配置普通方式的NAT示例
介紹普通方式NAT的配置示例,實現公司內部私有地址和外部公共地址進行多對多的轉換,并限定只有特定網段的PC可以訪問Internet,結合配置組網圖來理解業(yè)務的配置過程。
適用產品和版本
適用于V800R010C00及以后版本的NE20E-S系列產品。
組網需求
如圖1-50所示,一個公司內部網絡的計算機通過NE20E的網絡地址轉換功能連接到Internet。NE20E通過以太網接口0/2/0與內部網連接。NE20E通過接口GE0/2/1與Internet相連,公司具有11.11.11.101/32至11.11.11.105/32共5個公網IP地址。
各接口IP地址如圖1-50所示,通過配置要達到以下要求:
- 內部網段192.168.10.0/24的計算機可以訪問Internet,其它網段的計算機則不能訪問Internet。
- 實現公司內部私有地址和外部公共地址進行多對多的轉換。
圖1-50 NAT基本應用組網圖
本例中的interface1、interface2分別代表GE0/2/0、GE0/2/1。
配置思路
采用如下思路進行配置:
- 配置NAT基本功能。
- 配置NAT引流策略。
數據準備
為完成此配置例,需要準備如下的數據:
- service-location備份組的索引號1
- service-instance-group業(yè)務實例組的名稱group1
- NAT實例的名稱nat1和索引號1
- NAT A設備的NAT轉換地址池名稱address-group1、地址池編號1、IP地址段從11.11.11.101到11.11.11.105
- ACL的名稱3001
- 應用NAT引流策略的接口號以及接口下的IP地址
操作步驟
1.配置NAT基本功能。
a.創(chuàng)建NAT實例nat1,并將業(yè)務板綁定到NAT實例。
<HUAWEI> system-view
[~HUAWEI] sysname NATA
[*HUAWEI] commit
[~NATA] service-location 1
[*NATA-service-location-1] location follow-forwarding-mode
[*NATA-service-location-1] commit
[~NATA-service-location-1] quit
[~NATA] service-instance-group group1
[*NATA-service-instance-group-group1] service-location 1
[*NATA-service-instance-group-group1] commit
[~NATA-service-instance-group-group1] quit
[~NATA] nat instance nat1 id 1
[*NATA-nat-instance-nat1] service-instance-group group1
[*NATA-nat-instance-nat1] commit
[~NATA-nat-instance-nat1] quit
b.配置NAT地址池,地址池范圍從11.11.11.101到11.11.11.105。
[~NATA] nat instance nat1
[~NATA-nat-instance-nat1] nat address-group address-group1 group-id 1
[*NATA-nat-instance-nat1-nat-address-group-address-group1] section 1 11.11.11.101 11.11.11.105
[*NATA-nat-instance-nat1-nat-address-group-address-group1] commit
[~NATA-nat-instance-nat1-nat-address-group-address-group1] quit
[~NATA-nat-instance-nat1] quit
2.配置NAT的引流策略。
a.應用NAT出接口引流策略。 配置基于ACL流分類規(guī)則,訪問控制列表號為3001,ACL規(guī)則的編號為1,只有內部網段地址為192.168.10.0/24的主機可以訪問Internet。
[~NATA] acl 3001
[*NATA-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255
[*NATA-acl4-advance-3001] commit
[~NATA-acl4-advance-3001] quit
b.在接口GE0/2/1視圖下應用ACL用戶的流分類策略。
[~NATA] interface gigabitEthernet 0/2/1
[~NATA-GigabitEthernet0/2/1] ip address 11.2.3.4 24
[*NATA-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1
[*NATA-GigabitEthernet0/2/1] commit
[~NATA-GigabitEthernet0/2/1] quit
c.配置接口GE0/2/0的IP地址。
[~NATA] interface gigabitEthernet 0/2/0
[~NATA-GigabitEthernet0/2/0] ip address 192.168.10.1 24
[*NATA-GigabitEthernet0/2/0] commit
[~NATA-GigabitEthernet0/2/0] quit
3.驗證配置結果。
# 查看NAT用戶的信息。
[~NATA] display nat user-information slot 9 verbose
This operation will take a few minutes. Press 'Ctrl+C' to break ...
Slot: 9
Total number: 1.
---------------------------------------------------------------------------
User Type : NAT444
CPE IP : 192.168.10.100
User ID : -
VPN Instance : -
Address Group : address-group1
NoPAT Address Group : -
NAT Instance : nat1
Public IP : 11.11.11.102
NoPAT Public IP : -
Total/TCP/UDP/ICMP Session Limit : 8192/10240/10240/512
Total/TCP/UDP/ICMP Session Current : 1/0/1/0
Total/TCP/UDP/ICMP Rev Session Limit : 8192/10240/10240/512
Total/TCP/UDP/ICMP Rev Session Current: 0/0/0/0
Nat ALG Enable : NULL
Aging Time(s) : -
Left Time(s) : -
Session Limit Discard Count : 0
-->Transmit Packets : 1046632
-->Transmit Bytes : 90409306
-->Drop Packets : 0
<--Transmit Packets : 0
<--Transmit Bytes : 0
<--Drop Packets : 0
---------------------------------------------------------------------------
配置文件
- NATA的配置文件
#
sysname NATA
#
service-location 1
location follow-forwarding-mode
#
service-instance-group group1
service-location 1
#
nat instance nat1 id 1
service-instance-group group1
nat address-group address-group1 group-id 1
section 1 11.11.11.101 11.11.11.105
#
acl number 3001
rule 1 permit ip source 192.168.10.0 0.0.0.255
#
interface GigabitEthernet 0/2/0
undo shutdown
ip address 192.168.10.1 255.255.255.0
#
interface GigabitEthernet 0/2/1
undo shutdown
ip address 11.2.3.4 255.255.255.0
nat bind acl 3001 instance nat1
#
return
