NAT实验

实验拓扑

其中client1和server1分属于vlan 20 和vlan10处于不同网段，R1作为出口路由器进行地址转换

一、配置ip地址并打通内部路由

LSW1：

[Huawei]vlan batch 10 20 30
[Huawei]int vlan 10
[Huawei-Vlanif10]ip address 192.168.10.254 24
[Huawei]int vlan 20
[Huawei-Vlanif10]ip address 192.168.20.254 24
[Huawei]int vlan 20
[Huawei-Vlanif10]ip address 192.168.30.2 24
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 10
[Huawei]int g0/0/2
[Huawei-GigabitEthernet0/0/2]port link-type access 
[Huawei-GigabitEthernet0/0/2]port default vlan 20
[Huawei]int g0/0/3
[Huawei-GigabitEthernet0/0/3]port link-type trunk
[Huawei-GigabitEthernet0/0/3]port trunk allow-pass vlan 2 to 4094
[Huawei-GigabitEthernet0/0/3]port trunk pvid vlan 30
ip route-static 0.0.0.0 0.0.0.0 192.168.30.1

AR1：

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.30.1 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 10.100.100.1 24
ip route-static 0.0.0.0 0.0.0.0 10.100.100.2
ip route-static 192.168.0.0 255.255.0.0 192.168.30.2

AR2：

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 10.100.100.2 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 10.200.200.1 24

此时内网ip地址已经互通，但无法访问外部网络，需要在AR1上配置nat转换

二、NAT

1.配置nat地址转换实现内网访问外网

AR1：

[Huawei]acl 3000
[Huawei-acl-adv-3000]rule permit ip source 192.168.0.0 0.0.255.255
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 3000

此时client可以访问外部网络，在R1的g0/0/1接口抓包发现地址被成功转换

2.对外映射server1服务

server1对外提供http服务，端口为80端口

AR1上进行配置nat server ，将公网ip地址和端口与内网服务武器地址和端口进行映射，实验外网访问内部服务。
AR1：

[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface www inside 192.168.10.1 www

外网设备client2成功访问server1提供的服务

但此时发现内网设备client1无法通过对外映射的公网ip地址访问server1提供的服务

因为此时client1发出的数据包不会经过g0/0/1，不知道公网ip地址映射的内网地址，将直接访问AR1，导致无法访问server1服务。
解决方法可看这篇文章
NAT回流，解决内网主机无法访问内网服务器问题