高分 求解华为路由器NAT

Posted 2023-04-26

情况是这样的：毕业设计做校园网网络设备配置，交换机用cisco的，路由器用华为的，配到华为路由器的NAT不会了，命令不会，网上搜了一大堆，看不懂。是多对多的复用动态地址转换，如果用cisco的话，步骤是这样的1、定义内网口 ip nat inside2、定义外网口 ip nat outside3、定义标准ACL access-list 1 permit 192.168.1.0 255.255.255.04、配置公网地址池 ip nat pool 公网地址池名字（zp）起始IP地址 终止IP地址 netmask5、映射 ip nat inside source list 1 pool zp overolad要华为路由器命令的配置，要有注释，最好解释清楚对应cisco的那一条。大侠些，帮忙啊

1、网络环境： 内网用户IP地址为10.83.91.0/255.255.254.0，也就是说IP地址为两个C类地址，涵盖范围为10.83.91.0到10.83.92.255。路由器使用的是华为公司出品的2621产品，该产品有两个以太网口供我们使用。网口一连接外网，IP地址为公网地址；网口二连接内网，IP地址为私网地址。 2、配置过程： 公司希望在路由器上配置NAT功能，让内网中的用户使用NAT访问外网。2621路由器上已经配置了外网接口IP为61.51.3.103(公网IP地址），内网接口IP地址为10.83.91.254。NAT配置命令如下，笔者将一一做详细注释。 “acl 1” 命令解释：设置一个访问控制列表，列表号为1。 “rule normal permit source 10.83.91.254 0.0.1.255” 命令解释：为访问控制列表添加规则，容许10.83.91.254/255.255.254.0这个网段的所有地址通过。注意一点的是命令中使用的是0.0.1.255这样的反向掩码形式，实际上他代表子网掩码为255.255.254.0。 “nat outbound 1 interface” 命令解释：在NAT出口接口上进行设置，即外网接口，启用NAT功能。容许NAT的主机为访问控制列表1中规定的地址。 小提示：华为路由器启用NAT功能时使用了一种称作EASYIP的技术，可以让内网IP映射为路由器的外网接口IP地址，从而让多个内网IP地址对应一个公网IP，这个技术可以在数量上节省一个公网IP地址。 3、附属功能： 有的公司可能有专门的WWW服务器或MAIL服务器，对于这些服务器来说不能使用NAT进行映射，因为NAT后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问WWW和MAIL服务器的。这时可以在路由器上使用nat server命令解决这个问题，对主机进行宣告。例如上面的公司如果其WWW服务器的IP地址内网是10.83.91.2，公网发布地址为61.51.3.104的话，可以使用如下命令宣告：“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。 总结：笔者在公司的2621上配置了NAT后网络运行非常稳定，不过配置时要注意以下几点，一是设置访问控制列表时一定要设置相应的规则，如果ACL是空或者规则采用permit any都会造成NAT的失效，因为路由器将不知道哪个接口为NAT外网接口，哪个是内网接口。 nat address-group 1 218.249.xxx.xxx 218.249.xxx.xxx
#
dhcp server ip-pool 0
network 192.168.0.0 mask 255.255.255.0
gateway-list 192.168.0.1
dns-list 211.94.65.97
#
interface Ethernet1/0
ip address 192.168.0.1 255.255.255.0
ip address 218.249.xxx.xxx 255.255.255.240 sub
#
interface Ethernet2/0
speed 10
duplex full
ip address 172.30.161.10 255.255.255.252
nat outbound 2000 address-group 1
#
interface NULL0
#
acl number 2000
rule 0 permit source 192.168.0.0 0.0.0.255
rule 1 deny
#
ip route-static 0.0.0.0 0.0.0.0 172.30.161.9 preference 60

这两个都是网上找的，呵呵自己懒的打了，你要问什么具体点么，我一个一个给你回答^^ 参考技术A 地址转换配置举例
[Quidway]firewall enable
[Quidway]firewall default permit
[Quidway]acl 2001 ;内部指定主机可以进入e0
[Quidway-acl-basic-2001]rule deny ip source any destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.1 0 destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.2 0 destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.3 0 destination any
[Quidway-acl-basic-2001]rule permit ip source 129.38.1.4 0 destination any
[Quidway-acl-basic-2001]quit
[Quidway]int e0/0
[Quidway-Ethernet0]firewall packet-filter 2001 inbound[Quidway]acl 3002 ;外部特定主机和大于1024端口的数据包允许进入S0
[Quidway-acl-adv-3002]rule deny ip source any destination any
[Quidway-acl-adv-3002]rule permit tcp source 202.39.2.3 0 destination 202.38.160.1 0
[Quidway-acl-adv-3002]rule permit tcp source any destination 202.38.160.1 0 destination-port
great-than
1024
[Quidway-acl-adv-3002]quit
[Quidway]int s0/0
[Quidway-Serial0/0]firewall packet-filter 102 inbound[Quidway-Serial0/0]nat outbound 3002 interface ;是Easy ip，将acl允许的IP从本接口出时变换源地址。内部服务器地址转换配置命令(静态nat)：
nat server global <ip> [port] inside <ip> port [protocol]
[Quidway-Serial0/0]nat server global 202.38.160.1 inside 129.38.1.1 ftp tcp
[Quidway-Serial0/0]nat server global 202.38.160.1 inside 129.38.1.2 telnet tcp
[Quidway-Serial0/0]nat server global 202.38.160.1 inside 129.38.1.3 www tcp
设有公网IP：202.38.160.101~202.38.160.103 ;对外访问
[Quidway]nat address-group 202.38.160.101 202.38.160.103 pool1 ;建立地址池
[Quidway]acl 2001
[Quidway-acl-basic-2001]rule permit source 10.110.10.0 0.0.0.255 ;指定允许的内部网络
[Quidway-acl-basic-2001]rule deny source any
[Quidway-acl-basic-2001]int s0/0
[Quidway-Serial0/0]nat outbound 2001 address-group pool1 ;在s0口从地址池取出IP对外访问[Quidway-Serial0/0]nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp
[Quidway-Serial0/0]nat server global 202.38.160.102 inside 10.110.10.2 www tcp
[Quidway-Serial0/0]nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp
[Quidway-Serial0/0]nat server global 202.38.160.103 inside 10.110.10.4 smtp udp

华为路由器的NAT配置？

华为路由器 NAT及DHCP配置实例
sysname HUAWEI-AR28-11
#
nat address-group 1 125.95.190.3 125.95.190.3
nat static 192.168.100.254 125.95.190.6
nat static 192.168.100.252 125.95.190.5
nat aging-time tcp 360
#
radius scheme system
#
domain system
#
local-user admin
password cipher .]@USE=B,53Q=^Q`MAF4<1!!
service-type telnet terminal
level 3
service-type ftp
#
dhcp server ip-pool 1
network 192.168.1.0 mask 255.255.255.0
gateway-list 192.168.1.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 2
network 192.168.2.0 mask 255.255.255.0
gateway-list 192.168.2.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 3
network 192.168.3.0 mask 255.255.255.0
gateway-list 192.168.3.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 4
network 192.168.4.0 mask 255.255.255.0
gateway-list 192.168.4.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 5
network 192.168.5.0 mask 255.255.255.0
gateway-list 192.168.5.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 6
network 192.168.6.0 mask 255.255.255.0
gateway-list 192.168.6.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
dhcp server ip-pool 7
network 192.168.7.0 mask 255.255.255.0
gateway-list 192.168.7.1
dns-list 202.96.128.86 202.96.128.166 202.96.128.143
#
acl number 2500
rule 0 permit source 192.168.0.0 0.0.255.255
#
acl number 3900
rule 0 deny tcp destination-port eq 8
rule 1 deny tcp destination-port eq 135
rule 2 deny tcp destination-port eq 139
rule 3 deny tcp destination-port eq 445
rule 4 deny tcp destination-port eq exec
rule 5 deny tcp destination-port eq 64444
rule 6 deny tcp destination-port eq 8080
rule 7 deny udp destination-port eq 135
rule 8 deny udp destination-port eq 445
rule 9 deny udp destination-port eq 3500
#
interface Aux0
async mode flow
#
interface Ethernet0/0
ip address 125.95.190.2 255.255.255.248
nat outbound static
nat outbound 2500 address-group 1
#
interface Ethernet0/1
description line to HUAWEI-S3928
ip address 192.168.8.2 255.255.255.0
#
interface Serial0/0
clock DTECLK1
link-protocol ppp
ip address dhcp-alloc
#
interface NULL0
#
dhcp server forbidden-ip 192.168.100.252
dhcp server forbidden-ip 192.168.100.254
#
ip route-static 0.0.0.0 0.0.0.0 125.95.190.1 preference 60
ip route-static 192.168.1.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.2.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.3.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.4.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.5.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.6.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.7.0 255.255.255.0 192.168.8.1 preference 60
ip route-static 192.168.100.0 255.255.255.0 192.168.8.1 preference 60
#
user-interface con 0
user-interface aux 0
set authentication password cipher V_$D$4N:*#F/$ATR*`+,;!!!
idle-timeout 2 0
user-interface vty 0 4
user privilege level 3
set authentication password cipher V_$D$4N:*#F/$ATR*`+,;!!!
idle-timeout 2 0
#
return
具体最好咨询厂家 参考技术A 华为路由器NAT配置

华为的这个路由器，在指定outside 和inside的端口有一点不一样，

Quidway#show run

Now create configuration...

Current configuration

!

version 1.66

enable password ,Y@JM,UXNZL0XaLTV.U4*!!!

access-list normal 100 permit ip 10.0.0.0 0.255.255.255 any

!

interface Aux0

async mode interactive

encapsulation ppp

!

interface Ethernet0 #inside port#

speed auto

duplex auto

no loopback

ip address 10.0.0.2 255.255.255.0

!

interface Ethernet1 #outside port#

speed auto

duplex auto

no loopback

ip address 192.168.0.198 255.255.255.0

nat inside 100 interface #通过这个命令帮定访问列表和地址池在外部端口上#

!

interface Serial0

encapsulation ppp

!

exit

ip route 0.0.0.0 0.0.0.0 192.168.0.254 preference 60

!

end

Quidway#

NAT的配置任务列表如下：

1. 配置地址池

2. 配置访问控制列表和地址池的关联

3. 配置访问控制列表和接口的关联(EASY IP特性)

4. 配置内部服务器

增加一个内部服务器

nat serverglobal global-addr [ global-port] inside inside-addr inside-port protocol

例子： 202.38.160.101-103为公网IP

设置内部FTP服务器

Quidway(config-if-Serial0)# nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp

!设置内部WWW服务器1

Quidway(config-if-Serial0)# nat server global 202.38.160.102 inside 10.110.10.2 www tcp

!设置内部WWW服务器2

Quidway(config-if-Serial0)# nat server global 202.38.160.102 8080 inside 10.110.10.3 www tcp

!设置内部SNMP服务器

Quidway(config-if-Serial0)# nat server global 202.38.160.103 inside 10.110.10.4 snmp udp

5. 配置地址转换的有效时间 参考技术B 楼上给的配置信息要么是思科的。要么就是老版本的。最起码现在华为都用display不用show了。呵呵。楼主你留个邮箱给我。我这有配置指南发给你。收到后你采纳我的回答就好了。呵呵。如果还有更多想要的配置信息。联系我。我发给你。