配置Easy IP方式NAT示例 _Easy

本例介绍了如何通过Easy IP方式NAT实现流量从企业网内部访问外部运营商网络。
适用产品和版本适用于V800R010C00及以后版本的NE20E-S系列产品。
组网需求如图1-56所示，流量从企业网内部访问外部运营商网络，通过NAT-Device将企业网用户私网地址转换成公网接口下的接口地址，访问外部运营商网络。
NAT-Device通过以太网接口0/2/0与内部网连接。NAT-Device通过接口GE0/2/1与Internet相连。公司除11.2.3.4这个公网IP外不拥有其他的公网IP 。NAT-Device网络侧对端设备的IP地址是11.2.3.5 。
【配置Easy IP方式NAT示例】各接口IP地址如图1-56所示，通过配置要达到以下要求：

内部网段192.168.10.0/24的计算机可以访问Internet，其它网段的计算机则不能访问Internet 。
除公网接口下的接口地址外NAT设备不使用其他公网IP地址。

图1-56 配置场景组网图
本例中的interface1和interface2分别代表GE0/2/0、GE0/2/1 。

文章插图

配置思路

配置NAT基本功能。
配置NAT引流策略。
应用NAT引流策略。
配置静态路由。

数据准备

NAT实例的名称nat1和索引号1
NAT-Device的NAT转换地址池名称address-group1、地址池编号1
ACL的名称3001
应用NAT引流策略的接口号GE0/2/1以及接口下的IP地址11.2.3.4/24

操作步骤1.配置NAT基本功能。
a.创建NAT实例nat1 。

 <HUAWEI> system-view[~HUAWEI] sysname NAT-Device[*HUAWEI] commit [~NAT-Device] nat instance nat1 id 1 simple-configuration [*NAT-Device-nat-instance-nat1] commit[~NAT-Device-nat-instance-nat1] quit

b.配置出接口地址。

 [~NAT-Device] interface gigabitEthernet 0/2/1 [~NAT-Device-GigabitEthernet0/2/1] ip address 11.2.3.4 24 [*NAT-Device-GigabitEthernet0/2/1] commit[~NAT-Device-GigabitEthernet0/2/1] quit

c.配置地址池与出接口地址的映射关系。

[~NAT-Device] nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1 [*NAT-Device] commit

2.配置NAT引流策略：配置基于ACL流分类规则，地址访问控制列表号为3001，ACL规则的编号为1，只有内部网段地址为192.168.10.0/24的主机可以访问Internet 。

[~NAT-Device] acl 3001[*NAT-Device-acl4-advance-3001] rule 1 permit ip source 192.168.10.0 0.0.0.255[*NAT-Device-acl4-advance-3001] commit [~NAT-Device-acl4-advance-3001] quit

3.应用NAT引流策略：在出接口GE0/2/1视图下应用ACL用户的流分类策略。

 [~NAT-Device] interface gigabitEthernet 0/2/1[*NAT-Device-GigabitEthernet0/2/1] nat bind acl 3001 instance nat1[*NAT-Device-GigabitEthernet0/2/1] commit [~NAT-Device-GigabitEthernet0/2/1] quit

4.配置静态路由：缺省路由，指定下一跳地址为11.2.3.5 。
[~NAT-Device] ip route-static 0.0.0.0 0.0.0.0 11.2.3.5[*NAT-Device] commit5.验证配置结果。# 查看NAT用户信息。

[~NAT-Device] display nat user-information slot 9 verboseThis operation will take a few minutes. Press 'Ctrl+C' to break ...Slot: 9Total number:1.---------------------------------------------------------------------------User Type:NAT444CPE IP:192.168.10.100User ID:-VPN Instance:-Address Group:address-group1NAT Instance:nat1Public IP:11.2.3.4Total/TCP/UDP/ICMP Session Limit:0/0/0/0Total/TCP/UDP/ICMP Session Current:64511/0/64511/0Total/TCP/UDP/ICMP Rev Session Limit:8192/10240/10240/512Total/TCP/UDP/ICMP Rev Session Current:0/0/0/0Nat ALG Enable:NULLAging Time(s):-Left Time(s):-Session Limit Discard Count:0-->Transmit Packets:9753259-->Transmit Bytes:1111770864-->Drop Packets:0<--Transmit Packets:0<--Transmit Bytes:0<--Drop Packets:0---------------------------------------------------------------------------

NAT-Device的配置文件

# sysname NAT-Device # nat instance nat1 id 1 simple-configuration#nat address-group address-group1 group-id 1 unnumbered interface GigabitEthernet 0/2/1#acl number 3001rule 1 permit ip source 192.168.10.0 0.0.0.255# interface GigabitEthernet0/2/1undo shutdownip address 11.2.3.4 255.255.255.0nat bind acl 3001 instance nat1 #ip route-static 0.0.0.0 0.0.0.0 11.2.3.5#return