华为eNSP配置专题-NAT的配置-CSDN博客

华为eNSP配置专题-NAT的配置

0、参考文档

华为-静态NAT提供了如何取消已有NAT配置的方法。

1、前置环境

1.1、宿主机

笔记本电脑配置如下Windows10企业版32GB内存

1.2、eNSP模拟器

eNSP1.3.00

2、基本环境搭建

2.1、基本终端构成和连接

0、总体拓扑如下

1、2台PC。
2、1台交换机型号为S5700
3、2台路由器型号为AR2220。其中一台为作为各网段的默认网关另外一台路由器模拟互联网
4、开启设备。

2.2、各终端基本配置

2.2.1、PC1和PC2的配置

1、PC1配置静态IP和网关如下
IP192.168.1.1
掩码255.255.255.0
网关192.168.1.254

2、PC2配置静态IP和网关如下
IP192.168.1.2
掩码255.255.255.0
网关192.168.1.254

2.2.2、交换机不做任何配置

交换机不用做任何配置因为默认有一个VLAN1。

2.2.3、网关路由器的配置

1、右击网关路由器-》点击“CLI”进入系统模式改名为AR1。

system-view
sysname AR1

2、为g0/0/0配置内网IP地址即网关地址

int g0/0/0
ip add 192.168.1.254 24

3、为g0/0/1配置公网地址

int g0/0/1
ip add 12.1.1.1 24

2.2.4、模拟互联网的路由器的配置

1、右击模拟互联网的路由器-》点击“CLI”进入系统模式改名为AR1。

system-view
sysname AR2

2、为g0/0/0配置公网IP地址模拟互联网

int g0/0/0
ip add 12.1.1.254 24

3、配置静态NAT

3.1、配置前测试

1、打开模拟互联网的路由器的数据抓包。
2、在PC1的命令行ping 12.1.1.254会发现ping不通但是路由器AR2上已经接收到了ping的数据。
3、这个问题的原因在于PC1去ping 12.1.1.254时会把包转发给网关即192.168.1.254。网关是有到10.1.1.0/24的直连路由的因此可以把包转给12.1.1.254。所以模拟互联网的路由器12.1.1.254可以收到192.168.1.1的ICMP包。但是当需要返回包时AR2会找是否有192.168.1.1的路由显然找不到所以没法返回。所以这也造成了能在AR2上看到PC1的ping的包但PC1却ping不通AR2。

3.2、在接口外配置静态NAT

3.2.1、在接口外配置静态NAT

1、右击模拟互联网的路由器AR1-》点击“CLI”进入系统视图。

system-view

2、配置静态NAT

nat static global 12.1.1.2 inside 192.168.1.1

3、由于这是在接口外配置的所以要到接口内部再使能NAT

int g0/0/1
nat static enable

4、这时再从PC1去ping AR2发觉可以ping通了并且IP地址为10.1.1.2。

3.2.2、取消接口外配置静态NAT的方法

int g/0/0/1
undo nat static enable
quit
undo nat static global 12.1.1.2 inside 192.168.1.1

3.3、在接口内配置静态NAT

3.3.1、在接口内配置静态NAT

1、在AR1上做如下配置即可以下配置都是立即生效

<AR1>system-view
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 
192.168.1.1

3.3.2、取消接口内配置静态NAT的方法

1、在AR1上做如下配置即可以下配置都是立即生效

int g/0/0/1
undo nat static global 12.1.1.3 inside 192.168.1.1

4、配置动态NAT(no-pat模式)

所谓no-pat模式就是只做IP映射不做端口映射。

4.1、配置动态NAT(no-pat模式)

1、右击模拟互联网的路由器AR1-》点击“CLI”进入系统视图。

system-view

2、配置地址池可用的转换地址为12.1.1.3到12.1.1.10这8个地址。

[AR1]nat address-group 1 12.1.1.3 12.1.1.10

3、配置ACL匹配规则

[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]quit

4、为端口g0/0/1配置动态NAT以下语句以为匹配ACL2000的地址为他们配置编号为1的NAT地址池采用非端口映射方式。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

5、配置完成会立即生效。但因为eNSP的bug每过一段时间会出问题这不是NAT的问题而是模拟器的Bug。

4.2、取消已配置的动态NAT(no-pat模式)

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
undo nat address-group 1 

5、配置动态NAT(端口模式)

5.1、配置动态NAT(端口模式)

1、右击模拟互联网的路由器AR1-》点击“CLI”进入系统视图。

system-view

2、配置地址池这里只需要配置一个地址因为使用了端口映射。注意把首尾IP配置成相同的一个就达到了配置一个地址的目的。

[AR1]nat address-group 1 12.1.1.11 12.1.1.11

3、为端口g0/0/1配置动态NAT与上面唯一的区别就是不带no-pat选项。配置立刻会生效PC1就能ping通AR2即代表互联网了。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 

5.2、取消已配置的动态NAT(端口模式)

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1
[AR1-GigabitEthernet0/0/1]quit
[AR1]undo nat address-group 1

6、查看NAT会话情况

1、右击模拟互联网的路由器AR1-》点击“CLI”进入系统视图。

system-view

2、输入如下命令查看当前NAT会话

[AR1]display nat session all

7、配置动态NAT(easyIP模式)

easyIP模式就是不必配置专门的IP地址直接使用网关本身的外网IP地址+端口映射。

7.1、配置动态NAT(easyIP模式)

1、右击模拟互联网的路由器AR1-》点击“CLI”进入系统视图。

system-view

2、为端口g0/0/1配置动态NAT与上面唯一的区别就是不带address-group选项了直接使用网关本身的IP地址。配置会立即生效。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 

7.2、取消已配置的动态NAT(easyIP模式)

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 

8、配置NAT Server

8.1、NAT Server概述

NAT Server实质就是反向代理用一个外网地址为一个内网地址做代理这样外网的其他机器就可以用外网地址访问这台内网的服务器了。

8.2、NAT Server配置

1、右击模拟互联网的路由器AR1-》点击“CLI”进入系统视图。

system-view

2、为端口g0/0/1配置NAT Server将12.1.1.2的80端口映射刀片192.168.1.2的端口上。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.2 80 inside 192.168.1.2 80