华为路由器:配置两次NAT示例(解决内网ip地址和公网的ip地址一样)
华为路由器:配置两次NAT示例(解决内网ip地址和公网的ip地址一样)
使能NAT ALG功能的背景信息
一般情况下,NAT只能对IP报文头的IP地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如DNS、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,从而无法正确完成通信。
使能ALG(Application
Level
Gateway)功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据映射表项进行替换,实现报文正常穿越NAT。目前设备的ALG功能所支持的协议包括:DNS、FTP、SIP、PPTP和RTSP。
配置两次NAT的背景信息
内外网地址重叠的主机可以根据重叠地址池和临时地址池的映射关系,将重叠地址替换为临时地址同时做NAT,实现内外网的互访。
重叠地址池用来指定内网哪些IP允许和外网重叠,只有属于重叠地址池的地址才会做两次NAT。
临时地址池指定了用哪些临时IP地址来替换重叠地址池里的地址。
组网需求
如图所示,路由器出接口的地址为2.2.2.2/24,LAN侧网关地址为1.1.1.1/24,对端运营商地址为2.2.2.1/24。公司内网主机IP地址分配不合理,其内部网络主机PC1和公网的服务器Server
A的地址重叠。这种情况下,内部网络主机PC2使用Server
A的域名访问该服务器,但PC2根据DNS服务器解析的结果很可能访问同在内网的PC1。用户希望将保证报文的正确转发。
配置两次NAT组网图
配置思路
采用如下思路配置两次NAT:
配置接口IP地址。
配置缺省路由。
配置DNS ALG,实现DNS报文正常穿越NAT。
配置重叠地址池到临时地址池的映射关系,将重叠地址转换为临时地址。
配置NAT Outbound,实现内网用户访问外网服务功能。
操作步骤
在Router上配置接口IP地址
<Huawei> system-view
[Huawei] sysname Router
[Router] interface gigabitethernet 1/0/0
[Router-GigabitEthernet1/0/0] ip address 2.2.2.2 24
[Router-GigabitEthernet1/0/0] quit
[Router] interface gigabitethernet 2/0/0
[Router-GigabitEthernet2/0/0] ip address 1.1.1.1 24
[Router-GigabitEthernet2/0/0] quit
在Router上配置缺省路由,指定下一跳地址为2.2.2.1
[Router] ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
在Router上配置重叠地址池到临时地址池的映射关系
[Router] nat overlap-address 0 1.1.1.100 3.3.3.100 pool-length 254
在Router上配置临时地址池到出接口GE1/0/0的静态路由
[Router] ip route-static 3.3.3.100 32 gigabitethernet 1/0/0 2.2.2.1
在系统视图下配置DNS的NAT Alg功能
[Router] nat alg dns enable
在Router的出接口GE1/0/0上配置NAT Outbound
配置ACL,并配置允许PC1通过的rule。
[Router] acl 3180
[Router-acl-adv-3180] rule 5 permit ip source 1.1.1.0 0.0.0.255
[Router-acl-adv-3180] quit
配置NAT Outbound要使用的NAT地址池。
[Router] nat address-group 1 2.2.2.100 2.2.2.200
在出接口GE1/0/0上配置常规NAT Outbound。
[Router] interface gigabitethernet 1/0/0
[Router-GigabitEthernet1/0/0] nat outbound 3180 address-group 1
[Router-GigabitEthernet1/0/0] quit
验证配置结果
# 在Router上执行display nat overlap-address all命令查看地址池映射关系。
<Router> display nat overlap-address all
Nat Overlap Address Pool To Temp Address Pool Map Information:
-------------------------------------------------------------------------------
Id Overlap-Address Temp-Address Pool-Length Inside-VPN-Instance-Name
-------------------------------------------------------------------------------
0 1.1.1.100 3.3.3.100 254
-------------------------------------------------------------------------------
Total : 1
# 在Router上执行display nat outbound命令查看NAT Outbound信息。
[Router] display nat outbound
NAT Outbound Information:
-----------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
-----------------------------------------------------------------
GigabitEthernet1/0/0 3180 1 pat
-----------------------------------------------------------------
Total : 1
配置文件
Router的配置文件
#
sysname Router
#
acl number 3180
rule 5 permit ip source 1.1.1.0 0.0.0.255
#
nat alg dns enable
#
nat address-group 1 2.2.2.100 2.2.2.200
#
nat overlap-address 0 1.1.1.100 3.3.3.100 pool-length 254
#
interface GigabitEthernet2/0/0
ip address 1.1.1.1 255.255.255.0
#
interface GigabitEthernet1/0/0
ip address 2.2.2.2 255.255.255.0
nat outbound 3180 address-group 1
#
ip route-static 0.0.0.0 0.0.0.0 2.2.2.1
ip route-static 3.3.3.100 255.255.255.255 GigabitEthernet1/0/0 2.2.2.1
#
return
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为路由器:配置两次NAT示例(解决内网ip地址和公网的ip地址一样)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm