华为eNSP配置专题-NAT的配置

0、参考文档

华为-静态NAT：提供了如何取消已有NAT配置的方法。

1、前置环境

1.1、宿主机

笔记本电脑，配置如下：Windows10企业版，32GB内存

1.2、eNSP模拟器

eNSP1.3.00

2、基本环境搭建

2.1、基本终端构成和连接

0、总体拓扑如下：

1、2台PC。
2、1台交换机，型号为S5700
3、2台路由器，型号为AR2220。其中一台为作为各网段的默认网关，另外一台路由器模拟互联网
4、开启设备。

2.2、各终端基本配置

2.2.1、PC1和PC2的配置

1、PC1配置静态IP和网关如下：
IP：192.168.1.1
掩码：255.255.255.0
网关：192.168.1.254

2、PC2配置静态IP和网关如下：
IP：192.168.1.2
掩码：255.255.255.0
网关：192.168.1.254

2.2.2、交换机不做任何配置

交换机不用做任何配置，因为默认有一个VLAN1。

2.2.3、网关路由器的配置

1、右击网关路由器-》点击“CLI”，进入系统模式，改名为AR1。

system-view
sysname AR1

2、为g0/0/0配置内网IP地址，即网关地址：

int g0/0/0
ip add 192.168.1.254 24

3、为g0/0/1配置公网地址：

int g0/0/1
ip add 12.1.1.1 24

2.2.4、模拟互联网的路由器的配置

1、右击模拟互联网的路由器-》点击“CLI”，进入系统模式，改名为AR1。

system-view
sysname AR2

2、为g0/0/0配置公网IP地址，模拟互联网：

int g0/0/0
ip add 12.1.1.254 24

3、配置静态NAT

3.1、配置前测试

1、打开模拟互联网的路由器的数据抓包。
2、在PC1的命令行ping 12.1.1.254，会发现ping不通，但是路由器AR2上已经接收到了ping的数据。
3、这个问题的原因在于，PC1去ping 12.1.1.254时，会把包转发给网关，即192.168.1.254。网关是有到10.1.1.0/24的直连路由的，因此可以把包转给12.1.1.254。所以模拟互联网的路由器12.1.1.254可以收到192.168.1.1的ICMP包。但是当需要返回包时，AR2会找是否有192.168.1.1的路由，显然找不到，所以没法返回。所以这也造成了能在AR2上看到PC1的ping的包，但PC1却ping不通AR2。

3.2、在接口外配置静态NAT

3.2.1、在接口外配置静态NAT

1、右击模拟互联网的路由器AR1-》点击“CLI”，进入系统视图。

system-view

2、配置静态NAT

nat static global 12.1.1.2 inside 192.168.1.1

3、由于这是在接口外配置的，所以要到接口内部再使能NAT：

int g0/0/1
nat static enable

4、这时再从PC1去ping AR2，发觉可以ping通了，并且IP地址为10.1.1.2。

3.2.2、取消接口外配置静态NAT的方法

int g/0/0/1
undo nat static enable
quit
undo nat static global 12.1.1.2 inside 192.168.1.1

3.3、在接口内配置静态NAT

3.3.1、在接口内配置静态NAT

1、在AR1上做如下配置即可，以下配置都是立即生效：

<AR1>system-view
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 
192.168.1.1

3.3.2、取消接口内配置静态NAT的方法

1、在AR1上做如下配置即可，以下配置都是立即生效：

int g/0/0/1
undo nat static global 12.1.1.3 inside 192.168.1.1

4、配置动态NAT(no-pat模式)

所谓no-pat模式，就是只做IP映射，不做端口映射。

4.1、配置动态NAT(no-pat模式)

1、右击模拟互联网的路由器AR1-》点击“CLI”，进入系统视图。

system-view

2、配置地址池，可用的转换地址为12.1.1.3到12.1.1.10这8个地址。

[AR1]nat address-group 1 12.1.1.3 12.1.1.10

3、配置ACL匹配规则

[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]quit

4、为端口g0/0/1配置动态NAT，以下语句以为匹配ACL2000的地址，为他们配置编号为1的NAT地址池，采用非端口映射方式。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

5、配置完成会立即生效。但因为eNSP的bug，每过一段时间会出问题，这不是NAT的问题，而是模拟器的Bug。

4.2、取消已配置的动态NAT(no-pat模式)

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
undo nat address-group 1 

5、配置动态NAT(端口模式)

5.1、配置动态NAT(端口模式)

1、右击模拟互联网的路由器AR1-》点击“CLI”，进入系统视图。

system-view

2、配置地址池，这里只需要配置一个地址，因为使用了端口映射。注意把首尾IP配置成相同的一个，就达到了配置一个地址的目的。

[AR1]nat address-group 1 12.1.1.11 12.1.1.11

3、为端口g0/0/1配置动态NAT，与上面唯一的区别就是不带no-pat选项。配置立刻会生效，PC1就能ping通AR2（即代表互联网）了。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 

5.2、取消已配置的动态NAT(端口模式)

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1
[AR1-GigabitEthernet0/0/1]quit
[AR1]undo nat address-group 1

6、查看NAT会话情况

1、右击模拟互联网的路由器AR1-》点击“CLI”，进入系统视图。

system-view

2、输入如下命令，查看当前NAT会话

[AR1]display nat session all

7、配置动态NAT(easyIP模式)

easyIP模式就是不必配置专门的IP地址，直接使用网关本身的外网IP地址+端口映射。

7.1、配置动态NAT(easyIP模式)

1、右击模拟互联网的路由器AR1-》点击“CLI”，进入系统视图。

system-view

2、为端口g0/0/1配置动态NAT，与上面唯一的区别就是不带address-group选项了，直接使用网关本身的IP地址。配置会立即生效。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 

7.2、取消已配置的动态NAT(easyIP模式)

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat outbound 2000 

8、配置NAT Server

8.1、NAT Server概述

NAT Server实质就是反向代理，用一个外网地址为一个内网地址做代理，这样外网的其他机器就可以用外网地址访问这台内网的服务器了。

8.2、NAT Server配置

1、右击模拟互联网的路由器AR1-》点击“CLI”，进入系统视图。

system-view

2、为端口g0/0/1配置NAT Server，将12.1.1.2的80端口映射刀片192.168.1.2的端口上。

[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.2 80 inside 192.168.1.2 80