，呵呵自己懒的打了，你要问什么具体点么，我一个一个给你回答^^

热心网友 时间：2022-04-12 22:55

地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 2001 ;内部指定主机可以进入e0
[Quidway-acl-basic-2001]rule deny ip source any destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-basic-2001]quit
[Quidway]int e0/0
[Quidway-Ethernet0]firewall packet-filter 2001 inbound[Quidway]acl 3002 ;外部特定主机和大于1024端口的数据包允许进入S0
[Quidway-acl-adv-3002]rule deny ip source any destination any
[Quidway-acl-adv-3002]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-adv-3002]rule permit tcp source any destination 202.38.160.1 0 destination-port
great-than
1024
[Quidway-acl-adv-3002]quit
[Quidway]int s0/0
[Quidway-Serial0/0]firewall packet-filter 102 inbound[Quidway-Serial0/0]nat outbound 3002 interface ;是Easy ip，将acl允许的IP从本接口出时变换源地址。内部服务器地址转换配置命令(静态nat)：
nat server global <ip> [port] inside <ip> port [protocol]
[Quidway-Serial0/0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0/0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0/0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
设有公网IP：202.38.160.101~202.38.160.103 ;对外访问
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池
[Quidway]acl 2001
[Quidway-acl-basic-2001]rule permit source 10.110.10.0 0.0.0.255 ;指定允许的内部网络
[Quidway-acl-basic-2001]rule deny source any
[Quidway-acl-basic-2001]int s0/0
[Quidway-Serial0/0]nat outbound 2001 address-group pool1 ;在s0口从地址池取出IP对外访问[Quidway-Serial0/0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0/0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0/0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0/0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp