下载文档原格式
私网用户通过NAPT方式访问Internet(备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。
)本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。
组网需求如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。
由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。
图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。
2.配置安全策略,允许私网指定网段访问Internet。
3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP地址访问Internet。
4.配置黑洞路由,防止产生路由环路。
操作步骤1.配置USG9000的接口IP地址,并将接口加入安全区域。
# 配置接口GigabitEthernet 1/0/1的IP地址。
<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。
[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。
06-NAT命令目录1 NAT配置命令1.1 NAT配置命令1.1.1 display nat address-group1.1.2 display nat all1.1.3 display nat bound1.1.4 display nat dns-map1.1.5 display nat server1.1.6 display nat static1.1.7 display nat statistics1.1.8 display userlog export1.1.9 nat address-group1.1.10 nat dns-map1.1.11 nat outbound1.1.12 nat outbound static1.1.13 nat server (for normal nat server)1.1.14 nat static1.1.15 nat static net-to-net1 NAT配置命令1.1 NAT配置命令1.1.1 display nat address-group【命令】display nat address-group [ group-number ]【视图】任意视图【缺省级别】1:监控级【参数】group-number:表示地址池索引号。
取值范围为0~255。
【描述】display nat address-group命令用来显示NAT地址池的信息。
相关配置可参考命令nat address-group。
【举例】# 显示NAT地址池的信息。
<Sysname> display nat address-groupNAT address-group information:There are currently 2 nat address-group(s)1 : from 202.110.10.10 to 202.110.10.152 : from 202.110.10.20 to 202.110.10.25# 显示索引号为1的NAT地址池信息。
窗体顶端NAT【Router】华为路由器单臂路由配置实例组网描述:PC---------------------3050C-------------------------AR28-31-------------------------INTERNET组网实现:3050C上划分多个VLAN,在AR28-31上终结VLAN信息,下面的所有VLAN中的PC都可以上公网,所有的PC机都通过AR28-31分配IP地址和DNS[AR28-31]dis cu#sysname Quidway#FTP server enable#nat address-group 0 222.222.222.2 222.222.222.10用于上公网的地址池#radius scheme system#domain system#local-user adminpasswordcipher .]@USE=B,53Q=^Q`MAF4<1!! service-type telnet terminallevel 3service-type ftplocal-userhuawei telnet用户,用于远程管理password simple huaweiservice-type telnetlevel 3#dhcp server ip-pool 10为VLAN10分配IP地址network 192.168.10.0 mask 255.255.255.0gateway-list 192.168.10.1dns-list 100.100.100.100#dhcp server ip-pool 20为VLAN20分配IP地址network 192.168.20.0 mask 255.255.255.0gateway-list 192.168.20.1dns-list 100.100.100.100#dhcp server ip-pool 30为VLAN30分配IP地址network 192.168.30.0 mask 255.255.255.0gateway-list 192.168.30.1dns-list 100.100.100.100#dhcp server ip-pool 40为VLAN40分配IP地址network 192.168.40.0 mask 255.255.255.0gateway-list 192.168.40.1dns-list 100.100.100.100#interface Aux0async mode flow#interfaceEthernet1/0用于与交换机的管理IP互通ip address 192.168.100.1 255.255.255.0 firewall packet-filter 3000 inbound#interfaceEthernet1/0.1终结交换机上的VLAN10tcp mss 1024ip address 192.168.10.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 10#interfaceEthernet1/0.2终结交换机上的VLAN20tcp mss 1024ip address 192.168.20.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 20#interfaceEthernet1/0.3终结交换机上的VLAN30tcp mss 1024ip address 192.168.30.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 30#interfaceEthernet1/0.4终结交换机上的VLAN40tcp mss 1024ip address 192.168.40.1 255.255.255.0 firewall packet-filter 3000 inbound vlan-type dot1q vid 40#interface Ethernet2/0ip address 222.222.222.1 255.255.255.0 nat outbound 2000 address-group 0进行私网到公网的地址转换#interface NULL0#acl number 2000允许192.168.0.0 这个网段的地址进行地址转换rule 0 permit source 192.168.0.0 0.0.255.255rule 1 deny#acl number 3000rule 0 deny udp destination-port eq tftp rule 1 deny tcp destination-port eq 135 rule 2 deny udp destination-port eq 135 rule 3 deny udp destination-port eq netbios-nsrule 4 deny udp destination-port eq netbios-dgmrule 5 deny tcp destination-port eq 139 rule 6 deny udp destination-port eq netbios-ssnrule 7 deny tcp destination-port eq 445 rule 8 deny udp destination-port eq 445 rule 9 deny tcp destination-port eq 539 rule 10 deny udp destination-port eq 539 rule 11 deny udp destination-port eq 593 rule 12 deny tcp destination-port eq 593 rule 13 deny udp destination-port eq 1434rule 14 deny tcp destination-port eq 4444rule 15 deny tcp destination-port eq 9996rule 16 deny tcp destination-port eq 5554rule 17 deny udp destination-port eq 9996rule 18 deny udp destination-port eq 5554rule 19 deny tcp destination-port eq 137 rule 20 deny tcp destination-port eq 138 rule 21 deny tcp destination-port eq 1025rule 22 deny udp destination-port eq 1025rule 23 deny tcp destination-port eq 9995rule 24 deny udp destination-port eq 9995rule 25 deny tcp destination-port eq 1068rule 26 deny udp destination-port eq 1068rule 27 deny tcp destination-port eq 1023rule 28 deny udp destination-port eq 1023#ip route-static 0.0.0.0 0.0.0.0 222.222.222.254 preference 60到电信网关的缺省路由#user-interface con 0user-interface aux 0user-interface vty 0 4authentication-mode scheme#return===================================== ==========================<Quidway 3050C>dis cu#sysname Quidway#radius scheme systemserver-type huaweiprimary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domaindomain systemradius-scheme systemaccess-limit disablestate activevlan-assignment-mode integeridle-cut disableself-service-url disablemessenger time disabledomain default enable system#local-server nas-ip 127.0.0.1 key huaweilocal-user huawei用于WEB网管和TELNETpassword simple huaweiservice-type telnet level 3#vlan 1#vlan 10#vlan 20#vlan 30# vlan 40#interfaceVlan-interface1管理IPip address 192.168.100.2 255.255.255.0 #interface Aux0/0#interface Ethernet0/1port access vlan 10#interface Ethernet0/2port access vlan 10#interface Ethernet0/3port access vlan 10#interface Ethernet0/4port access vlan 10#interface Ethernet0/5port access vlan 10#interface Ethernet0/6port access vlan 10#interface Ethernet0/7port access vlan 10#interface Ethernet0/8port access vlan 10#interface Ethernet0/9port access vlan 10#interface Ethernet0/10port access vlan 10#interface Ethernet0/11port access vlan 20#interface Ethernet0/12port access vlan 20#interface Ethernet0/13 port access vlan 20#interface Ethernet0/14 port access vlan 20#interface Ethernet0/15 port access vlan 20#interface Ethernet0/16 port access vlan 20#interface Ethernet0/17 port access vlan 20#interface Ethernet0/18 port access vlan 20#interface Ethernet0/19 port access vlan 20#interface Ethernet0/20 port access vlan 20#interface Ethernet0/21 port access vlan 30#interface Ethernet0/22 port access vlan 30#interface Ethernet0/23 port access vlan 30#interface Ethernet0/24 port access vlan 30#interface Ethernet0/25 port access vlan 30#interface Ethernet0/26 port access vlan 30# interface Ethernet0/27 port access vlan 30#interface Ethernet0/28 port access vlan 30#interface Ethernet0/29 port access vlan 30#interface Ethernet0/30 port access vlan 30#interface Ethernet0/31 port access vlan 40#interface Ethernet0/32 port access vlan 40#interface Ethernet0/33 port access vlan 40#interface Ethernet0/34 port access vlan 40#interface Ethernet0/35 port access vlan 40#interface Ethernet0/36 port access vlan 40#interface Ethernet0/37 port access vlan 40#interface Ethernet0/38 port access vlan 40#interface Ethernet0/39 port access vlan 40#interface Ethernet0/40 port access vlan 40#interface Ethernet0/41 port access vlan 40 #interface Ethernet0/42port access vlan 40 #interface Ethernet0/43 port access vlan 40 #interface Ethernet0/44 port access vlan 40 #interface Ethernet0/45 port access vlan 40 #interface Ethernet0/46 port access vlan 40 #interface Ethernet0/47 port access vlan 40 #interface Ethernet0/48 上行口port link-type trunkport trunk permit vlan 1 10 20 30 40 只允许这几个VLAN 标签透传 #interface NULL0 #user-interface aux 0 user-interface vty 0 4 #return<Quidway> 0人了章。
通过在外网口配置nat基本就OK 了,以下配置假设EthernetO/O为局域网接口,EthernetO/1 为外网口。
1、配置内网接口( EthernetO/O):[MSR20-20 ] in terface EthernetO/O[MSR20-20 - EthernetO/O]ip add 192.168.1.1 242、使用动态分配地址的方式为局域网中的PC分配地址[MSR20-20 ]dhcp server ip-pool 1[MSR20-20 -dhcp-pool-1]network 192.168.1.0 24[MSR20-20 -dhcp-pool-1]dns-list 202.96.134.133[MSR20-20 -dhcp-pool-1] gateway-list 192.168.1.13、配置nat[MSR20-20 ]nat address-group 1 公网IP 公网IP[MSR20-20 ]acl number 3000[MSR20-20 -acl-adv-3000]rule 0 permit ip4、配置外网接口( EthernetO/1)[MSR20-20 ] in terface EthernetO/1[MSR20-20 - Ethernet0/1]ip add 公网IP[MSR20-20 - EthernetO/1] nat outbound 3000 address-group 15 .加默缺省路由[MSR20-20 ]route-stac 0.0.0.0 0.0.0.0 夕卜网网关总结:在2020路由器下面,配置外网口,配置内网口,配置acl作nat,一条默认路由指向电信网关.ok!Console登陆认证功能的配置关键词:MSR;co nsole;一、组网需求:要求用户从con sole登录时输入已配置的用户名h3c和对应的口令h3c,用户名和口令正确才能登录成功。
华为NAT配置案例模拟图表1模拟拓扑图1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet(公网)静态一对一:AR1#interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0nat static global 202.1.1.1 inside 192.168.1.2 netmask255.255.255.255AR2#[AR2]ip route-static 202.1.1.1 255.255.255.255 202.106.1.2[AR2]结果测试:查看静态转换表[AR1]display nat staticStatic Nat Information:Interface : GigabitEthernet0/0/1Global IP/Port : 202.1.1.1/----Inside IP/Port : 192.168.1.2/----Protocol : ----VPN instance-name : ----Acl number : ----Netmask : 255.255.255.255Description : ----Total : 1[AR1]在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静态一对一的关系2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet(公网)动态NAT[AR1]nat address-group 1 202.1.1.1 202.1.1.1(定义一个地址池存放一个可用公网地址202.1.1.1)[AR1]dis cu | begin aclacl number 2000 (定义转换的源IP)rule 5 permit source 192.168.1.0 0.0.0.255interface GigabitEthernet0/0/1(接口调用)ip address 202.106.1.2 255.255.255.0nat outbound 2000 address-group 1结果测试:在出接口下将ACL和地址池关联起来,需要注意华为设备上如果地支持中有不止一个IP地址,后面需加no-pat,本例中只有一个地址可以不加;PC1和PC2都可以访问公网[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 ?no-pat Not use PAT<cr> Please press ENTER to execute command3、在华为设备上部署PAT技术实现公司员工(私网)访问internet(公网)AR1#acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0nat outbound 2000 (定义复用接口g0/0/1用于PAT转换)结果测试[AR1]dis nat outboundNAT Outbound Information:--------------------------------------------------------------------------Interface Acl Address-group/IP/Interface Type--------------------------------------------------------------------------GigabitEthernet0/0/1 2000 202.106.1.2 easyip--------------------------------------------------------------------------Total : 1[AR1]4、在华为设备上部署静态端口映射技术实现公网用户访问私网服务器静态端口映射--------------------------------------------------------------------------AR1#acl number 2000rule 5 permit source 192.168.1.0 0.0.0.255interface GigabitEthernet0/0/1ip address 202.106.1.2 255.255.255.0nat static protocol tcp global 202.1.1.1 23 inside 192.168.1.4 23 nat outbound 2000#return[AR1-GigabitEthernet0/0/1]--------------------------------------------------------------------------AR3#[AR3]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1[AR3]dis cu | begin vtyuser-interface vty 0 4authentication-mode passwordset authentication password cipher ****user-interface vty 16 20[AR3]。
ensp上防⽕墙上配置nat博⽂⼤纲:⼀、华为防⽕墙NAT的六个分类;⼆、解决NAT转换时的环路及⽆效ARP;三、server-map表的作⽤;四、NAT对报⽂的处理流程;五、各种常⽤NAT的配置⽅法;⼀、华为防⽕墙NAT的六个分类华为防⽕墙的NAT分类:NAT No-PAT:类似于Cisco的动态转换,只转换源IP地址,不转换端⼝,属于多对多转换,不能节约公⽹IP地址,使⽤情况较少。
NAPT(Network Address and Port Translation,⽹络地址和端⼝转换):类似于Cisco的PAT转换,NAPT即转换报⽂的源地址,⼜转换源端⼝。
转换后的地址不能是外⽹接⼝IP地址,属于多对多或多对⼀转换,可以节约公⽹IP地址,使⽤场景较多。
出接⼝地址(Easy-IP):因其转换⽅式⾮常简单,所以也被称为Easy-IP、和NAPT⼀样,即转换源IP地址,⼜转换源端⼝。
区别是出接⼝地址⽅式转换后的地址只能是NAT设备外⽹接⼝所配置的IP地址,属于多对⼀转换,可以节约IP地址。
NAT Server:静态⼀对⼀发布,主要⽤于内部服务器需要对Internet提供服务时使⽤,。
Smart NAT(智能转换):通过预留⼀个公⽹地址进⾏NAPT转换,⽽其他的公⽹地址⽤来进⾏NAT No-PAT转换,该⽅式不太常⽤。
三元组NAT:与源IP地址、源端⼝和协议类型有关的⼀种转换,将源IP地址和源端⼝转换为固定公⽹IP地址和端⼝,能解决⼀些特殊应⽤在普遍NAT中⽆法实现的问题。
主要应⽤于外部⽤户访问局域⽹的⼀些P2P应⽤。
⼆、解决NAT转换时的环路及⽆效ARP在特定的NAT转换时,可能会产⽣环路及⽆效ARP,关于其如何产⽣,⼤概就是,在有些NAT的转换⽅式中,是为了解决内⽹连接Internet,⽽映射出了⼀个公有IP,那么,若此时有⼈通过internet来访问这个映射出来的公有IP,就会产⽣这两种情况。
若要详细说起来,⼜是很⿇烦,但是解决这两个问题很简单,就是配置⿊洞路由(将internet主动访问映射出来的地址的流量指定到空接⼝null0),关于如何配置,将在过后的配置中展⽰出来,我总结了以下需要配置⿊洞路由的场景,如下表所⽰:表中的前三个可以对应到⽂章开始的⼏个NAT类型中,那么NAT Server(粗泛)、NAT Server(精细)⼜是什么⿁呢?NAT Server(粗泛):是NAT Server转换类型中的⼀种,表⽰源地址和转换后的地址只有简单的映射关系,没有涉及端⼝等映射,如源地址为192.168.1.2,转换后的地址为33.2.55.6,如果做的是NAT Server(粗泛)这种类型的NAT,那么所有访问33.2.55.6的数据包都将转发给192.168.1.2这个地址。
私网用户通过NAPT方式访问Internet(备注:在这种环境中,外网只能ping通外网口,公网没有写入到内网的路由,所以前提是内网只能ping通外网口,但走不到外网口以外的网络,做了NAT之后,内网可以通外网任何网络,但是外网只能ping到本地内网的外网口。
)本例通过配置NAPT功能,实现对少量公网IP地址的复用,保证公司员工可以正常访问Internet。
组网需求如图1所示,某公司内部网络通过USG9000与Internet相连,USG9000作为公司内网的出口网关。
由于该公司拥有的公网IP地址较少(202.169.1.21~202.169.1.25),所以需要利用USG9000的NAPT功能复用公网IP地址,保证员工可以正常访问Internet。
图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置,包括配置接口的IP地址,并将接口加入安全区域。
2.配置安全策略,允许私网指定网段访问Internet。
3.配置NAT地址池和NAT策略,对指定流量进行NAT转换,使私网用户可以使用公网IP地址访问Internet。
4.配置黑洞路由,防止产生路由环路。
操作步骤1.配置USG9000的接口IP地址,并将接口加入安全区域。
# 配置接口GigabitEthernet 1/0/1的IP地址。
<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。
[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。
史上最详细H C路由器N A T典型配置案例 Last updated on the afternoon of January 3, 2021H3C路由器N A T典型配置案列(史上最详细)神马CCIE,H3CIE,HCIE等网络工程师日常实施运维必备,你懂的。
NAT典型配置举例内网用户通过NAT地址访问外网(静态地址转换)1.组网需求内部网络用户使用外网地址访问Internet。
2.组网图图1-5?静态地址转换典型配置组网图3.配置步骤#按照组网图配置各接口的IP地址,具体配置过程略。
#配置内网IP地址到外网地址之间的一对一静态地址转换映射。
<Router>system-view[Router]natstaticoutbound#使配置的静态地址转换在接口GigabitEthernet1/2上生效。
[Router]interfacegigabitethernet1/2[Router-GigabitEthernet1/2]natstaticenable[Router-GigabitEthernet1/2]quit4.验证配置#以上配置完成后,内网主机可以访问外网服务器。
通过查看如下显示信息,可以验证以上配置成功。
[Router]displaynatstaticStaticNATmappings:Thereare1outboundstaticNATmappings.IP-to-IP:LocalIP?:GlobalIP:InterfacesenabledwithstaticNAT:Thereare1interfacesenabledwithstaticNAT.Interface:GigabitEthernet1/2#通过以下显示命令,可以看到Host访问某外网服务器时生成NAT会话信息。
[Router]displaynatsessionverboseInitiator:Source?IP/port:DestinationIP/port:VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)Responder:Source?IP/port:DestinationIP/port:VPNinstance/VLANID/VLLID:-/-/-Protocol:ICMP(1)State:ICMP_REPLYApplication:INVALIDStarttime:2012-08-1609:30:49?TTL:27sInterface(in):GigabitEthernet1/1Interface(out):GigabitEthernet1/2Initiator->Responder:5packets?420bytesResponder->Initiator:5packets?420bytesTotalsessionsfound:1内网用户通过NAT地址访问外网(地址不重叠)1.组网需求·某公司内网使用的IP地址为。
华为路由器配置简单NAT实例session 1 NATNAT网络地址转换,将内网用户私有ip地址转换为公网ip地址实现上网。
简单的配置分为静态NAT、动态NAT、端口PAT、NAT-server发布等,下面以实际配置为例:一、静态NAT转换AR1上配置interface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0interface GigabitEthernet0/0/2ip address 12.1.1.1 255.255.255.0nat server global 12.1.1.100 inside 192.168.2.10 在接口下将192.168.2.10转换成12.1.1.100地址访问公网nat static enable 启用nat功能(全局或者接口都可以配置)或者全局下也可以配置静态NAT:[Huawei] nat static global 12.1.1.10 inside 192.168.1.10 netmask 255.255.255.255AR2上配置interface GigabitEthernet0/0/0 AR2模拟internet设备,配置公网ip即可ip address 12.1.1.2 255.255.255.0二、动态NAT配置AR1上配置acl number 2000rule 1 permit source 192.168.1.0 0.0.0.3 使用acl匹配需要进行转换的内网ip地址(1.1-1.8这8个ip地址)nat address-group 1 12.1.1.10 12.1.1.18 配置nat转换用的公网地址池1,地址范围12.1.1.10~12.1.1.18interface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/0/1interface GigabitEthernet0/0/2ip address 12.1.1.1 255.255.255.0nat outbound 2000 address-group 1 no-pat 在接口出方向上使用动态NAT,不做PAT端口复用AR2上配置interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0nat static enable三、端口多路复用PAT配置AR1上的配置acl number 2000 使用acl匹配所有ip流量rule 1 permitinterface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/0/2ip address 12.1.1.1 255.255.255.0nat outbound 2000 在出接口上使用PAT端口复用或者可以使用loopback接口(将公网ip配置在loopback接口上)来做PAT接口ip地址,这样当物理接口ip地址没有了也不会影响NAT,提高稳定性:[Huawei-GigabitEthernet0/0/2]nat outbound 2000 interface loopback 0AR2上配置interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0nat static enable验证可以使用PC2去ping模拟internet的AR2的接口ip:12.1.1.2PC>ping 12.1.1.2Ping 12.1.1.2: 32 data bytes, Press Ctrl_C to breakFrom 12.1.1.2: bytes=32 seq=1 ttl=254 time=47 msFrom 12.1.1.2: bytes=32 seq=2 ttl=254 time=32 msFrom 12.1.1.2: bytes=32 seq=3 ttl=254 time=16 msFrom 12.1.1.2: bytes=32 seq=4 ttl=254 time=31 msFrom 12.1.1.2: bytes=32 seq=5 ttl=254 time=15 ms--- 12.1.1.2 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 15/28/47 msPC>四、NAT发布内网服务器到公网,供公网用户访问。
华为IPSEC VPN互通 + 上网配置示例【包含基本VPN+NAT+NAT免俗】一、实验目的掌握 NAT 的配置掌握 IPSEC VPN 的基础配置二、实验拓扑三、配置要点1.总公司的配置#sysname ZongGongSi#acl number 3000rule 5 deny ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.10.0 0.0.0.255 destination 172.16.20.0 0.0.0.255 #ipsec proposal test#ike proposal 1#ike peer test v2pre-shared-key simple passwordremote-address 23.1.1.2ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.10.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 12.1.1.1 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 12.1.1.22.分公司配置sysname FenGongSi#acl number 3000rule 5 deny ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 rule 10 permit ipacl number 3001rule 5 permit ip source 172.16.20.0 0.0.0.255 destination 172.16.10.0 0.0.0.255 #ipsec proposal test#ike peer test v2pre-shared-key simple passwordremote-address 12.1.1.1#ipsec policy test 10 isakmpsecurity acl 3001ike-peer testproposal test#interface GigabitEthernet0/0/0ip address 172.16.20.1 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.2 255.255.255.0ipsec policy testnat outbound 3000#ip route-static 0.0.0.0 0.0.0.0 23.1.1.1#3.互联网的配置#sysname Internet#interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0#interface GigabitEthernet0/0/1ip address 23.1.1.1 255.255.255.0#interface LoopBack100ip address 100.100.100.100 255.255.255.0 #interface LoopBack200ip address 200.200.200.200 255.255.255.0 #四、互通测试1.主机上 ping 分支上网PC>ping 172.16.20.20Ping 172.16.20.20: 32 data bytes, Press Ctrl_C to break From 172.16.20.20: bytes=32 seq=1 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=2 ttl=127 time=47 ms From 172.16.20.20: bytes=32 seq=3 ttl=127 time=31 ms From 172.16.20.20: bytes=32 seq=4 ttl=127 time=16 ms From 172.16.20.20: bytes=32 seq=5 ttl=127 time=31 ms--- 172.16.20.20 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 16/34/47 msPC>ping 100.100.100.100Ping 100.100.100.100: 32 data bytes, Press Ctrl_C to break From 100.100.100.100: bytes=32 seq=1 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=2 ttl=254 time=15 ms From 100.100.100.100: bytes=32 seq=3 ttl=254 time=31 ms From 100.100.100.100: bytes=32 seq=4 ttl=254 time=47 ms From 100.100.100.100: bytes=32 seq=5 ttl=254 time=47 ms --- 100.100.100.100 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 15/34/47 ms2.路由器上校验<ZongGongSi>dis ike sa v2Conn-ID Peer VPN Flag(s) Phase---------------------------------------------------------------3 23.1.1.2 0 RD 22 23.1.1.2 0 RD 1Flag Description:RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUTHRT--HEARTBEAT LKG--LAST KNOWN GOOD SEQ NO. BCK--BACKED UP<ZongGongSi>dis ipsec sa briefNumber of SAs:2Src address Dst address SPI VPN Protocol Algorithm------------------------------------------------------------------------------- 23.1.1.2 12.1.1.1 2433519709 0 ESP E:DES A:MD5-9612.1.1.1 23.1.1.2 2579144653 0 ESP E:DES A:MD5-96。
华为NAT配置案例模拟
图表1模拟拓扑图
1、在华为设备上部署静态NAT技术,实现公司员工(私网)访问internet(公网)
静态一对一:
AR1#
interface GigabitEthernet0/0/1
AR2#
[AR2]
结果测试:
查看静态转换表
[AR1]display nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Protocol : ----
VPN instance-name : ----
Acl number : ----
Description : ----
Total : 1
[AR1]
在没有做静态NAT条目的PC2上不能访问公网,可以得出结论:静态NAT是静态一对一的关系
2、在华为设备上部署动态NAT技术,实现公司员工(私网)访问internet(公网)
动态NAT
(定义一个地址池存放一个可用公网地址)
[AR1]dis cu | begin acl
acl number 2000 (定义转换的源IP)
interface GigabitEthernet0/0/1(接口调用)
nat outbound 2000 address-group 1
结果测试:
?
在出接口下将ACL和地址池关联起来,需要注意华为设备上如果地支持中有不止一个IP地址,后面需加no-pat,本例中只有一个地址可以不加;PC1和PC2都可以访问公网
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 ?
no-pat Not use PAT
<cr> Please press ENTER to execute command
3、在华为设备上部署PAT技术实现公司员工(私网)访问internet(公网)
AR1#
acl number 2000
interface GigabitEthernet0/0/1
nat outbound 2000 (定义复用接口g0/0/1用于PAT转换)
结果测试
[AR1]dis nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
--------------------------------------------------------------------------
Total : 1
[AR1]
4、在华为设备上部署静态端口映射技术实现公网用户访问私网服务器
静态端口映射
--------------------------------------------------------------------------
AR1#
acl number 2000
interface GigabitEthernet0/0/1
2323
nat outbound 2000
#
return
[AR1-GigabitEthernet0/0/1]
--------------------------------------------------------------------------
AR3#
[AR3]dis cu | begin vty
user-interface vty 0 4
authentication-mode password
set authentication password cipher **** user-interface vty 16 20
[AR3]。
