关于华为AR设备的NAT问题

871551877

最近公司新人问一的这个问题我就整理了一下  希望对大家有帮助


NAT映射内网服务器

如果有异常，建议尝试开启“软转”
[Huawei] ip soft-forward enhance enable 命令用来使能设备产生的控制报文的增强转发功能。

<Huawei>
<Huawei>
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 123.123.234.234 255.255.255.0
[Huawei-GigabitEthernet0/0/0]
[Huawei-GigabitEthernet0/0/0]
[Huawei-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 80 inside 192.168.10.2 80   //使用当前接口的80端口映射内部192.168.10.2服务器上的80端口
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y   //因为当前接口的80端口要用户路由器的web管理界面，会产生冲突，这里系统会提示是否确定将80端口替换为内部服务器的80端口
[Huawei-GigabitEthernet0/0/0]
[Huawei-GigabitEthernet0/0/0]
[Huawei-GigabitEthernet0/0/0]nat server protocol tcp global 123.123.234.222 any inside 192.168.20.2 any //使用单独的地址对内网192.168.20.2的服务器做全映射
[Huawei-GigabitEthernet0/0/0]
[Huawei-GigabitEthernet0/0/0]tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400，缺省情况下，接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
[Huawei-GigabitEthernet0/0/0]
[Huawei-GigabitEthernet0/0/0]nat server protocol tcp global 123.123.0.123 8080 inside 192.168.30.2 8080   //使用单独的地址的8080端口映射内网192.168.30.2服务器的8080端口
[Huawei-GigabitEthernet0/0/0]q
[Huawei]
[Huawei]nat alg { all | dns | ftp | rtsp | sip } enable   //如果内网有以上对应服务器，需要开启nat alg功能（可选）。例如，当内网存在FTP服务器时，应配置[Huawei] nat alg ftp enable
[Huawei]
[Huawei]
[Huawei]

NAT地址组
<Huawei>
<Huawei>sys    //进入系统模式
Enter system view, return user view with Ctrl+Z.
[Huawei]
[Huawei]
[Huawei]
[Huawei]acl 2000   //创建ACL，以匹配允许访问外网的内网地址段
[Huawei-acl-basic-2000]rule permit source any    //当前设置为允许内网所有网段访问外网
[Huawei-acl-basic-2000]q
[Huawei]
[Huawei]
[Huawei]nat address-group 1 211.162.1.54 211.162.1.62  //建立序号为1的地址组，地址组范围为211.162.1.54到211.162.1.62之间。
[Huawei]                                            //注意：地址组中的地址不能包含当前物理接口所使用的地址，这里是211.162.1.53。
[Huawei]
[Huawei]int g 0/0/0    //进入链接到外网的0号接口
[Huawei-GigabitEthernet0/0/0]ip add 211.162.1.53 255.255.255.0  //公网固定地址
[Huawei-GigabitEthernet0/0/0]nat outbound 2000 address-group 1   //在该接口下绑定之前所设置的ACL和地址组
[Huawei-GigabitEthernet0/0/0]tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400，缺省情况下，接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
[Huawei-GigabitEthernet0/0/0]q         
[Huawei]
[Huawei]q
<Huawei>

AR V200R003C01版本将正式支持此功能，如果客户要使用此功能，请升级至V200R003C01SPC300版本

场景一：内网PC和内网服务器不在同一网段

set workmode lan-cardl3centralize     ---如果是在24GE或者8FE上部署的话需要配置这个
#
interfaceGigabitEthernet0/0/1            ------------公网口
ipaddress 202.100.1.10 255.255.255.0   
natserver global 202.100.1.100 inside 192.168.1.100
#
interfaceVlanif100                       --------------连接内网服务器的接口
ipaddress 192.168.1.1 255.255.255.0            
#
interfaceVlanif200                       ---------------连接内网PC的接口
ipaddress 192.168.2.1 255.255.255.0  
nat server global 202.100.1.100 inside192.168.1.100     ----配置Nat Server      
#   

内网访问流量目的IP是公网地址，直接在Vlanif200接口命中Nat Server，做目的地址替换，然后查路由到Vlanif100接口出去，服务器回包后做反向替换

场景二：内网PC和内网服务器在同一网段

set workmode lan-cardl3centralize   ---如果是在24GE或者8FE上部署的话需要配置这个
#
interfaceGigabitEthernet0/0/1                        ---公网口   
ipaddress 202.100.1.10 255.255.255.0   
natserver global 202.100.1.100 inside 192.168.1.100
#
interfaceVlanif100                                   ---内网口
ipaddress 192.168.1.1 255.255.255.0   
nat server global 202.100.1.100 inside 192.168.1.100   ----配置Nat Server   
如果这里需要写的公网接口是物理接口上已写地址，需要写为nat server protocol tcp global interface GigabitEthernet 0/0/0 80 inside 172.18.0.57 80
接口名称要写完整，否则系统可能无法识别接口，会报错
nat outbound 3001                               ----同时要配置一个Nat Outbound

这个稍复杂些，如果不在内网口配置Nat Outbound，那么就会出现这种情况，假设下面有一个交换机，内网PC访问内网服务器，不做源替换，服务器回包的时候就直接在交换机上转了（因为内网服务器和PC在同一网段），访问就会出现问题，因为回应报文没有做反向替换，做了Nat Outbound之后就不会有这个问题，回包直接回给网关，就是AR

普通场景下访问外网的NAT映射
基于基本ACL的NAT

<Huawei>
<Huawei>
<Huawei>sys
[Huawei]
[Huawei]
[Huawei]acl 2000
[Huawei-acl-basic-2000]rule permit //允许所有用户访问外网（常用）
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255  //允许192.168.1.0网段访问外网（可选）
[Huawei-acl-basic-2000]rule deny source 192.168.2.0 0.0.0.255  //禁止192.168.2.0网段访问外网（可选）
[Huawei-acl-basic-2000]q
[Huawei]
[Huawei]
[Huawei]int g 0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 123.123.100.123 255.255.255.0  
[Huawei-GigabitEthernet0/0/0]nat outbound 2000   //在接口下启用NAT转换，遵循ACL2000中创建的规则
[Huawei-GigabitEthernet0/0/0]tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400，缺省情况下，接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
[Huawei-GigabitEthernet0/0/0]dis this
[V200R003C00]
#
interface GigabitEthernet0/0/0
ip address 123.123.100.123 255.255.255.0
nat outbound 2000
#
return
[Huawei-GigabitEthernet0/0/0]q
[Huawei]





基于高级ACL的NAT
<Huawei>
<Huawei>
<Huawei>sys
[Huawei]
[Huawei]
[Huawei]acl 3000  //创建高级ACL 3000
[Huawei-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255  //允许192.168.1.0网段访问外网（可选）
[Huawei-acl-adv-3000]rule deny ip source 192.168.2.0 0.0.0.255  //禁止192.168.2.0网段访问外网（可选）
[Huawei-acl-adv-3000]rule permit ip  //允许所有用户访问外网（常用）
[Huawei-acl-adv-3000]q
[Huawei]
[Huawei]int g 0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 123.123.123.123 255.255.255.0
[Huawei-GigabitEthernet0/0/1]nat outbound 3000  //在接口下启用NAT转换，遵循ACL3000中创建的规则
[Huawei-GigabitEthernet0/0/1]tcp adjust-mss 1400 //修改接口的TCP最大报文段长度为1400，缺省情况下，接口的TCP最大报文段长度由建立TCP连接的双方设备通过协商获得。
[Huawei-GigabitEthernet0/0/1]q
[Huawei]
[Huawei]q
<Huawei>

Rockyw

感谢楼主分享！

猪头，

111111111111111111

ljshh

谢谢分享