NAT地址转换(端口映射,批量端口映射)
Easy IP配置
1 [Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 #配置acl内网规则 2 [Huawei-GigabitEthernet0/0/0]nat outbound 2000 #外网接口下应用acl 3 [Huawei]ip route-static 0.0.0.0 0.0.0.0 221.11.1.1 #配置默认静态路由,下一跳指向外网出口地址 4 # 5 interface GigabitEthernet0/0/0 6 ip address 221.11.1.1 255.255.255.0 7 nat outbound 2000 8 #
NAT Server(内网端口映射)
1 interface GigabitEthernet0/0/0 2 ip address 221.11.1.1 255.255.255.0 3 nat server protocol tcp global current-interface ftp inside 192.168.1.2 ftp 4 nat server protocol tcp global current-interface 9007 inside 192.168.1.2 www #将内网端口80映射到外网端口9007 5 nat outbound 2000
内网IP绑定(通常情况下,我们需要给内网PC分配固定的IP地址)
[ar2240-GigabitEthernet0/0/1]dhcp server static-bind ip-address 10.10.2.101 mac-address 503b-c28a-3985 Error: The static-MAC is exist in this IP-pool. #如果出现此错误,需要在用户视图下释放掉当前获取的IP地址 <ar2240>reset ip pool interface GigabitEthernet0/0/1 10.10.2.101 Warning: If the IP addresses that are being used are reclaimed, may influence normal user in the network. Are you sure to continue?[Y/N]:y
配置批量端口映射
需要将服务器的内网IP与一段连续端口映射为一个外网IP的连续端口时,可以通过引用ACL的方式配置批量端口映射。
某公司的内部网络中有一台服务器的一段连续端口需要向公网用户开放。其中内部服务的内网IP地址为192.168.2.2/24,提供服务的端口为2000~4000和5000,对外公布的地址为11.11.11.11/24,对端运营商侧地址为11.11.11.10。要求将内网服务器的2000~4000与5000端口映射到公网IP地址11.11.11.11的对应端口。
1,配置接口IP地址
<Huawei> system view [Huawei] sysname Router [Router] vlan 100 [Router-vlan100] quit [Router] interface vlanif 100 [Router-Vlanif100] ip address 192.168.2.1 24 [Router-Vlanif100] quit [Router] interface ethernet 2/0/0 [Router-Ethernet2/0/0] port link-type access [Router-Ethernet2/0/0] port default vlan 100 [Router-Ethernet2/0/0] quit [Router] interface GigabitEthernet 1/0/0 [Router-GigabitEthernet1/0/0] ip address 11.11.11.12 24 [Router-GigabitEthernet1/0/0] quit
2,创建ACL,匹配需要映射的端口号
[Router] acl number 3001 [Router-acl-adv-3001] rule 5 permit tcp destination-port range 2000 4000 [Router-acl-adv-3001] rule 10 permit tcp destination-port eq 5000 [Router-acl-adv-3001] quit
3,配置NAT Server,引用ACL
[Router] interface gigabitethernet 1/0/0 [Router-GigabitEthernet1/0/0] nat server global 11.11.11.11 inside 192.168.2.2 acl 3001 [Router-GigabitEthernet1/0/0] quit
4,在Router上配置缺省路由,下一跳地址为11.11.11.10
[Router] ip route-static 0.0.0.0 0.0.0.0 11.11.11.10
引用ACL的方式配置批量端口映射可以实现一次性映射一段连续端口,不需要通过命令nat server逐条配置,大大减少了工作量,且当如需修改端口号范围时,只要修改ACL即可,便于后期维护。但是同一个公网IP只能配置一次批量映射,且批量映射后此IP不能再次通过命令nat server配置其他端口映射,如果内网有其他服务器需要向公网提供服务,必须选用其他公网IP地址。
