华为动态NAT配置

试验要求:
1)将内部网络10.1.1.0/24转换为公网地址200.1.1.1~200.1.1.10/28上网(访问Server3),并抓包分析
2)验证动态NAT是单向转换

环境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步骤:
R1:
[R1]acl 2000 #创建编号为2000的基本ACL列表
[R1-acl-basic-2000]rule 50 permit source 10.1.1.0 0.0.0.255
#创建序号为50的条目,允许(permit)来自(source)10.1.1.0网段的所有主机通过
[R1-acl-basic-2000]q #退出ACL模式
[R1]nat address-group 1 200.1.1.1 200.1.1.10
#创建NAT地址池(address-group)1,200.1.1.1-200.1.1.10
[R1]int g 0/0/2 #进入GE 0/0/2端口
[R1-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 no-pat
#在端口上启用动态NAT,将ACL2000匹配的流量应转换到该端口作为源地址,并匹配从该出口出去(outbound)的流量,关联NAT地址池(address-group)1,并且不做端口转换(no-pat),只做地址转换。

结果验证:

注:
根据实验要求,最右侧设备为Server3,但配置完成后并不能形成单向的动态NAT,因此我将Server3换成了AR2240,配置好IP地址后再进行测试,结果就是正确的了,因此在验证结果时,如果经过反复排查发现自己的配置没有任何问题的情况下,可以考虑是否是由模拟器导致的问题,尝试更换设备。

#=============================================================================#

华为静态NAT配置

试验要求:
1)将内部地址10.1.1.11/24、10.1.1.12/24静态转换为公网地址200.1.1.11/28、200.1.1.12/28 ,以便访问外网(Server3)或被外网(Server3)访问,并抓包分析
2)验证静态NAT是双向转换

环境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步骤:
[R1]int g 0/0/2 #进入GE 0/0/2端口
[R1-GigabitEthernet0/0/2]nat static global 200.1.1.11 inside 10.1.1.11
#配置全局(global)静态(static)NAT,将内网10.1.1.11地址转换成200.1.1.11
[R1-GigabitEthernet0/0/2]nat static global 200.1.1.12 inside 10.1.1.12
#配置全局(global)静态(static)NAT,将内网10.1.1.12地址转换成200.1.1.12

结果验证:

#=============================================================================#

华为NAPT配置

试验要求:
公司要求将内部网络10.1.1.0/24转换为一个公网地址200.1.1.10/28上网(访问Server3)。

环境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步骤:
[R1]acl 2000 #创建编号为2000的基本ACL列表
[R1-acl-basic-2000]rule 50 permit source 10.1.1.0 0.0.0.255
#创建序号为50的条目,允许(permit)来自(source)10.1.1.0网段的主机通过
[R1-acl-basic-2000]q #退出ACL模式
[R1]nat address-group 1 200.1.1.10 200.1.1.10
#创建NAT地址池1,并指定地址池内IP为200.1.1.10
[R1]int g 0/0/2 #进入GE 0/0/2端口
[R1-GigabitEthernet0/0/2]nat outbound 2000 address-group 1
#启动NAT,并将ACL2000匹配的IP地址作为NAT的源地址,并套用地址池1进行地址转换

结果验证:

#=============================================================================#

华为Easy IP配置

实验要求:
公司路由器外部接口G0/0/2是动态IP,要求内部网络10.1.1.0/24利用外部接口G0/0/2上网(访问Server3)。

环境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步骤:
[R1]acl 2000 #创建编号为2000的基本ACL列表
[R1-acl-basic-2000]rule 50 permit source 10.1.1.0 0.0.0.255
#创建序号为50的条目,允许(permit)来自(source)10.1.1.0网段的所有主机通过
[R1-acl-basic-2000]q #退出ACL模式
[R1]int g 0/0/2 #进入GE 0/0/2端口
[R1-GigabitEthernet0/0/2]nat outbound 2000
#启动NAT,并将基本ACL2000列表匹配到的所有IP地址作为源地址进行NAT转换,且所有源地址都将转换为该端口地址进行外网访问

结果验证:

#=============================================================================#

华为NAT Server配置

试验要求:
1)将内部地址10.1.1.11/24的80端口静态转换为公网地址200.1.1.11/28的80端口,以便被外网(Client2)访问;同时Server1和Client2可以互相ping通。
2)将内部地址10.1.1.12/24的21端口静态转换为公网地址200.1.1.12/28的21端口,以便被外网(Client2)访问。

环境部署:
PC1:
IP:10.1.1.1 /24
GW:10.1.1.254 /24
Client1:
IP:10.1.1.2 /24
GW:10.1.1.254 /24
Client2:
IP:100.1.1.1 /24
GW:100.1.1.254 /24
Server1:
IP:10.1.1.11 /24
GW:10.1.1.254 /24
Server2:
IP:10.1.1.12 /24
GW:10.1.1.254 /24
R1:
GE 0/0/0:
IP:10.1.1.254 /24
GE 0/0/1:
IP:100.1.1.254 /24
GE 0/0/2:
IP:200.1.1.14 /28

配置步骤:
[R1]int g 0/0/1 #进入GE 0/0/1端口
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 200.1.1.12 21 inside 10.1.1.12 21
#创建NAT地址转换,全局(global)模式下,将10.1.1.12的TCP协议(protocol)21端口转换为200.1.1.12的TCP协议(protocol)的21端口
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 200.1.1.11 80 inside 10.1.1.11 80
#创建NAT地址转换,全局(global)模式下,将10.1.1.11的TCP协议(protocol)80端口转换为200.1.1.11的TCP协议(protocol)的80端口
[R1-GigabitEthernet0/0/1]nat server protocol icmp global 200.1.1.11 inside 10.1.1.11
#创建NAT地址转换,全局(global)模式下,将10.1.1.11的icmp协议(protocol)转换为200.1.1.11的icmp协议(protocol)

结果验证: