华为查看nat策略（华为NAT地址转换配置）

华为查看nat策略（华为NAT地址转换配置）（1）基本配置：包括端口配置与路由配置。2 配置步骤2 命令行列表一、中低端NAT配置1 配置流程图

【实验原理】

一、中低端NAT配置

1 组网及业务描述

路由器RTA作为某中心出口路由器连接外网与内网，实验环境中，以路由器 RTB来 模拟公网，RTC作为某分支机构也连接到公网。RTA、RTB、RTC公网IP接口之间运行IGP模拟公网环境。通过NAT，RTA所连接的内网用户可以访问到公网RTB、RTC。

公网用户RTB、RTC需要访问RTA所连接的内网服务器，实验环境中，使用路由器RTD模拟内网FTP服务器。通过NAT地址转换，RTB、RTC可以访问到RTA所连接的内网FTP服务器。

2 命令行列表

【实验步骤】

一、中低端NAT配置

1 配置流程图

2 配置步骤

（1）基本配置：包括端口配置与路由配置。

（2）配置EASY IP方式或IP POOL 方式的NAT地址转换。首先配置ACL，允许某内网网段， 对于EASY IP方式，直接配置出接口NAT转换。对于IP POOL，先配置ACL和NAT地址池，之后再配置出接口NAT转换。

（3）配置NAT Server 的MAP映射

3 结果验证

（1）首先验证IGP的连通，即从RTA、RTB、RTC的公网IP可以相互PING通。

（2）在客户端配置主机的IP地址为192.168.1.0网段，网关192.168.1.1。

通过NAT地址转换，客户端能够PING通RTB与RTC。

C:\Documents and Settings\user>ping 10.1.1.2

Pinging 10.1.1.2 with 32 bytes of data:

Reply from 10.1.1.2: bytes=32 time=2ms TTL=254

Reply from 10.1.1.2: bytes=32 time=2ms TTL=254

Reply from 10.1.1.2: bytes=32 time=2ms TTL=254

Reply from 10.1.1.2: bytes=32 time=2ms TTL=254

Ping statistics for 10.1.1.2:

Packets: Sent = 4 Received = 4 Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

Minimum = 2ms Maximum = 22ms Average = 7ms

C:\Documents and Settings\user>ping 192.2.2.1

Pinging 192.2.2.1 with 32 bytes of data:

Reply from 192.2.2.1: bytes=32 time=43ms TTL=253

Reply from 192.2.2.1: bytes=32 time=23ms TTL=253

Reply from 192.2.2.1: bytes=32 time=23ms TTL=253

Reply from 192.2.2.1: bytes=32 time=23ms TTL=253

Ping statistics for 192.2.2.1:

Packets: Sent = 4 Received = 4 Lost = 0 (0% loss)

Approximate round trip times in milli-seconds:

Minimum = 23ms Maximum = 43ms Average = 28ms

同时在RTA上使用display nat session命令可以看到具体的地址转换内容。内网地址192.168.1.3：512转换成10.1.1.6:12288.

<RTA>display nat session

There are currently 1 NAT session:

Protocol GlobalAddr Port InsideAddr Port DestAddr Port

1 10.1.1.6 12288 192.168.1.3 512 192.2.2.1 512

VPN: 0 status: 11 TTL: 00:01:00 Left: 00:00:59

（3）打开NAT的调试开关 将调试信息从console口输出

<RTA> debugging nat packet

<RTA> debugging nat event

<RTA> terminal debugging

调试信息如下：

<RTA>

*0.9015814 RTA NAT/8/debug:

(Ethernet0/0-out :)Pro : ICMP

( 192.168.1.3: 512 - 192.2.2.2: 512) ------>

( 10.1.1.6:12288 - 192.2.2.2: 512)

*0.9016010 RTA NAT/8/debug:

(Ethernet0/0-in :)Pro : ICMP

( 192.2.2.2: 512 - 10.1.1.6:12288) ------>

( 192.2.2.2: 512 - 192.168.1.3: 512)

*0.9016779 RTA NAT/8/debug:

(Ethernet0/0-out :)Pro : ICMP

( 192.168.1.3: 512 - 192.2.2.2: 512) ------>

( 10.1.1.6:12288 - 192.2.2.2: 512)

*0.9016970 RTA NAT/8/debug:

(Ethernet0/0-in :)Pro : ICMP

( 192.2.2.2: 512 - 10.1.1.6:12288) ------>

( 192.2.2.2: 512 - 192.168.1.3: 512)

*0.9017769 RTA NAT/8/debug:

(Ethernet0/0-out :)Pro : ICMP

( 192.168.1.3: 512 - 192.2.2.2: 512) ------>

( 10.1.1.6:12288 - 192.2.2.2: 512)

*0.9017960 RTA NAT/8/debug:

(Ethernet0/0-in :)Pro : ICMP

( 192.2.2.2: 512 - 10.1.1.6:12288) ------>

( 192.2.2.2: 512 - 192.168.1.3: 512)

*0.9018759 RTA NAT/8/debug:

(Ethernet0/0-out :)Pro : ICMP

( 192.168.1.3: 512 - 192.2.2.2: 512) ------>

( 10.1.1.6:12288 - 192.2.2.2: 512)

*0.9018950 RTA NAT/8/debug:

(Ethernet0/0-in :)Pro : ICMP

( 192.2.2.2: 512 - 10.1.1.6:12288) ------>

( 192.2.2.2: 512 - 192.168.1.3: 512)

（4）NAT SERVER的验证

从RTC上，通过访问RTA的公网地址，达到访问内网服务器的目的。内网服务器为RTD FTP服务器，验证如下：

<RTC>ftp 10.1.1.1

// FTP RTA的地址10.1.1.1访问192.168.1.2

Trying 10.1.1.1 ...

Press CTRL K to abort

Connected to 10.1.1.1.

220 FTP service ready.

User(10.1.1.1:(none)):huawei

331 Password required for huawei.

Password:

230 User logged in.

// 使用RTD上配置的用户和密码登陆

[ftp]dir

200 Port command okay.

150 Opening ASCII mode data connection for *.

-rwxrwxrwx 1 noone nogroup 5746199 Oct 10 2002 system

-rwxrwxrwx 1 noone nogroup 952 Oct 31 2005 vrpcfg2.cfg

226 Transfer complete.

FTP: 131 byte(s) received in 0.190 second(s) 689.00 byte(s)/sec.

// 可以看到RTD上的文件

同时，在RTD上可以看到192.2.2.1的用户访问

<RTD>

%Aug 11 11:28:39 2005 RTD FTPS/5/USERIN:User huawei(192.2.2.1)

login succeeded

4 配置参考

（1）基本配置

配置RTA NAT出口路由器

# 配置内网网关

[RTA-Ethernet0/1]ip address 192.168.1.1 255.255.255.0

# 配置出接口地址

[RTA-Ethernet0/0]ip addr 10.1.1.1 255.255.255.0

# 配置公网IGP路由

[RTA]interface LoopBack 0

[RTA-LoopBack0]ip addr 1.1.1.1 255.255.255.255

[RTA]router id 1.1.1.1

[RTA]ospf

[RTA-ospf-1]area 0

[RTA-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255

配置RTB公网路由器

# 配置接口地址

[RTB-Ethernet0/0]ip address 10.1.1.2 255.255.255.0

[RTB-Serial2/0] ip address 192.2.2.2 255.255.255.252

[RTB-LoopBack0]ip address 2.2.2.2 255.255.255.255

# 配置IGP路由

[RTB]router id 2.2.2.2

[RTB]ospf

[RTB-ospf-1]area 0

[RTB-ospf-1-area-0.0.0.0]net 192.2.2.0 0.0.0.3

[RTB-ospf-1-area-0.0.0.0]net 10.1.1.0 0.0.0.255

配置RTC公网路由器

# 配置接口地址

[RTC-Serial3/0]ip addr 192.2.2.1 255.255.255.252

[RTB-LoopBack0]ip address 3.3.3.3 255.255.255.255

# 配置IGP路由

[RTC]router id 3.3.3.3

[RTC]ospf

[RTC-ospf-1]area 0

[RTC-ospf-1-area-0.0.0.0]net 192.2.2.0 0.0.0.3

配置RTD内网FTP服务器RTD

# 使能FTP SERVER

[RTD]ftp server enable

# 配置FTP用户

[RTD]local-user huawei password simple Huawei

[RTD]local-user huawei service-type ftp

[RTD]local-user huawei ftp-directory flash:/

# 配置接口与路由

[RTD-Ethernet0/0]ip addr 192.168.1.2 255.255.255.0

[RTD]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

（2）NAT配置

配置EASY IP方式的NAT

# 配置ACL

[RTA]acl number 2001

[RTA-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255

[RTA-acl-basic-2001]rule deny

# 配置出接口NAT转换

[RTA-Ethernet0/0]nat outbound 2001

配置IP POOL方式的NAT

# 配置ACL

[RTA]acl number 2001

[RTA-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255

[RTA-acl-basic-2001]rule deny

# 配置NAT转换的地址池

[RTA]nat address-group 1 10.1.1.3 10.1.1.10

# 配置出接口NAT转换

[RTA-Ethernet0/0]ip addr 10.1.1.1 255.255.255.0

[RTA-Ethernet0/0]nat outbound 2001 address-group 1

配置NAT Server

[RTA-Ethernet0/0]nat server protocol tcp global 10.1.1.1

ftp inside 192.168.1.2 ftp