本例介紹了如何通過(guò)Easy IP方式NAT實(shí)現(xiàn)流量從企業(yè)網(wǎng)內(nèi)部訪問(wèn)外部運(yùn)營(yíng)商網(wǎng)絡(luò)。
適用產(chǎn)品和版本
適用于V800R010C00及以后版本的NE20E-S系列產(chǎn)品。
組網(wǎng)需求
如圖1-56所示,流量從企業(yè)網(wǎng)內(nèi)部訪問(wèn)外部運(yùn)營(yíng)商網(wǎng)絡(luò),通過(guò)NAT-Device將企業(yè)網(wǎng)用戶(hù)私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)接口下的接口地址,訪問(wèn)外部運(yùn)營(yíng)商網(wǎng)絡(luò)。
NAT-Device通過(guò)以太網(wǎng)接口0/2/0與內(nèi)部網(wǎng)連接。NAT-Device通過(guò)接口GE0/2/1與Internet相連。公司除11.2.3.4這個(gè)公網(wǎng)IP外不擁有其他的公網(wǎng)IP。NAT-Device網(wǎng)絡(luò)側(cè)對(duì)端設(shè)備的IP地址是11.2.3.5。
各接口IP地址如圖1-56所示,通過(guò)配置要達(dá)到以下要求:
- 內(nèi)部網(wǎng)段192.168.10.0/24的計(jì)算機(jī)可以訪問(wèn)Internet,其它網(wǎng)段的計(jì)算機(jī)則不能訪問(wèn)Internet。
- 除公網(wǎng)接口下的接口地址外NAT設(shè)備不使用其他公網(wǎng)IP地址。
圖1-56 配置場(chǎng)景組網(wǎng)圖
本例中的interface1和interface2分別代表GE0/2/0、GE0/2/1。
配置思路
- 配置NAT基本功能。
- 配置NAT引流策略。
- 應(yīng)用NAT引流策略。
- 配置靜態(tài)路由。
數(shù)據(jù)準(zhǔn)備
- NAT實(shí)例的名稱(chēng)nat1和索引號(hào)1
- NAT-Device的NAT轉(zhuǎn)換地址池名稱(chēng)address-group1、地址池編號(hào)1
- ACL的名稱(chēng)3001
- 應(yīng)用NAT引流策略的接口號(hào)GE0/2/1以及接口下的IP地址11.2.3.4/24
操作步驟
1.配置NAT基本功能。
a.創(chuàng)建NAT實(shí)例nat1。
<HUAWEI> system-view
[~HUAWEI] sysname NAT-Device
[*HUAWEI] commit
[~NAT-Device] nat instance nat1 id 1 simple-configuration
[*NAT-Device-nat-instance-nat1] commit
[~NAT-Device-nat-instance-nat1] quit
b.配置出接口地址。
[~NAT-Device] interface gigabitEthernet 0/2/1
[~NAT-Device-GigabitEthernet0/2/1] ip address 11.2.3.4 24
[*NAT-Device-GigabitEthernet0/2/1] commit
[~NAT-Device-GigabitEthernet0/2/1] quit
c.配置地址池與出接口地址的映射關(guān)系。
[~NAT-Device] nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1
[*NAT-Device] commit
2.配置NAT引流策略:配置基于ACL流分類(lèi)規(guī)則,地址訪問(wèn)控制列表號(hào)為3001,ACL規(guī)則的編號(hào)為1,只有內(nèi)部網(wǎng)段地址為192.168.10.0/24的主機(jī)可以訪問(wèn)Internet。
[~NAT-Device] acl 3001
[*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
[*NAT-Device-acl4-advance-3001] commit
[~NAT-Device-acl4-advance-3001] quit
3.應(yīng)用NAT引流策略:在出接口GE0/2/1視圖下應(yīng)用ACL用戶(hù)的流分類(lèi)策略。
[~NAT-Device] interface gigabitEthernet 0/2/1
[*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
[*NAT-Device-GigabitEthernet0/2/1] commit
[~NAT-Device-GigabitEthernet0/2/1] quit
4.配置靜態(tài)路由:缺省路由,指定下一跳地址為11.2.3.5。
[~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 11.2.3.5
[*NAT-Device] commit
5.驗(yàn)證配置結(jié)果。 # 查看NAT用戶(hù)信息。
[~NAT-Device] display nat user-information slot 9 verbose
This operation will take a few minutes. Press 'Ctrl+C' to break ...
Slot: 9
Total number: 1.
---------------------------------------------------------------------------
User Type : NAT444
CPE IP : 192.168.10.100
User ID : -
VPN Instance : -
Address Group : address-group1
NAT Instance : nat1
Public IP : 11.2.3.4
Total/TCP/UDP/ICMP Session Limit : 0/0/0/0
Total/TCP/UDP/ICMP Session Current : 64511/0/64511/0
Total/TCP/UDP/ICMP Rev Session Limit : 8192/10240/10240/512
Total/TCP/UDP/ICMP Rev Session Current: 0/0/0/0
Nat ALG Enable : NULL
Aging Time(s) : -
Left Time(s) : -
Session Limit Discard Count : 0
-->Transmit Packets : 9753259
-->Transmit Bytes : 1111770864
-->Drop Packets : 0
<--Transmit Packets : 0
<--Transmit Bytes : 0
<--Drop Packets : 0
---------------------------------------------------------------------------
NAT-Device的配置文件
#
sysname NAT-Device
#
nat instance nat1 id 1 simple-configuration
#
nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1
#
acl number 3001
rule 1 permit ip source 192.168.10.0 0.0.0.255
#
interface GigabitEthernet0/2/1
undo shutdown
ip address 11.2.3.4 255.255.255.0
nat bind acl 3001 instance nat1
#
ip route-static 0.0.0.0 0.0.0.0 11.2.3.5
#
return
