关于华为AR设备的NAT问题
最近公司新人问一的这个问题我就整理了一下希望对大家有帮助NAT映射内网服务器
如果有异常,建议尝试开启“软转”
ip soft-forward enhance enable 命令用来使能设备产生的控制报文的增强转发功能。
<Huawei>
<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
int g 0/0/0
ip add 123.123.234.234 255.255.255.0
nat server protocol tcp global current-interface 80 inside 192.168.10.2 80 //使用当前接口的80端口映射内部192.168.10.2服务器上的80端口
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?:y //因为当前接口的80端口要用户路由器的web管理界面,会产生冲突,这里系统会提示是否确定将80端口替换为内部服务器的80端口
nat server protocol tcp global 123.123.234.222 any inside 192.168.20.2 any //使用单独的地址对内网192.168.20.2的服务器做全映射
tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400,缺省情况下,接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
nat server protocol tcp global 123.123.0.123 8080 inside 192.168.30.2 8080 //使用单独的地址的8080端口映射内网192.168.30.2服务器的8080端口
q
nat alg { all | dns | ftp | rtsp | sip } enable //如果内网有以上对应服务器,需要开启nat alg功能(可选)。例如,当内网存在FTP服务器时,应配置 nat alg ftp enable
NAT地址组
<Huawei>
<Huawei>sys //进入系统模式
Enter system view, return user view with Ctrl+Z.
acl 2000 //创建ACL,以匹配允许访问外网的内网地址段
rule permit source any //当前设置为允许内网所有网段访问外网
q
nat address-group 1 211.162.1.54 211.162.1.62//建立序号为1的地址组,地址组范围为211.162.1.54到211.162.1.62之间。
//注意:地址组中的地址不能包含当前物理接口所使用的地址,这里是211.162.1.53。
int g 0/0/0 //进入链接到外网的0号接口
ip add 211.162.1.53 255.255.255.0//公网固定地址
nat outbound 2000 address-group 1 //在该接口下绑定之前所设置的ACL和地址组
tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400,缺省情况下,接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
q
q
<Huawei>
AR V200R003C01版本将正式支持此功能,如果客户要使用此功能,请升级至V200R003C01SPC300版本
场景一:内网PC和内网服务器不在同一网段
set workmode lan-cardl3centralize ---如果是在24GE或者8FE上部署的话需要配置这个
#
interfaceGigabitEthernet0/0/1 ------------公网口
ipaddress 202.100.1.10 255.255.255.0
natserver global 202.100.1.100 inside 192.168.1.100
#
interfaceVlanif100 --------------连接内网服务器的接口
ipaddress 192.168.1.1 255.255.255.0
#
interfaceVlanif200 ---------------连接内网PC的接口
ipaddress 192.168.2.1 255.255.255.0
nat server global 202.100.1.100 inside192.168.1.100 ----配置Nat Server
#
内网访问流量目的IP是公网地址,直接在Vlanif200接口命中Nat Server,做目的地址替换,然后查路由到Vlanif100接口出去,服务器回包后做反向替换
场景二:内网PC和内网服务器在同一网段
set workmode lan-cardl3centralize ---如果是在24GE或者8FE上部署的话需要配置这个
#
interfaceGigabitEthernet0/0/1 ---公网口
ipaddress 202.100.1.10 255.255.255.0
natserver global 202.100.1.100 inside 192.168.1.100
#
interfaceVlanif100 ---内网口
ipaddress 192.168.1.1 255.255.255.0
nat server global 202.100.1.100 inside 192.168.1.100 ----配置Nat Server
如果这里需要写的公网接口是物理接口上已写地址,需要写为nat server protocol tcp global interface GigabitEthernet 0/0/0 80 inside 172.18.0.57 80
接口名称要写完整,否则系统可能无法识别接口,会报错
nat outbound 3001 ----同时要配置一个Nat Outbound
这个稍复杂些,如果不在内网口配置Nat Outbound,那么就会出现这种情况,假设下面有一个交换机,内网PC访问内网服务器,不做源替换,服务器回包的时候就直接在交换机上转了(因为内网服务器和PC在同一网段),访问就会出现问题,因为回应报文没有做反向替换,做了Nat Outbound之后就不会有这个问题,回包直接回给网关,就是AR
普通场景下访问外网的NAT映射
基于基本ACL的NAT
<Huawei>
<Huawei>
<Huawei>sys
acl 2000
rule permit //允许所有用户访问外网(常用)
rule permit source 192.168.1.0 0.0.0.255//允许192.168.1.0网段访问外网(可选)
rule deny source 192.168.2.0 0.0.0.255//禁止192.168.2.0网段访问外网(可选)
q
int g 0/0/0
ip add 123.123.100.123 255.255.255.0
nat outbound 2000 //在接口下启用NAT转换,遵循ACL2000中创建的规则
tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400,缺省情况下,接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
dis this
#
interface GigabitEthernet0/0/0
ip address 123.123.100.123 255.255.255.0
nat outbound 2000
#
return
q
基于高级ACL的NAT
<Huawei>
<Huawei>
<Huawei>sys
acl 3000//创建高级ACL 3000
rule permit ip source 192.168.1.0 0.0.0.255//允许192.168.1.0网段访问外网(可选)
rule deny ip source 192.168.2.0 0.0.0.255//禁止192.168.2.0网段访问外网(可选)
rule permit ip//允许所有用户访问外网(常用)
q
int g 0/0/1
ip add 123.123.123.123 255.255.255.0
nat outbound 3000//在接口下启用NAT转换,遵循ACL3000中创建的规则
tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400,缺省情况下,接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
q
q
<Huawei>
感谢楼主分享! 111111111111111111 谢谢分享
页:
[1]