路由器基础（七）：NAT原理与配置

一、NAT 配置

华为路由器配置NAT 的方式有很多种，考试中可能考到的基本配置方式主要有EasyIP和通过NAT地址池的方式。图22-7-1是一个典型的通过EasyIP进行NAT的示意图，其中Router出接口GE0/0/1的IP地址为200.100.1.2/24,接口E0/0/1的IP地址为192.168.0.1/24。连接Router出接口GE0/0/1的对端IP地址为200.100.1.1/24。内网用户通过Router的出接口GE0/0/1做Easy IP地址转换访问外网。如下图所示：

1、通过Easy IP方式访问的配置

<HUAWEl>system-view //进入系统视图

[HUAWEI]sysname Router //修改设备名称

[Router]acl number 2000 //创建ACL2000

[Router-acl-bas-2000]rule 5 permit source 192.168.0.00.0.0.255 //配置允许进行NAT转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000]quit

[Router]interface Ethernet0/0/1

[Router-Ethernet0/0/1]undo port switch //关闭端口的交换特性，变为路由接口

[Router-Ethernet0/0/1]ip address 192.168.0.1255.255.255.0 //配置内网网关地址

[Router-Ethernet0/0/1]quit

[Router]interface GigabitEthernet0/0/1

[Router-GigabitEthernet0/0/1Jip address 200.100.1.2 255.255.255.0

[Router-GigabitEthernet0/0/1]nat outbound 2000 //在出接口GE0/0/1上做Easy IP方式的NAT

[Router-GigabitEthernet0/0/1]quit

[Router]ip route-static 0.0.0.00.0.0.0200.100.1.1 //配置默认路由，保证出接口到对端路由可达

二、配置NAT地址池转换

当内网用户较多，需要使用较多外部地址访问Internet时，可以考虑使用地址池的形式，如图所示：

<HUAWEI>system-view //进入系统视图

[HUAWEI]sysname Router //修改设备名称

[Router]acl number 2000 //创建ACL2000

[Router-acl-bas-2000]rule 5 permit source 192.168.0.0 0.0.0.255

//配置允许进行NAT 转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000]quit

[Router]nat address-group 1200.100.1.100 200.100.1.200 //配置NAT地址池

[Router]interface vlan100

[Router-vlan-interface100]ip address 192.168.0.1 255.255.255.0 //配置内网网关的IP地址

[Router-vlan-interface100]quit

[Router]interface Ethernet2/0/0

[Router-Ethernet2/0/0]port link-type access //配置接口的类型为Access

[Router-Ethernet2/0/0]port default vlan 100 //配置接口的默认VLAN ID

[Router-Ethernet2/0/0]quit

[Router]interface GigabitEthernet3/0/0

[Router-GigabitEthernet3/0/0Jip address 200.100.1.2 255.255.255.0

[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound

[Router-GigabitEthernet3/0/0]quit

[Router]ip route-static 0.0.0.00.0.0.0 200.100.1.1 //配置默认路由

内网用户通过路由器的NAT 地址转换功能访问Internet, 并且向外网用户提供WWW 服务。

<HUAWEI>system-view //进入系统视图

[HUAWEI]sysname Router //修改设备名称

[Router]acl number 2000 //创建ACL 2000

[Router-acl-bas-2000]rule 5 permit source 192.168.0.0 0.0.0.255//配置允许进行NAT转换的内网地址段192.168.0.0/24

[Router-acl-bas-2000]quit

[Router]nat address-group 1200.100.1.100 200.100.1.200 //配置NAT地址池

[Router]interface vlan100 //配置内网网关的IP地址

[Router-vlan-interface100]ip address 192.168.0.1255.255.255.0

[Router-vlan-interface100]quit

[Router]interface Ethernet2/0/0

[Router-Ethernet2/0/0]port link-type access //配置接口的类型为Access

[Router-Ethernet2/0/0]port default vlan 100 //配置接口的默认VLAN ID

[Router-Ethernet2/0/0]quit

[Router]interface GigabitEthernet3/0/0

[Router-GigabitEthernet3/0/0]ip address 200.100.1.2 255.255.255.0

[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group1 //在出接口上配置NAT Outbound

[Router-GigabitEthernet3/0/0]nat server protocol tcp global 200.100.1.103 www inside 192.168.0.2 8080 //在出接口上配置内网服务器192.168.0.2的WWW服务

[Router-GigabitEthernet3/0/0]quit

[Router]nat address-group 1200.100.1.100 200.100.1.200 //配置NAT地址池

[Router]ip route-static 0.0.0.00.0.0.0200.100.1.1 //配置默认路由

三、复杂配置情况

对于更为复杂的配置环境，可以通过NAT和重定向实现双出口，且对外提供Web服务。这在企业网络实际应用中是一种常用的方式，通常既需要内网用户上网，并且为了保证稳定和可靠，使用两个以上ISP线路提供Internet 的接入，还要能对外提供某些服务，如Web、FTP 服务等。如图所示的环境中，Router 的GE1/0/0连接校园网，GE2/0/0连接教育网，GE3/0/0 连接电信运营商接入Internet 。内网主机访问教育网通过GE2/0/0, 访问其他网址通过默认路由从GE3/0/0。

如上图所示，该校园网服务器提供内外网Web 服务，内网地址是192.168.1.2/24;外网地址是210.43.2.3。现要求因特网主机和校园网内部主机都可以通过210.43.2.3正常访问Web 服务器，且要求校园网内部主机可以通过NAT 访问Internet和教育网。根据教育网的访问规则，非教育网主机访问教育网主机，必须通过教育网通道才能访问，因此外网用户(包括教育网用户和非教育网用户)访问该校都是从GE2/0/0 接入。

[Router]acl number 2000 //配置ACL规则，允许校园网中192.168.1.0/24网段的主机访问外网

[Router-acl-bas-2000]rule 5 permit source 192.168.1.0 0.0.0.255

[Router-acl-bas-2000]quit

[Router]acl number 3000 //内部主机直接访问服务器210.43.2.3,只有内网发起的服务才会在GE1/0/0上进行NAT

[Router-acl-adv-3000]rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 210.43.2.30

[Router-acl-adv-3000]quit

[Router]acl number3001 //内部服务器返回内部主机的数据流不需要被重定向到教育网出口

[Router-acl-adv-3001]rule 5 permit ip source 192.168.1.20 destination 192.168.1.0 0.0.0.255

[Router-acl-adv-3001]quit

[Router]acl number 3002 //用于将内部服务器发往外部的数据流重定向到教育网出口

[Router-acl-adv-3002]rule 10 permit ip source 192.168.1.20

[Router-acl-adv-3002]quit

[Router]traffic classifier C_iner operator or //定义不需要重定向的数据流分类C_iner

[Router-classifier-C_iner]if-matchacl 3001

[Router-classifier-C_iner]quit

[Router]traffic classifier C_outer operator or //定义需要重定向的数据流分类C_outer

[Router-classifier-C_outer]if-matchacl 3002

[Router-classifier-C_outer]quit

[Router]traffic behavior B_iner //定义流行为B_iner

[Router-behavior-B_iner]quit

Router]traffic behavior B_outer //定义流行为B_outer

[Router-behavior-B_outer]redirect ip-nexthop 210.43.2.2 //服务器响应外网访问的数据流都被重定向到教育网出口

[Router-behavior-B_outer]quit

[Router]traffic policy P_redirect //绑定流策略

[Router-policy-P_redirect]classifier C_iner behavior B_iner//先匹配内部服务器返回内部主机的数据流，不需要重定向

[Router-policy-P_redirect]classifier C_outer behavior B_outer//后匹配重定向到教育网出口的数据流

[Router-policy-P_redirect]quit

[Router]natalg dns enable //使能NATALG的DNS功能

[Router]nat address-group 0 61.187.55.100 61.187.55.120//访问非教育网地址对应的NAT地址池

[Router]nat address-group 1 210.43.2.100 210.43.2.120 //访问教育网地址对应的NAT地址池

[Router]interface GigabitEthernet1/0/0

[Router-GigabitEthernet1/0/0]ip address 192.168.1.1 255.255.255.0

[Router-GigabitEthernet1/0/0]traffic-policy P_redirect inbound //GE1/0/0对入方向的数据流执行流策略P_redirect

[Router-GigabitEthernet1/0/0]nat static global 210.43.2.3 inside 192.168.1.2 netmask 255.255.255.255 //内网用户直接使用210.43.2.3访问服务器时进行NAT

[Router-GigabitEthernet1/0/0]nat outbound 3000 //内网用户直接访问210.43.2.3时做Easy IP,将源地址改为GE1/0/0的地址，保证内网服务器和主机间的通信量都经过Router转发

[Router-GigabitEthernet1/0/0]quit

[Router]interface GigabitEthernet2/0/0

[Router-GigabitEthernet2/0/0]ip address 210.43.2.1 255.255.255.0

[Router-GigabitEthernet2/0/0]nat static global 210.43.2.3 inside 192.168.1.2 netmask 255.255.255.255 //教育网出口的NAT

[Router-GigabitEthernet2/0/0]nat outbound 2000 address-group 1//内网访问教育网时的NAT

[Router-GigabitEthernet2/0/0]quit

[Router]interface GigabitEthernet3/0/0

[Router-GigabitEthernet3/0/0]ip address 61.187.55.1 255.255.255.0

[Router-GigabitEthernet3/0/0]nat outbound 2000 address-group 0// 内网访问非教育网时的NAT

[Router-GigabitEthernet3/0/0]quit

[Router]ip route-static 0.0.0.00.0.0.061.187.55.2 //设置默认路由

四、NAT ALG

通常情况下， NAT 只对报文中IP头部的地址信息和TCP/UDP 头部的端口信息进行转换，不关注报文的内容。但是对于一些特殊的协议(如FTP协议),其报文中也携带了地址或端口信息，而报文中的地址或端口信息往往是由通信的双方动态协商生产的，管理员并不能为其提前配置好相应的NAT 规则。如果NAT 设备不能识别并转换这些信息，将影响到这些协议的正常使用。 NATALG ( Application Level Gateway) 功能可以对报文的字段进行解析，识别并转换其中包含的重要信息，保证类似FTP 的多通道协议可以顺利的进行地址转换而不影响其正常使用