【H3C技术】配置NAPT

配置NAPT
应用环境
在校园网和企业网的应用中，NE20E路由器和NE16E路由器往往会作为网络的出口路由器控制内部网络访问Internet。

由于公网IP地址日益短缺，校园网和企业网的内部网络会使用私网IP地址进行编址，因此当内网主机访问Internet时，需要给该主机分配一个公网IP地址，就需要在出口路由器上部署NAT特性，这样通过NAT将内部主机的私网IP地址转换成公网IP地址使主机可以访问Internet上的资源。

配置思路
采用以下思路进行配置：

配置NAT地址池和访问控制列表。
在与公网连接的接口上应用NAT。
配置注意事项
无

配置实例
组网需求
如下图所示，一个校园网通过NE20E连接到Internet和Cernet。校园内部分为三个个区域：教学区、宿舍区和图书馆区。要求在NE20E上提供NAT功能，使教学区和宿舍区的主机可以与Internet和Cernet进行通讯，图书馆区的主机不可以。学校从ISP申请了100.1.1.1和100.1.1.2两个公网IP地址用于NAT转换。

NAT转换

 

适用产品和版本
出口路由器采用NE20E设备，版本为(VRP5.30-23)及后续版本。

配置步骤
步骤 1     配置NAT地址池和访问控制列表。

# 配置地址池和访问控制列表。

<CK-HW-NE20E-1> system-view

[CK-HW-NE20E-1] nat address-group 1 100.1.1.1 100.1.1.2 mask 255.255.255.252

[CK-HW-NE20E-1] ip route-static 100.1.1.0 255.255.255.252 null0

[CK-HW-NE20E-1] acl number 2000

[CK-HW-NE20E-1-acl-basic-2000] rule permit source 10.10.0.0 0.0.255.255

[CK-HW-NE20E-1-acl-basic-2000] rule permit source 10.20.0.0 0.0.255.255

[CK-HW-NE20E-1-acl-basic-2000] rule deny source any

[CK-HW-NE20E-1-acl-basic-2000] quit

步骤 2     在与公网连接的接口上应用NAT。

# 允许校园用户访问Internet。

[CK-HW-NE20E-1] interface ethernet 1/0/0

[CK-HW-NE20E-1-Ethernet1/0/0] description to Internet

[CK-HW-NE20E-1-Ethernet1/0/0] ip address 110.1.1.1 255.255.255.252

[CK-HW-NE20E-1-Ethernet1/0/0] nat outbound 2000 address-group 1

# 允许校园用户访问Cernet。

[CK-HW-NE20E-1] interface ethernet 1/0/1

[CK-HW-NE20E-1-Ethernet1/0/1] description to Cernet

[CK-HW-NE20E-1-Ethernet1/0/1] ip address 120.1.1.1 255.255.255.252

[CK-HW-NE20E-1-Ethernet1/0/1] nat outbound 2000 address-group 1

验证结果
当配置完成后，在CK-HW-NE20E-1路由器执行display nat all和命令，可以看到如下信息。

[CK-HW-NE20E-1] display nat all

NAT address-group information:

      1 : from       100.1.1.1   to       100.1.1.2(29), reference   1 times

  Total   1 address-groups

NAT outbound information:

                    Ethernet1/0/6: acl(2000) --- NAT address-group( 1)

  Total   1 nat outbounds

Server in private network information:

  Total   0 NAT servers

NAT application level gateway information:

  netbios NAT application level gateway is enabled

  ils NAT application level gateway is enabled

  ftp NAT application level gateway is enabled

  icmp NAT application level gateway is enabled

 

[CK-HW-NE20E-1] display firewall session table

FTP,10.10.11.2:55257[100.1.1.1:2048]+->120.10.10.6:21

  TELNET,10.20.1.2:50030[100.1.1.1:2049]-->200.1.1.6:23

  WWW,10.10.22.2:50804[100.1.1.1:2050]+->100.0.0.6:80

  FTP DATA,110.1.1.6:20-->110.1.1.1:12291[10.1.1.2:50213]

上面的显示信息表示内网中有用户正在访问外网的FTP服务器、Telnet服务器和WWW服务器。

配置文件
#

sysname CK-HW-NE20E-1

#

nat address-group 1 100.1.1.1 100.1.1.2 mask 255.255.255.252

#

acl number 2000

rule 5 permit source 10.10.0.0 0.0.255.255

rule 10 permit source 10.20.0.0 0.0.255.255

rule 15 deny source any

#

interface Ethernet1/0/0

description to Internet

 ip address 110.1.1.1 255.255.255.252

nat outbound 2000 address-group 1

#

interface Ethernet1/0/1

 description to Cernet

 ip address 120.1.1.1 255.255.255.252

nat outbound 2000 address-group 1

#

ip route-static 100.1.1.0 255.255.255.252 null0

#

return