华为静态nat配置实例

篇一：华为静态NAT

华为NAT（静态NAT_Easy NAT）

预配置

篇二：NAT配置实例

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。

二、配置目标：

在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。

三、配置步骤

(1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

<Huawei>sys

[Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type access

[Huawei-Ethernet0/0/1]port default vlan 2

(2)划分vlan3，并将e0/0/2、e0/0/2划分到vlan3。相关配置命令同上。 (3) 配置g0/0/1，将其设为trunk类型，并允许Vlan2和Vlan3通过。

[Huawei]int g0/0/1

[Huawei-GigabitEthernet0/0/1]port link-type trunk

[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 3

3、配置路由器R1，实现Vlan2与Vlan3之间的通信。相关命令如下（子接口编号与VLAN号没有关系）：

<Huawei>system-view

[Huawei]sysname R1

[R1]int g0/0/0.2

[R1-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24

[R1-GigabitEthernet0/0/0.2]dot1q termination vid 2

[R1-GigabitEthernet0/0/0.2]arp broadcast enable

[R1]int g0/0/0.3

[R1-GigabitEthernet0/0/0.2]ip address 192.168.3.254 24

[R1-GigabitEthernet0/0/0.2]dot1q termination vid 3

[R1-GigabitEthernet0/0/0.2]arp broadcast enable 经过以上配置，Vlan2与Vlan3之间的PC机应该可以相互Ping通。以上实际上完成了单臂路由的实验操作。

4、配置R1的G0/0/1接口IP地址。

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]ip address 202.103.225.1 24

5、配置ISP的G0/0/0接口及lo1口IP地址。

<Huawei>system-view [Huawei-GigabitEthernet0/0/0]ip address 202.103.225.2 24

[Huawei-GigabitEthernet0/0/0]quit

[Huawei]intLoopBack 1

[Huawei-LoopBack1]ip address 220.193.80.1 24

6、在ISP上配置到网络220.173.141.0/29（想想目标网络为什么会是这个？）静态路由。 [Huawei]ip route-static 220.173.141.0 29 202.103.225.1

7、在R1上配置到ISP的缺省路由。

[Huawei]ip route-static 220.173.141.0 29 202.103.225.1

8、在R1的出接口上为PC3绑定公网IP地址。

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]nat static global 220.173.141.5 inside 192.168.3.253

至此，PC3能够访问lo1，lo1能够通过IP地址220.173.141.5访问PC3；但PC1、PC2不能访问lo1。

9、在R1上为192.168.2.0/24及192.168.3.0/24的PC机实现动态NAT转换。

(1) 配置地址池（转换后的）。

[R1]nat address-group 1 220.173.141.1 220.173.141.3(2) 配置ACL（列出允许进行NAT转换的内部IP地址）

[R1]acl 2001 //建立一个标准ACL,序号应在2000至2009之间

[R1-acl-basic-2001]rule 10 permit source 192.168.2.0 0.0.0.255

[R1-acl-basic-2001]rule 20 permit source 192.168.3.0 0.0.0.255

[R1-acl-basic-2001]rule 30 deny source any //此命令可以省略

(3) 在出接口进行NAT转换

[R1]int g0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2001 address-group 1 至此，PC1、PC2也可以访问lo1了，通过动态NAT转换。

篇三：华为NAT配置

5.2 NAT-地址转换

5.2.1 用出接口地址做Easy

【Router】

当前路由器提示视图 [Quidway]

依次输入的配置命令，重要的命令红色突出显示 acl number 2000

简单说明

配置允许进行

rule permit source

[Quidway-acl-basic-2000] NAT转换的内网

192.168.0.0 0.0.0.255

地址段 [Quidway-acl-basic-2000] rule deny

[Quidway]

[Quidway-Ethernet0/

1]

[Quidway]

[Quidway-Ethernet0/1] [Quidway-Ethernet0/1]

interface Ethernet0/1

ip address 192.168.0.1

内网网关

255.255.255.0

interface Ethernet0/0

ip address 202.1.1.2

255.255.255.248 nat outbound 2000

在出接口上进行NAT转换

[Quidway]

ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 配置默认路由 preference 60

【提示】

该配置为最常见的NAT上网的配置。

2013-9-17

华为机密，未经许可不得扩散

第1页, 共4页

5．2．2 地址池方式做

【Router】

当前路由器提示视图 [Quidway]

依次输入的配置命令，重要的命令红色突出显示

acl number 2000

简单说明

[Quidway-acl-basic-2000] rule permit source 配置允许进行

192.168.0.0 0.0.0.255 NAT转换的内网

地址段

[Quidway-acl-basic-2000] rule deny

[Quidway]

[Quidway]

[Quidway-Ethernet0/1]

[Quidway]

[Quidway-Ethernet0/1] [Quidway-Ethernet0/1]

[Quidway]

nat address-group

202.1.1.3 202.1.1.6

interface Ethernet0/1

0 用户NAT的地址

池

ip address 192.168.0.1 内网网关 255.255.255.0

interface Ethernet0/0 ip address 202.1.1.2

255.255.255.0 nat outbound 2000 address-group 0

在出接口上进行NAT转换

ip route-static 0.0.0.0 配置默认路由 0.0.0.0 202.1.1.1 preference 60

2013-9-17

华为机密，未经许可不得扩散 第2页, 共4页

5.2.3 一个以太口也做转换

【Router】

当前路由器提示视图 [Quidway]

依次输入的配置命令，重要的命令红色突出显示 acl number 3000

简单说明

配置进行NAT的ACL

rule deny ip source

[Quidway-acl-adv-3000] 192.168.0.0 0.0.0.255

destination 192.168.0.1 0 rule permit ip source

[Quidway-acl-adv-3000] 192.168.0.0 0.0.0.255

destination any

rule deny ip source any

[Quidway-acl-adv-3000]

destination any

[Quidway]

[Quidway-Ethernet0/0] [Router-Ethernet0] [Router-Ethernet0]

interface Ethernet0/0

ip address 202.1.1.1

255.255.255.0

ip address 192.168.0.1

255.255.255.0 sub nat outbound 3000

配置NAT

ip route-static 0.0.0.0

[Router] 0.0.0.0 202.1.1.2 配置默认路由

preference 60

rule normal permit source

[Quidway-acl-adv-3000]

10.0.0.0 0.0.0.255

说明：上例不推荐使用。

2013-9-17

华为机密，未经许可不得扩散 第3页, 共4页

5．2．4 对外提供ftp，www等服务

以www服务为例,除了5.2.1和5.2.2的配置,公网接口需要增加如下配置:

[Quidway-Ethernet0/0] server protocol tcp global 202.1.1.2 www inside 192.168.0.2 www

注意:如果需要其他用户可以ping通内部对外提供服务的服务器,必须增加如下配置: [Router-Ethernet1]nat server protocol global icmp 202.1.1.2 inside 192.168.0.2

注意:内部用户不能使用公网地址来访问内部服务器,必须使用内网地址访问.

如上例子:192.168.0.0/24网段的用户,不能访问http://202.1.1.2,而只能访问http://192.168.0.2

2013-9-17

华为机密，未经许可不得扩散 第4页, 共4页