华为NAT配置

文档名称 内部公开

5.2 NAT-地址转换

5.2.1 用出接口地址做Easy NAT

【Router】

当前路由器提示视图 [Quidway]

依次输入的配置命令，重要的命令红色突出显示 acl number 2000

简单说明

配置允许进行

rule permit source

[Quidway-acl-basic-2000] NAT转换的内网

192.168.0.0 0.0.0.255

地址段 [Quidway-acl-basic-2000] rule deny

[Quidway]

[Quidway-Ethernet0/1]

[Quidway]

[Quidway-Ethernet0/1] [Quidway-Ethernet0/1]

interface Ethernet0/1

ip address 192.168.0.1

内网网关

255.255.255.0

interface Ethernet0/0

ip address 202.1.1.2

255.255.255.248 nat outbound 2000

在出接口上进行NAT转换

[Quidway]

ip route-static 0.0.0.0 0.0.0.0 202.1.1.1 配置默认路由 preference 60

【提示】

该配置为最常见的NAT上网的配置。

2013-9-17

华为机密，未经许可不得扩散

第1页, 共4页

文档名称 内部公开

5．2．2 地址池方式做nat

【Router】

当前路由器提示视图 [Quidway]

依次输入的配置命令，重要的命令红色突出显示

acl number 2000

简单说明

[Quidway-acl-basic-2000] rule permit source 配置允许进行

192.168.0.0 0.0.0.255 NAT转换的内网

地址段

[Quidway-acl-basic-2000] rule deny

[Quidway]

[Quidway]

[Quidway-Ethernet0/1]

[Quidway]

[Quidway-Ethernet0/1] [Quidway-Ethernet0/1]

[Quidway]

nat address-group

202.1.1.3 202.1.1.6

interface Ethernet0/1

0 用户NAT的地址

池

ip address 192.168.0.1 内网网关 255.255.255.0

interface Ethernet0/0 ip address 202.1.1.2

255.255.255.0 nat outbound 2000 address-group 0

在出接口上进行NAT转换

ip route-static 0.0.0.0 配置默认路由 0.0.0.0 202.1.1.1 preference 60

2013-9-17

华为机密，未经许可不得扩散 第2页, 共4页

文档名称 内部公开

5.2.3 一个以太口也做nat转换

【Router】

当前路由器提示视图 [Quidway]

依次输入的配置命令，重要的命令红色突出显示 acl number 3000

简单说明

配置进行NAT的ACL

rule deny ip source

[Quidway-acl-adv-3000] 192.168.0.0 0.0.0.255

destination 192.168.0.1 0 rule permit ip source

[Quidway-acl-adv-3000] 192.168.0.0 0.0.0.255

destination any

rule deny ip source any

[Quidway-acl-adv-3000]

destination any

[Quidway]

[Quidway-Ethernet0/0] [Router-Ethernet0] [Router-Ethernet0]

interface Ethernet0/0

ip address 202.1.1.1

255.255.255.0

ip address 192.168.0.1

255.255.255.0 sub nat outbound 3000

配置NAT

ip route-static 0.0.0.0

[Router] 0.0.0.0 202.1.1.2 配置默认路由

preference 60

rule normal permit source

[Quidway-acl-adv-3000]

10.0.0.0 0.0.0.255

说明：上例不推荐使用。

2013-9-17

华为机密，未经许可不得扩散 第3页, 共4页

文档名称 内部公开

5．2．4 对外提供ftp，www等服务

以www服务为例,除了5.2.1和5.2.2的配置,公网接口需要增加如下配置:

[Quidway-Ethernet0/0]nat server protocol tcp global 202.1.1.2 www inside 192.168.0.2 www

注意:如果需要其他用户可以ping通内部对外提供服务的服务器,必须增加如下配置: [Router-Ethernet1]nat server protocol global icmp 202.1.1.2 inside 192.168.0.2

注意:内部用户不能使用公网地址来访问内部服务器,必须使用内网地址访问.

如上例子:192.168.0.0/24网段的用户,不能访问http://202.1.1.2,而只能访问http://192.168.0.2

2013-9-17

华为机密，未经许可不得扩散 第4页, 共4页