「Huawei VRP」- 配置 NAT 转换

  CREATED BY JENKINSBOT

1)NAT 实在 Interface 上配置的,需要切换到 Interface View 进行操作;

Static NAT

[RTA] interface GigabitEthernet 0/0/1
[RTA-GigabitEthernet0/0/1] ip address 192.168.1.254 24

[RTA] interface Serial1/0/0
[RTA-Serial1/0/0] ip address 200.10.10.2 24

[RTA-Serial1/0/0] nat static global 200.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0] nat static global 200.10.10.2 inside 192.168.1.2

// 方式一、接口视图下配置静态 NAT
// global:用于配置外部公有地址
// inside:用于配置内部私有地址。
[Huawei-GigabitEthernet0/0/0] nat static  global { global-address} inside {host-address } 

// 方式二、系统视图下配置静态NAT
[Huawei] nat static  global { global-address} inside {host-address } 
[Huawei-GigabitEthernet0/0/0] nat static enable # 再在具体的接口下开启静态 NAT

查看 Static NAT 配置: 

[RTA] display nat static

补充说明

1)虽然没有绑定 IP 地址,但是做完 NAT 之后,global-address 能够从对端 RT ping 通。

Dynamic NAT

[RTA] nat address-group 1 200.10.10.1 200.10.10.200
[RTA] acl 2000
[RTA-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255

[RTA-Serial1/0/0] nat outbound 2000 address-group 1 no-pat # no-pat: without port translation

对于动态 NAT 技术,eNSP 模拟器会为每个 ping 包分配不同的 IP 地址,而导致地址被分配完全,此时会出现 ping timeout 问题。
使用 display nat session all 来查看地址分配;

NAPT,PAT

[RTA] nat address-group 1 200.10.10.1 200.10.10.200
[RTA] acl 2000
[RTA-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255

[RTA-Serial1/0/0] nat outbound 2000 address-group 1 # remove the no-pat option

Q:ICMP 报文没有端口,那是如何关联的呢?
A:此时,使用 ICMP 的 ID 进行区分,并且使用固定 IP 地址。我们猜测:NAT 内部有对特定协议的特定处理,“端口”是个概述。至少对于华为设备(eNSP),当开启 NAPT 之后,ping 包的出口网络地址是固定的。

Easy IP

[RTA] acl 2000
[RTA-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255

[RTA-Serial1/0/0] nat outbound 2000

补充说明:
1)多用于 PPPoE 拨号场景,此时应该到 Dialer 接口进行 NAT 配置(并选择 ACL 策略)

NAT Server

[RTA] interface GigabitEthernet 0/0/1
[RTA-GigabitEthernet0/0/1] ip address 192.168.1.254 24

[RTA] interface Serial1/0/0
[RTA-Serial1/0/0] ip address 200.10.10.2 24

[RTA-Serial1/0/0] nat server protocol tcp global 200.10.10.1 www inside 192.168.1.1 8080

nat server global … 映射所有服务端口到指定网络地址

补充说明:
1)nat server … global <IP_ADDRESS> … 所使用的公网地址将直接绑定到设备;
2)如果希望使用当前接口的地址,应该使用 nat server … global current-interface … 命令;

补充说明

FTP Server behind NAT,nat alg,

NAT ACL

用于配置地址转换的ACL只能是2000~2999的基本ACL或3000~3999的高级ACL。
1)仅当ACL的rule配置为permit时,设备允许匹配该规则中指定的源IP地址使用地址池进行地址转换。
2)当ACL的rule没有配置为permit时,应用该ACL的NAT功能不生效,即不允许使用地址池进行地址转换,设备根据目的地址查找路由表转发报文。

所以,在 NAT 中,我们能够大胆使用 rule deny 而不担心数据包被丢弃。