华为路由器 NAT 配置

拓扑图

静态 NAT

静态地址转换是指外部网络和内部网络之间的地址映射关系由配置确定，该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

一、R1 

1、配置IP并启DHCP

<Huawei>sys
[Huawei]sys R1
[R1]un in en

[R1]dhcp enable

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip addr 200.0.0.2 24

[R1-GigabitEthernet0/0/0]int g0/0/1
[R1-GigabitEthernet0/0/1]ip addr 10.0.10.254 24
[R1-GigabitEthernet0/0/1]dhcp select int
[R1-GigabitEthernet0/0/1]dhcp server dns-list 8.8.8.8
[R1-GigabitEthernet0/0/1]quit

2、配置 NAT

[R1]nat static global 200.0.0.10 inside 10.0.10.253 netmask 255.255.255.255

二、R2

1、配置IP并启DHCP

<Huawei>sys
[Huawei]sys R2
[R2]un in en

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip addr 200.0.0.1 24

三、抓包

我们用 PC1 访问 R2

通过上面分析得出 源地址已成功变成 200.0.0.10 

动态 NAT

动态地址转换是指内部网络和外部网络之间的地址映射关系在建立连接的时候动态产生。该方式通常适用于内部网络有大量用户需要访问外部网络的组网环境。动态地址转换存在两种转换模式：

• NO-PAT模式
  NO-PAT（Not Port Address Translation）模式下，一个外网地址同一时间只能分配给一个内网地址进行地址转换，不能同时被多个内网地址共用。当使用某外网地址的内网用户停止访问外网时，NAT会将其占用的外网地址释放并分配给其他内网用户使用。
• PAT模式
  PAT（Port Address Translation）模式下，一个NAT地址可以同时分配给多个内网地址共用。该模式下，NAT设备需要对报文的IP地址和传输层端口同时进行转换，且只支持TCP、UDP和ICMP（Internet Control Message Protocol，因特网控制消息协议）查询报文。

NO-PAT 模式

如果企业有4个外网地址，如 200.0.0.3~ 200.0.0.6，内网用户随机映射一个地址进行上网

一、R1

# 创建外网动态地址池
[R1]nat address-group 1 200.0.0.3 200.0.0.6

[R1]acl 2001
[R1-acl-basic-2001]rule 5 permit source 10.0.10.0 0.0.0.255
[R1-acl-basic-2001]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2001 address-group 1 no-pat

二、抓包

通过上面分析得出 每次访问都会取一个 地址池中的外网地址

PC1>ping 200.0.0.1

Ping 200.0.0.1: 32 data bytes, Press Ctrl_C to break
From 200.0.0.1: bytes=32 seq=1 ttl=254 time=47 ms
From 200.0.0.1: bytes=32 seq=2 ttl=254 time=31 ms
From 200.0.0.1: bytes=32 seq=3 ttl=254 time=63 ms
From 200.0.0.1: bytes=32 seq=4 ttl=254 time=47 ms
Request timeout!

--- 200.0.0.1 ping statistics ---
  5 packet(s) transmitted
  4 packet(s) received
  20.00% packet loss
  round-trip min/avg/max = 31/47/63 ms

 由于只有4个外网地址，而每次 ICMP 要发5个，所以最后一个超时了。

PAT 模式，也叫 Easy-IP

如果企业只有1个外网地址，如 200.0.0.2 ，内网用户都通过这个地址进行上网

一、R1

[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 10.0.10.0 0.0.0.255
[R1-acl-basic-2000]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000

二、抓包

通过上面分析得出 源地址已成功变成 200.0.0.2，这个地址是 R1路由器上面配置的外网地址