华为路由NAT配置

NAT配置管理

一、简介

网络地址转换NAT（Network Address Translation）是将IP数据报文头中的IP地址转换为另一个IP地址的过程。 随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。

尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前众多网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术（如CIDR、私网地址等）的使用是解决这个问题最主要的技术手段。

NAT主要用于实现内部网络（简称内网，使用私有IP地址）访问外部网络（简称外网，使用公有IP地址）的功能。当内网的主机要访问外网时，通过NAT技术可以将其私网地址转换为公网地址，可以实现多个私网用户共用一个公网地址来访问外部网络，这样既可保证网络互通，又节省了公网地址。

作为减缓IP地址枯竭的一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。NAT除了解决IP地址短缺的问题，还带来了两个好处：

1、有效避免来自外网的攻击，可以很大程度上提高网络安全性。

2、控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问

华赛防火墙的配置 NAT DMZ 等命令

华为赛门铁克USG2130配置DMZ TRUST 路由 NAT 命令

公司刚进了一台USG2130防火墙 和华为3700的交换机，没有配置过，于是乎打400电话，不过华赛的售后服务就是好，人家给你讲解的很好，帮你远程协助，中午还耽误人家下班了，呵呵吧，不扯淡了，先说一下公司的网络结构：

因为涉密所以IP地址随便写的

公司有两台WEB服务器，要放到DMZ区域

然后公司内部有50台办公电脑，放到TRUNST区域

ISP给了两个IP地址 一个用来上网NAT 一个用于

WEB

E0/0/0 :192.168.1.56(用于内部工作电脑上网)

192.168.1.57（用于WEB服务器对外提供WWW服务）

VLAN 1 :192.168.10.1(内部PC属于VLAN 1)

VLAN 2 :192.168.20.1(服务器属于VLAN 2)

先说一下具体步骤：

第一步：打开防火墙的默认域名包过滤规则 命令如下：

firewall packet-filter default permit all

第二步：配置E0/0/0 IP地址

[PIX]interface Ethernet 0/0/0

[PIX-Ethernet0/0/0]ip addr

静态路由，NAT实现—PAT

查看路由表命令：show ip route

静态路由配置命令：Router（config）# ip route 目标网段 目标网段子网掩码 下一跳IP地址

默认路由的配置：Router（config）# ip route 0.0.0.0 0.0.0.0 下一跳IP地址

? （注：0.0.0.0 0.0.0.0代表任何网络）

浮动静态路由的配置：Router（config）# ip route 目标网段 目标网段子网掩码 下一跳IP地址 管理距离

（注：下一跳指目标网段的接口ip）

（注：浮动静态路由关键点是管理距离，管理距离越大优先级越低 取值范围：1-255）

(注：点对点使用出接口 也可使用下一跳，以太网必须使用下一跳) 配置完成后可通过命令：show ip route查看路由表 ? C代表直连路由 ? S代表静态配置的路由 ? S*代表默认路由

可通过ping命令进行验证，路由器ping命令默认发送5个数据包，如果回显的内容是“！”代表网络通信正常，回显的内容是“.”代表请求超时 故障排查案例1：无法ping通 ? 排除物理故障（如接线）

? 通过命令

NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请，在网络内部，各计算机间通过内部的IP地址进行通讯。

路由器NAT功能配置实战

随着internet的网络迅速发展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。

NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。

NAT 的应用环境： 情况1：

一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。

情况2：

一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功

华为策略路由配置实例

1、组网需求

图1策略路由组网示例图

如上图1所示，公司用户通过Switch双归属到外部网络设备。其中，一条是低速链路，网关为10.1.20.1/24 ;另外一条是高速链路，网关为10.1.30.1/24。

公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

配置思路

1

、

创建VLAN并配置各接口，实现公司和外部网络设备互连。

配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、

3、配置流分类, 匹配规则为上述ACL规则，使设备可以对报文进行区分。

4、配置流行为, 使满足不同规则的报文分别被重定向到10.1.20.1/24和

10.1.30.1/24。

5、配置流策略, 绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上, 实现策略路

由。

3、操作步骤

3.1、创建VLAN并配置各接口

# 在Switch 上创建VLAN100 和VLAN200。

vHUAWEI> system-view

[HUAWEI] sysname Switch

[Switch] vian batch 100 200

# 配置Switch 上接口GE1/0/

华为策略路由配置实例

1、组网需求

图1 策略路由组网示例图

如上图1所示，公司用户通过Switch双归属到外部网络设备。其中，一条是低速链路，网关为10.1.20.1/24；另外一条是高速链路，网关为10.1.30.1/24。 公司希望上送外部网络的报文中，IP优先级为4、5、6、7的报文通过高速链路传输，而IP优先级为0、1、2、3的报文则通过低速链路传输。

2、配置思路

1、创建VLAN并配置各接口，实现公司和外部网络设备互连。

2、配置ACL规则，分别匹配IP优先级4、5、6、7，以及IP优先级0、1、2、3。

3、配置流分类，匹配规则为上述ACL规则，使设备可以对报文进行区分。 4、配置流行为，使满足不同规则的报文分别被重定向到10.1.20.1/24和10.1.30.1/24。

5、配置流策略，绑定上述流分类和流行为，并应用到接口GE2/0/1的入方向上，实现策略路由。

3、操作步骤

3.1、创建VLAN并配置各接口

# 在Switch上创建VLAN100和VLAN200。 system-view [HUAWEI] sysname Switch [Switch] vlan

华为默认静态路由实验练习（tony）

要求：配置默认静态路由使AR1和AR3实现互通，并演示删除配置重启

步骤如下：

clo clock d

clock datetime 21:40:00 2017-03-09 sys

system-view

Enter system view, return user view with Ctrl+Z. [Huawei]

[Huawei]sy

[Huawei]sysname R1 [R1]su [R1]super p

[R1]super password c

[R1]super password cipher 123456 [R1]us [R1]user-i

[R1]user-interface v [R1]user-interface vty 0 4 [R1-ui-vty0-4]auth

[R1-ui-vty0-4]authentication-mode p

[R1-ui-vty0-4]authentication-mode password

Please configure the login password (maximum length 16):123456 [R1

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

NAT配置实例

一、网络拓扑

说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。 二、配置目标： 在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。 三、配置步骤

1、配置PC机。按下表配置三个IP机，子网掩码均为255.255.255.0。 设备 IP地址 默认网关 PC1 192.168.2.2 192.168.2.254 PC2 192.168.3.4 192.168.3.254 PC3 192.168.3.253 192.168.3.254 2、LSW１配置 (1) 划分vlan 2，并将e0/0/1划分到vlan 2。相关配置命令如下：

sys [Huawei]vlan 2

[Huawei-vlan2]int e0/0/1

[Huawei-Ethernet0/0/1]port link-type acce

防火墙路由引入

需要的设备：三个路由器、一个交换机、一个ASA防火墙

交换机上的配置 SW1> SW1>en

SW1#vlan database SW1(vlan)#vlan 2 VLAN 2 added:

Name: VLAN0002 SW1(vlan)#vlan 3 VLAN 3 added:

Name: VLAN0003 SW1(vlan)# SW1(vlan)#exit SW1#conf t

SW1(config)#int f0/2

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config-if)#int f0/11

SW1(config-if)#switchport mode access SW1(config-if)#switchport access vlan 2 SW1(config)#int range f0/3 , f0/12

SW1(config-if-range)#switchport mode acc SW1(config-if-range)#switchport mode