23-NAT典型配置举例
本章节下载: 23-NAT典型配置举例 (598.61 KB)
NAT典型配置举例
本文档介绍NAT功能的典型配置举例。
NAT功能主要有如下几种实现方式:
静态地址转换是指内部网络和外部网络之间的地址映射关系由配置固定。该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访:内网用户可以主动访问外网,外网用户也可以主动访问内网。
动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。
在实际应用中,内部网络中的服务器可能需要对外部网络提供一些服务,例如对外部网络提供Web服务,或是FTP服务。这种情况下,NAT设备允许外网用户通过指定的NAT地址和端口访问这些内部服务器,NAT内部服务器的配置定义了NAT地址和端口与内网服务器地址和端口的映射关系。
NAT444是运营商网络部署NAT的整体解决方案,它基于NAT444网关,结合AAA服务器、日志服务器等配套系统,提供运营商级的NAT,并支持用户溯源等功能。在众多IPv4向IPv6网络过渡的技术中,NAT444仅需在运营商侧引入二次NAT,对终端和应用服务器端的更改较小,并且NAT444通过端口块分配方式解决用户溯源等问题,因此成为了运营商的首选IPv6过渡方案。
本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置与以下举例中的配置不冲突。
本文档假设您已了解NAT特性。
NAT设备接收或者发送的NAT业务反向报文与NAT接口不一致时,如果快速转发负载分担功能处于开启状态,则反向报文会匹配快转表项进行NAT地址转换;如果快速转发负载分担功能处于关闭状态,则反向报文无法匹配快转表项进行NAT地址转换。
如图-1所示,Host所在网络的出口处部署了一台防火墙设备。现需要使用静态地址转换功能,将内网用户地址转换为出口公网地址来访问外网。具体需求如下:
内部用户172.16.100.1/24使用外网地址200.2.2.254/24访问Internet中地址为100.100.100.100/24的Server。
本举例是在M9006的R9141版本上进行配置和验证的。
2. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/1前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:200.2.2.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:172.16.100.254/24
· 其他配置项使用缺省值
3. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面,配置安全策略允许报文通过。
4. 配置静态地址转换
# 选择“策略 > NAT > NAT静态转换 > 策略配置”,进入NAT出方向静态地址转换页面。
# 单击<新建>按钮,新建NAT出方向静态地址转换,配置如下图所示。
# 单击<确定>按钮。
图-2 新建NAT出方向静态地址转换
5. 应用NAT静态地址转换
# 选择“策略 > NAT > NAT静态转换 > 策略应用”,勾选GE1/0/1,单击开启按钮,结果如下图所示。
6. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 100.100.100.100
正在 Ping 100.100.100.100 具有 32 字节的数据:
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
100.100.100.100 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
7. 在防火墙设备上,选择“监控 > 会话列表”,查看NAT的会话信息。
图-4 会话列表
如图-5所示,公司拥有200.2.2.1/24~200.2.2.3/24三个公网IP地址,三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。通过配置NAT NO-PAT方式的地址转换功能,使内部网络中的主机可以访问Internet中的Server。
图-5 动态地址转换NO-PAT配置组网图
本举例是在M9006的R9141版本上进行配置和验证的。
8. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/1前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:200.2.2.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:172.16.100.254/24
· 其他配置项使用缺省值
9. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面,配置安全策略允许报文通过。
10. 配置NAT地址池
# 选择“策略 > NAT > NAT高级设置 > NAT地址组”。
# 单击<新建>按钮,新建NAT地址池,参数配置如下图所示。
# 单击<确定>按钮。
图-6 新建地址组
11. 配置NAT动态地址转换策略
# 选择“策略 > NAT > NAT动态转换”。
# 单击<新建>按钮,新建NAT出方向动态转换,参数配置如下图所示。
# 单击<确定>按钮,完成配置。
图-7 新建NAT出方向动态转换
12. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 100.100.100.100
正在 Ping 100.100.100.100 具有 32 字节的数据:
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
100.100.100.100 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
13. 在防火墙设备上,选择“监控 > 会话列表”,查看NAT的会话信息。
图-8 会话列表
如图-9所示,公司拥有一个200.2.2.1/24的公网IP地址,三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。通过配置NAT PAT方式的地址转换功能,内部网络中的主机可以通过公网地址200.2.2.1/24访问Internet中的Server。
图-9 动态地址转换PAT方式配置组网图
本举例是在M9006的R9141版本上进行配置和验证的。
14. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/1前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:200.2.2.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:172.16.100.254/24
· 其他配置项使用缺省值
15. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面,配置安全策略允许报文通过。
16. 配置NAT地址池
# 选择“策略 > NAT > NAT高级设置 > NAT地址组”。
# 单击<新建>按钮,新建地址池,参数配置如下图所示。
# 单击<确定>按钮。
图-10 新建地址组
17. 配置NAT动态转换策略
# 选择“策略 > NAT > NAT动态转换”,进入NAT出方向动态转换配置界面。
# 单击<新建>按钮,新建NAT出方向动态转换,参数配置如下图所示。
# 单击<确定>按钮,完成配置。
图-11 新建NAT出方向动态转换
18. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 100.100.100.100
正在 Ping 100.100.100.100 具有 32 字节的数据:
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
100.100.100.100 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
19. 在防火墙设备上,选择“监控 > 会话列表”,查看NAT的会话信息。
图-12 会话列表
如图-13所示,公司有一台对外提供Web服务的Web Server,其地址为172.16.100.247/24,通过配置NAT内部服务器功能,外部网络主机Host可以通过公网地址200.2.2.1/24访问公司内部的Web Server。
图-13 NAT内部服务器配置组网图
本举例是在M9006的R9141版本上进行配置和验证的。
20. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/1前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:200.2.2.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:172.16.100.254/24
· 其他配置项使用缺省值
21. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面,配置安全策略允许报文通过。
22. 配置NAT内部服务器转换
# 选择“策略 > NAT > NAT内部服务器 > 策略配置”。
# 单击<新建>按钮,新建NAT内部服务器,参数配置如下图所示。
# 单击<确定>按钮,完成配置。
图-14 新建NAT内部服务器
23. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 200.2.2.1
正在 Ping 200.2.2.1 具有 32 字节的数据:
来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253
来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253
来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253
来自 200.2.2.1 的回复: 字节=32 时间<1ms TTL=253
200.2.2.1 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
24. 在防火墙设备上,选择“监控 > 会话列表”,查看NAT的会话信息。
图-15 会话列表
如图-16所示,公司拥有一个200.2.2.1/24的公网IP地址,三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。内网用户地址基于NAT444端口块静态映射方式复用外网地址200.2.2.1,外网地址的端口范围为10001~15000,端口块大小为500。
图-16 NAT444端口块静态映射配置组网
本举例是在M9006的R9141版本上进行配置和验证的。
25. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/1前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:200.2.2.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:172.16.100.254/24
· 其他配置项使用缺省值
26. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面,配置安全策略允许报文通过。
27. 配置NAT端口块组
# 选择“策略 > NAT > NAT444静态转换 > 端口块组”。
# 单击<新建>按钮,新建端口块组,参数配置如下图所示。
# 单击<确定>按钮。
图-17 新建端口块组
28. 配置NAT444静态转换策略
# 选择“策略 > NAT > NAT444静态转换 > 策略配置”。
# 单击<新建>按钮,新建NAT444静态转换策略,参数配置如下图所示。
# 单击<确定>按钮,完成配置。
图-18 新建NAT444静态转换
29. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 100.100.100.100
正在 Ping 100.100.100.100 具有 32 字节的数据:
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
100.100.100.100 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
30. 在防火墙设备上,选择“监控 > 会话列表”,查看NAT的会话信息。
图-19 会话列表
如图-20所示,公司拥有200.2.2.1/24~200.2.2.3/24三个公网IP地址,三台内部主机地址分别为Host A 172.16.100.1/24、Host B 172.16.100.2/24和Host C 172.16.100.3/24。基于NAT444端口块动态映射方式复用三个外网地址,外网地址的端口范围为1024~65535,端口块大小为500。当为某用户分配的端口块资源耗尽时,再为其增量分配1个端口块。
图-20 NAT444端口块动态映射配置组网
本举例是在M9006的R9141版本上进行配置和验证的。
31. 配置接口的IP地址和安全域
# 选择“网络 > 接口 > 接口”,进入接口配置页面。
# 选中接口GE1/0/1前的复选框。
# 单击<编辑>按钮,配置如下。
· 加入到安全域:Untrust
· IP地址/掩码:200.2.2.254/24
· 其他配置项使用缺省值
# 按照同样的步骤配置接口GE1/0/0,配置如下。
· 加入到安全域:Trust
· IP地址/掩码:172.16.100.254/24
· 其他配置项使用缺省值
32. 配置安全策略
# 选择“策略 > 安全策略 > 安全策略”,进入安全策略配置页面,配置安全策略允许报文通过。
33. 配置NAT地址组
# 选择“策略 > NAT > NAT高级设置 > NAT地址组”。
# 单击<新建>按钮,新建NAT地址组,参数配置如下图所示。
# 单击<确定>按钮。
图-21 新建NAT地址组
34. 配置NAT444动态地址转换策略
# 选择“策略 > NAT > NAT444动态转换”。
# 单击<新建>按钮,新建NAT444动态转换策略,参数配置如下图所示。
# 单击<确定>按钮,完成配置。
图-22 新建NAT444动态转换
35. Host主机可以Ping通外部网络的服务器地址。
C:\Users\abc>ping 100.100.100.100
正在 Ping 100.100.100.100 具有 32 字节的数据:
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
来自 100.100.100.100 的回复: 字节=32 时间<1ms TTL=253
100.100.100.100 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
36. 在防火墙设备上,选择“监控 > 会话列表”,查看NAT的会话信息。
图-23 会话列表
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!