NAT配置案例详解

内外网IP地址映射方案

一、案例拓扑图

查看各设备的IP地址配置情况看上图

二、设备配置说明

1、DNS服务器配置域名https://www.wendangku.net/doc/b214947116.html,对应IP：192.168.0.2HTTP服务器

2、HTTP服务器配置写一个html页面

HikvisionWangJie

NA T Test

---

Welcome to HangZhouHikision . Opening doors to new opportunities. Mind Wide Open.

3、内网PC的DNS服务器指向：192.168.0.3,将提交的域名做解析（下图左）

4、外网PC的DNS服务器指向：220.189.244.201就是路由器外网端口（上图右）

5、NA T配置背景

那么如果外网PC要访问https://www.wendangku.net/doc/b214947116.html,，就需要内部DNS做解析，而DNS服务器放置在DMZ 区域，加之DNS服务器的IP是私有的，公网肯定不能访问，因此需要将内网DNS服务器的IP：192.168.0.3

映射成路由器出口IP(即公网IP)220.189.244.201才能做解析。

6、路由器配置代码解释

Router>enable

Router#configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#interface fastEthernet 0/0 //进入端口

Router(config-if)#ip address 192.168.0.1 255.255.255.0 //配置IP地址

Router(config-if)#no shutdown //启用端口

Router(config-if)#exit

%LINK-5-CHANGED: Interface FastEthernet0/0, changed state to up //端口状态启动成功%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, changed state to up

Router(config)#interface fastEthernet 0/1 //进入端口

Router(config-if)#ip address 220.189.244.201 255.255.255.0 //配置IP地址

Router(config-if)#no shutdown //启用端口

Router(config-if)#exit

%LINK-5-CHANGED: Interface FastEthernet0/1, changed state to up //端口状态启动成功%LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, changed state to up

定义fastEthernet 0/0端口为内部端口

Router(config)#interface fastEthernet 0/0

Router(config-if)#ipnat inside

Router(config-if)#exit

定义fastEthernet 0/1端口为外部端口

Router(config)#interface fastEthernet 0/1

Router(config-if)#ipnat outside

Router(config-if)#exit

Router(config)#ipnat inside source static 192.168.0.3 220.189.244.201 //配置内外网IP映射

测试一：效果演示：

通过内网PC查看：

通过外网PC查看：

结果：成功将内网私有IP192.168.0.3映射为外网公有IP220.189.244.201

测试二：

如果将内网IP：192.168.0.3和外网IP220.189.244.201映射取消

代码：Router(config)#no ipnat inside source static 192.168.0.3 220.189.244.201 //取消命令前面多一个no 同样使用外网PC访问https://www.wendangku.net/doc/b214947116.html,出现结果如下：

说明外网PC找不到DNS做解析了。

测试三：改成内网192.168.0.2 HTTP服务器与外网出口地址映射

代码：Router(config)#ipnat inside source static 192.168.0.2 220.189.244.201

但是上面的代码中我把HTTP 地址192.168.0.2和外网IP做了映射。因此通过直接输入外网IP地址能够访问：如图

如果在公网上使用私有地址192.168.0.2直接访问内网HTTP服务器，不能访问，如图：

华为防火墙NAT配置命令

私网用户通过NAPT方式访问Internet （备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。） 本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。组网需求 如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。 图1 配置私网用户通过NAPT方式访问Internet组网图 配置思路 1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。 2.配置安全策略，允许私网指定网段访问Internet。 3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP 地址访问Internet。 4.配置黑洞路由，防止产生路由环路。

操作步骤 1.配置USG9000的接口IP地址，并将接口加入安全区域。 # 配置接口GigabitEthernet 1/0/1的IP地址。 system-view [USG9000] interface GigabitEthernet 1/0/1 [USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24 [USG9000-GigabitEthernet1/0/1] quit # 配置接口GigabitEthernet 1/0/2的IP地址。 [USG9000] interface GigabitEthernet 1/0/2 [USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24 [USG9000-GigabitEthernet1/0/2] quit # 将接口GigabitEthernet 1/0/1加入Trust区域。 [USG9000] firewall zone trust [USG9000-zone-trust] add interface GigabitEthernet 1/0/1 [USG9000-zone-trust] quit # 将接口GigabitEthernet 1/0/2加入Untrust区域。 [USG9000] firewall zone untrust [USG9000-zone-untrust] add interface GigabitEthernet 1/0/2 [USG9000-zone-untrust] quit 2.配置安全策略，允许私网网段10.1.1.0/24的用户访问Internet。 3.[USG9000] policy interzone trust untrust outbound 4.[USG9000-policy-interzone-trust-untrust-outbound] policy 1 5.[USG9000-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0 0.0.0.255 6.[USG9000-policy-interzone-trust-untrust-outbound-1] action permit 7.[USG9000-policy-interzone-trust-untrust-outbound-1] quit [USG9000-policy-interzone-trust-untrust-outbound] quit

思科NAT配置实例

CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。 二、NAT 的应用环境： 情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置： 设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用

路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念： 内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。 内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 静态地址转换基本配置步骤： （1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入： Ip nat inside source static 内部本地地址内部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入：ip nat inside （3）、指定连接外部网络的外部端口在端口设置状态下输入：

华为_MSR路由器_教育网双出口NAT服务器的典型配置

华为 MSR路由器教育网双出口NAT服务器的典型配置 一、组网需求： MSR 的 G0/0 连接某学校内网， G5/0 连接电信出口， G5/1 连接教育网出口，路由配置：访问教育网地址通过 G5/1 出去，其余通过默认路由通过 G5/0 出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校 一、组网需求： MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问，其域名是https://www.wendangku.net/doc/b214947116.html,，对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单：MSR一台 二、组网图：

三、配置步骤： 适用设备和版本：MSR系列、Version 5.20, Release 1205P01后所有版本。

四、配置关键点： 1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现； 2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211.1.1.4会被电信给过滤掉，因此必须使用策略路由从G5/1出去； 3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策

史上最详细H3C路由器NAT典型配置案例

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。 NAT典型配置举例 内网用户通过NAT地址访问外网（静态地址转换） 1. 组网需求 内部网络用户使用外网地址访问Internet。 2. 组网图 图1-5 静态地址转换典型配置组网图 3. 配置步骤 # 按照组网图配置各接口的IP地址，具体配置过程略。 # 配置内网IP地址到外网地址之间的一对一静态地址转换映射。 system-view [Router] nat static outbound 使配置的静态地址转换在接口GigabitEthernet1/2上生效。 [Router] interface gigabitethernet 1/2 [Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4. 验证配置 # 以上配置完成后，内网主机可以访问外网服务器。通过查看如下显示信息，可以验证以上配置成功。 [Router] display nat static Static NAT mappings:

There are 1 outbound static NAT mappings. IP-to-IP: Local IP : Global IP : Interfaces enabled with static NAT: There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2 # 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。[Router] display nat session verbose Initiator: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: Source IP/port: Destination IP/port: VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2 Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes Total sessions found: 1 内网用户通过NAT地址访问外网（地址不重叠） 1. 组网需求

华为Eudemon防火墙NAT配置实例

[原创]华为Eudemon防火墙NAT配置实例Post By：2007-7-11 11:35:00 贴一下我公司里防火墙的配置，希望能够起到抛砖引玉的作用。具体外网IP和内网ARP绑定信息已经用“x”替代，请根据实际情况更换。“／／”后面的部分是我导出配置后添加的注释。防火墙型号为华为Eudemon 200，E0/0/0口为外网接口，E0/0/1口为内网。另外此配置方法也完全适用于华为Secpath系列防火墙，略加改动也可适用于华为A R系列路由器。 ------------------------------------------传说中的分隔线------------------------------------------ # sysname Eudemon／／设置主机名 # super password level 3 simple xxxxxxxx／／Ｓｕｐｅｒ密码为xxxxxxxx # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound／／设置默认允许所有数据包通过 # 青岛IT社区提醒：本地交易眼见为实，当面验货！不要嫌麻烦！交易地点建议在人多地方，防止抢劫！

NAT配置实例

ＮＡＴ　配置示例 本节提供了以下配置配置例子： １、动态内部源地址转换示例 ２、内部全局地址复用示例 ３、重叠地址转换示例 ４、ｔｃｐ负载均衡示例 ５、ｎａｔ多个ｏｕｔｓｉｄｅ口负载均衡示例 （１）动态内部源地址转换示例 在以下配置中，本地全局地址从ｎａｔ地址池ｎｅｔ２００中分配，该地址池定义了地址范围为 ２００．１６８．１２．２￣２００．１６８．１２．１００。只有内部源地址匹配访问列表１的数据包才会建立ｎａｔ转换记录。 ！ ｉｎｔｅｒｆａｃｅ　ｆａｓｔｅｔｈｅｒｎｅｔ　０／０ ｉｐ　ａｄｄｒｅｓｓ　１９２．１６８．１２．１　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｉｎｓｉｄｅ ！ ｉｎｔｅｒｆａｃｅ　ｆａｓｔｅｔｈｅｒｎｅｔ　１／０

ｉｐ　ａｄｄｒｅｓｓ　２００．１６８．１２．１　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｏｕｔｓｉｄｅ ！ ｉｐ　ｎａｔ　ｐｏｏｌ　ｎｅｔ２００　２００．１６８．１２．２　２００．１６８．１２．１００　ｎｅｔｍａｓｋ　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｉｎｓｉｄｅ　ｓｏｕｒｃｅ　ｌｉｓｔ　１　ｐｏｏｌ　ｎｅｔ２００ ！ ａｃｃｅｓｓ－ｌｉｓｔ　１　ｐｅｒｍｉｔ　１９２．１６８．１２．０　０．０．０．２５５ （２）内部全局地址复用示例 内部全局地址复用，其实就是ｎａｐｔ。ｒｇｎｏｓ８．１以上版本的软件对于动态ｎａｔ自动实现ｎａｐｔ。在以下配置中，本地全局地址从ｎａｔ地址池ｎｅｔ２００中分配，该地址池只定义２００．１６８．１２．２００一个ｉｐ地址，但允许复用。只有内部源地址匹配访问列表１的数据包才会建立该类型ｎａｔ转换记录。 ！ ｉｎｔｅｒｆａｃｅ　ｆａｓｔｅｔｈｅｒｎｅｔ　０／０ ｉｐ　ａｄｄｒｅｓｓ　１９２．１６８．１２．１　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｉｎｓｉｄｅ

华为nat配置实例

窗体顶端 NAT 【Router】 华为路由器单臂路由配置实例 组网描述: PC---------------------3050C-------------------------AR28-31-------------------------INTERNET 组网实现: 3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公

网,所有的PC机都通过AR28-31分配IP地址和DNS [AR28-31]dis cu # sysname Quidway # FTP server enable # nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池# radius scheme system # domain system # local-user admin password cipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminal level 3 service-type ftp local-user huawei telnet用户,用于远程管理 password simple huawei service-type telnet level 3 # dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.1 dns-list 100.100.100.100 # dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0 gateway-list 192.168.20.1 dns-list 100.100.100.100 # dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0 gateway-list 192.168.30.1 dns-list 100.100.100.100 # dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0 gateway-list 192.168.40.1 dns-list 100.100.100.100 # interface Aux0 async mode flow # interface Ethernet1/0用于与交换机的管理IP互通 ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound # interface Ethernet1/0.1终结交换机上的VLAN10 tcp mss 1024 ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10 # interface Ethernet1/0.2终结交换机上的VLAN20

静态NAT配置实例与详解

静态NAT配置实例 NAT的实现方式有三种，即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。 静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。 动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对是不确定的，而是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。但在一个时间点上，同时访问外网的主机数量不会多于地址中的公有IP 地址数量。只有释放后才能被其它的内网主机重新获取分配。即：在一个时间点上是一对一的关系，在一个时间段上是一对多的关系。 端口多路复用是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，PortAddressTranslation)，采用端口多路复用方式。内部网络的所有主机均可共享一个（或多个地址池中的）合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。实现一对多的对应关系 【背景描述】 现假设某单位创建了PC1和 PC2，这两台PC机不但允许内部用户（IP 地址为 172.16.1.0/24 网段）能够相互访问，而且要求 Internet 上的外网用户也能够访问。为实现此功能，本单位向当地的ISP申请了一段公网的IP地址210.28.1.0/24（210.28.1.10和210.28.1.11）。通过静态NAT转换，当Internet 上的用户访问这两台PC时，实际访问的是210.28.1.10和210.28.1.11这两个公网的IP地址，但用户的访问数据被路由器R１（NAT）分别转换为172.16.1.10

华为NAT配置案例

华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术，实现公司员工（私网）访问internet （公网） 静态一对一： AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试：

查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网，可以得出结论：静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术，实现公司员工（私网）访问internet （公网） 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1（定义一个地址池存放一个可用公网地址202.1.1.1） [AR1]dis cu | begin acl acl number 2000 （定义转换的源IP）

三种NAT实现方式配置实例

NAT有3种实现方式，包括有静态NAT动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT，即复用断口NAT，也叫PNAT. 所以掌握最后配置就可以了。 静态NAT 配置步骤： 首先，配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。 其次，定义静态建立IP 地址之间的静态映射。最后，指定其默认路由。 Router>en (进入特权模式) Router#config (进入全局配置模式) Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3 (命名为R3) R3(config)#no ip domain-lo (关闭域名查询，在实验环境中，敲入错误的命令， 它将进行域名查询，故关闭他) R3(config)#line c 0 (进入线路CONSOLE 接口0 下) R3(config-line)#logg syn (启用光标跟随，防止日志信息冲断命令显示的位置) R3(config-line)#exec-t 0 0 (防止超时，0 0 为永不超时) R3(config-line)#exit R3(config)#int e0 (进入以太网接口下) R3(config-if)#ip add 192.168.1.1 255.255.255.0(设置IP 地址) R3(config-if)#ip nat inside (设置为内部接口) R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 (进入串口下) R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside (设置为外部接口) R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.(1 设置静态转换，其中ip nat inside source 为NAT 转换关键字，这里是静态，故为STATIC ) R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 sO这里是出口或者下一跳地址) R3(config)#exit 动态NAT 配置步骤： 首先，配置各需要转换的接口的IP,设置内外网IP等。其次，定义动态地址转换池列表再次，配置ACL 列表，需要转换的内网IP 地址（或者网段）。最后，设置转换后的出口地址段及MASK （多IP 可以多分流，减轻转换后的负担）

华为NAT配置案例

华为NAT配置案例

华为NAT配置案例模拟 图表1模拟拓扑图 1、在华为设备上部署静态NAT技术，实现公司员工（私网）访问internet （公网） 静态一对一： AR1# interface GigabitEthernet0/0/1 ip address 202.106.1.2 255.255.255.0 nat static global 202.1.1.1 inside 192.168.1.2 netmask 255.255.255.255 AR2# [AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2 [AR2] 结果测试：

查看静态转换表 [AR1]display nat static Static Nat Information: Interface : GigabitEthernet0/0/1 Global IP/Port : 202.1.1.1/---- Inside IP/Port : 192.168.1.2/---- Protocol : ---- VPN instance-name : ---- Acl number : ---- Netmask : 255.255.255.255 Description : ---- Total : 1 [AR1] 在没有做静态NAT条目的PC2上不能访问公网，可以得出结论：静态NAT是静 态一对一的关系 2、在华为设备上部署动态NAT技术，实现公司员工（私网）访问internet （公网） 动态NAT [AR1]nat address-group 1 202.1.1.1 202.1.1.1（定义一个地址池存放一个可用公网地址202.1.1.1） [AR1]dis cu | begin acl acl number 2000 （定义转换的源IP）

思科NAT配置实例

CISCONAT配置 一、NAT简介NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。 二、NAT 的应用环境：情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置：设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。

设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念： 内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。 内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 静态地址转换基本配置步骤：（1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：Ip nat inside source static 内部本地地址内部合法地址 （2）、指定连接网络的内部端口在端口设置状态下输入：

华为路由器配置举例

华为路由器配置举例 通过在外网口配置nat基本就OK了，以下配置假设Ethernet0/0为局域网接口，Ethernet0/1为外网口。 1、配置内网接口（Ethernet0/0）： [MSR20-20] interface Ethernet0/0 [MSR20-20- Ethernet0/0]ip add 192.168.1.1 24 2、使用动态分配地址的方式为局域网中的PC分配地址 [MSR20-20]dhcp server ip-pool 1 [MSR20-20-dhcp-pool-1]network 192.168.1.0 24 [MSR20-20-dhcp-pool-1]dns-list 202.96.134.133 [MSR20-20-dhcp-pool-1] gateway-list 192.168.1.1 3、配置nat [MSR20-20]nat address-group 1 公网IP 公网IP [MSR20-20]acl number 3000 [MSR20-20-acl-adv-3000]rule 0 permit ip 4、配置外网接口（Ethernet0/1） [MSR20-20] interface Ethernet0/1 [MSR20-20- Ethernet0/1]ip add 公网IP [MSR20-20- Ethernet0/1] nat outbound 3000 address-group 1 5．加默缺省路由 [MSR20-20]route-stac 0.0.0.0 0.0.0.0 外网网关 总结： 在2020路由器下面, 配置外网口, 配置内网口, 配置acl 作nat, 一条默认路由指向电信网关. ok!

三种NAT实现方式配置实例

NAT有3种实现方式，包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT，即复用断口NAT，也叫PNAT. 所以掌握最后配置就可以了。 静态NAT配置步骤： 首先，配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。 其次，定义静态建立IP地址之间的静态映射。 最后，指定其默认路由。 Router>en（进入特权模式） Router#config （进入全局配置模式） Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3（命名为R3） R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他） R3(config)#line c 0（进入线路CONSOLE接口0下） R3(config-line)#logg syn（启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0（防止超时，0 0为永不超时） R3(config-line)#exit R3(config)#int e0（进入以太网接口下） R3(config-if)#ip add 192.168.1.1 255.255.255.0（设置IP地址） R3(config-if)#ip nat inside（设置为内部接口） R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 （进入串口下） R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside（设置为外部接口） R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.1（设置静态转换，其中ip nat inside source为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址) R3(config)#exit

NAT多实例的配置案例

1 简介 本文档介绍使用NAT多实例的配置案例。 2 配置前提 本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。 本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。 本文档假设您已了解NAT多实例的特性。 3 配置举例 3.1 组网需求 如图1所示，一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网络使用的网段地址网址为10.110.0.0/16。10.110.10.0/24网段的用户属于私网VPN1，加入安全域Trust1；10.110.11.0/24网段的用户属于私网VPN2，加入安全域Trust2；公网的用户属于VPN3，加入安全域Untrust。需要实现如下功能： ? ???????????? 内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。 ? ???????????? 内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。 ? ???????????? 公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP 服务。 图1 跨VPN转发典型配置组网图 3.2 配置思路

为了使内网主机能够访问公网，需要在出接口上配置NAT转换，并使对应的地址池和公网VPN实例相关联。 3.3 使用版本 本文档基于U200-S R5135版本进行配置和验证。 3.4 配置步骤 3.4.1 通过Web方式配置 (1)创建VPN实例 目前设备仅支持通过命令行方式创建VPN实例，配置方法请参见“3.4.2 (1)创建VPN 实例”。 (2)接口绑定VPN实例并加入安全域 # 接口绑定VPN实例。目前设备仅支持通过命令行方式配置接口绑定VPN实例，配置方法请参见“3.4.2 (2)接口绑定VPN实例”。 # 新建安全域Trust1。在左侧导航栏中选择“设备管理> 安全域”，进入下图2所示的安全域显示页面。 图2 安全域显示页面 # 单击<新建>按钮，新建一个安全域。 图3 安全域新建页面 # 点击<确定>按钮完成操作。 # 同理新建安全域Trust2，完成配置后安全域页面显示如图4所示。 图4 安全域新建后的显示页面

配置NAT Outbound示例

配置NAT Outbound示例 组网需求 如图1所示，某公司A区的网络通过AR200-S的地址转换功能访问广域网。使用公网地址池中的地址（202.169.10.100～202.169.10.200）采用一对一的方式替换A区内部的主机地址（网段为192.168.20.0/24），访问广域网。 B区的网络通过AR200-S的地址转换功能访问广域网。结合B区的公网IP地址比较少的情况，使用公网地址池（202.169.10.80～202.169.10.83）采用IP地址和端口的替换方式替换B区内部的主机地址（网段为10.0.0.0/24），访问广域网。 其中AR200-S上接口Ethernet2/0/0的公网地址为202.169.10.1/24,对端运营商侧地址为202.169.10.2/24。 图1 配置NAT Outbound组网图 配置思路 采用如下思路配置NAT Outbound： 1.配置接口IP地址。 2.配置缺省路由。 3.在WAN侧接口下配置NAT Outbound，实现内部主机访问外网服务功能。 操作步骤

1.在AR200-S上配置接口IP地址。 2. system-view 3.[Huawei] vlan 100 4.[Huawei-vlan100] quit 5.[Huawei] interface vlanif 100 6.[Huawei-Vlanif100] ip address 192.168.20.1 24 7.[Huawei-Vlanif100] quit 8.[Huawei] interface Ethernet 0/0/0 9.[Huawei-Ethernet0/0/0] port link-type access 10.[Huawei-Ethernet0/0/0] port default vlan 100 11.[Huawei-Ethernet0/0/0] quit 12.[Huawei] vlan 200 13.[Huawei-vlan200] quit 14.[Huawei] interface vlanif 200 15.[Huawei-Vlanif200] ip address 10.0.0.1 24 16.[Huawei-Vlanif200] quit 17.[Huawei] interface Ethernet 0/0/1 18.[Huawei-Ethernet0/0/1] port link-type access 19.[Huawei-Ethernet0/0/1] port default vlan 200 20.[Huawei-Ethernet0/0/1] quit 21.[Huawei] interface Ethernet 2/0/0 22.[Huawei-Ethernet2/0/0] ip address 202.169.10.1 24 23.[Huawei-Ethernet2/0/0] quit 24.在AR200-S上配置缺省路由，指定下一跳地址为202.169.10.2。 25.[Huawei] ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 26.在AR200-S上配置NAT Outbound。 27.[Huawei] nat address-group 1 202.169.10.100 202.169.10.200 28.[Huawei] nat address-group 2 202.169.10.80 202.169.10.83

华为配置内网用户通过NAT地址池方式访问Internet外网

配置内网用户通过NAT地址池方式访问Internet外网的示例 规格 适用于所有版本、所有形态的AR路由器。 组网需求 如图1所示，内网用户通过路由器的NAT地址池方式来访问Internet。 图1 配置通过NAT地址池方式访问Internet 操作步骤 1.配置Router。 2.# 3.vlan batch 100 4.# 5.a cl number 2000 //配置允许进行NAT转换的内网地址段 6.rule 5 permit source 192.168.20.0 0.0.0.255 7.# 8.nat address-group 1 202.169.10.100 202.169.10.200 //配置NAT地址池 9.# 10.interface vlanif100 //配置内网网关的IP地址 11. ip address 192.168.20.1 255.255.255.0 12.# 13.interface Ethernet2/0/0 14. port link-type access

15. port default vlan 100 16.# 17.interface GigabitEthernet3/0/0 18. ip address 202.169.10.1 255.255.255.0 19. nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound 20.# 21. ip route-static 0.0.0.0 0.0.0.0 202.169.10.2 //配置默认路由 22.验证配置结果。 # 执行命令display nat outbound，查看NAT Outbound的配置信息。 # 内网用户可以通过路由器的NAT地址池方式来访问Internet。