NE40E NAT

配置集中式NAT示例

介绍集中式NAT功能的配置示例，实现公司内部私有地址和外部公共地址进行多对多的转换，并限定只有特定网段的PC可以访问Internet，结合配置组网图来理解业务的配置过程。配置示例包括组网需求、思路准备、操作步骤和配置文件。

组网需求

如图1所示，一个公司内部网络的计算机通过路由器的网络地址转换功能连接到Internet。路由器的业务板插在1号槽位上。路由器通过以太网接口GE2/0/0与内部网连接。路由器通过接口POS1/0/0与Internet相连，公司具有202.38.160.100/24至202.38.160.105/24共6个公网IP地址。

各接口IP地址如图1所示。通过配置要达到以下要求：

• 内部网段10.110.10.0/24的计算机可以访问Internet，其它网段的计算机则不能访问Internet。

• 实现公司内部私有地址和外部公共地址进行多对多的转换。

图1 NAT基本应用组网图

配置思路

采用如下思路配置NAT。

1. 配置NAT基本功能。

2. 配置NAT引流策略。

3. 配置NAT转换策略。

数据准备

NAT地址池的编号，起始和结束的IP地址。

操作步骤

active nat session-table size命令用来配置业务板或CPU的会话表资源。

undo active nat session-table size命令用来删除业务板或CPU的会话表资源。

缺省情况下，业务板或CPU的会话表资源为零，业务不可用。

1. 配置NAT实例，将业务板绑定到NAT实例。

• 对于VSUI-20-A业务板，按如下方式配置：

system-view

[HUAWEI] nat instance 1

[HUAWEI-nat-instance-1] add slot 1 master

[HUAWEI-nat-instance-1] quit

• 对于VSUF-40/80/160业务板，按如下方式配置：

system-view

[HUAWEI] service-location 1

[HUAWEI-service-location-1] location slot 1 engine 0

[HUAWEI-service-location-1] quit

[HUAWEI] service-instance-group 1

[HUAWEI-instance-group-1] service-location 1

[HUAWEI-instance-group-1] quit

[HUAWEI] nat instance 1 id 1

[HUAWEI-nat-instance-1] service-instance-group 1

[HUAWEI-nat-instance-1] quit

2. 配置地址池，该地址池地址从202.38.160.100到202.38.160.105。

• 对于VSUI-20-A业务板，按如下方式配置：

[HUAWEI] nat instance 1

[HUAWEI-nat-instance-1] 202.38.160.105

nat address-group 1 202.38.160.100

• 对于VSUF-40/80/160业务板，按如下方式配置：

[HUAWEI] nat instance 1 id 1

[HUAWEI-nat-instance-1] nat address-group 1 group-id 1 202.38.160.100 202.38.160.105

3. 配置流分类规则、NAT动作和NAT引流策略，并应用NAT引流策略。

a. 配置基于ACL流分类规则，只有内部网段地址为10.110.10.0/24的主机可以访问Internet。

[HUAWEI] acl 3001

[HUAWEI-acl-adv-3001] rule 1 permit ip source 10.110.10.0 0.0.0.255

[HUAWEI-acl-adv-3001] quit

b. 配置流分类。

[HUAWEI] traffic classifier c1

[HUAWEI-classifier-c1] if-match acl 3001

[HUAWEI-classifier-c1] quit

c. 定义流行为，配置流量动作为绑定NAT实例1。

[HUAWEI] traffic behavior b1

[HUAWEI-behavior-b1] nat bind instance 1

[HUAWEI-behavior-b1] quit

d. 定义NAT策略，将所有应用的ACL规则和动作进行关联。

[HUAWEI] traffic policy p1

[HUAWEI-trafficpolicy-p1] classifier c1 behavior b1

[HUAWEI-trafficpolicy-p1] quit

e. 在接口视图下应用ACL用户的流分类策略。

[HUAWEI] interface gigabitEthernet 2/0/0

[HUAWEI-GigabitEthernet2/0/0] traffic-policy p1 inbound

配置NAT转换动作，所有由接口板被引入到业务板的报文，直接取地址池中的地址进行NAT转换。

• 对于VSUI-20-A业务板，按如下方式配置：

[HUAWEI] nat instance 1

[HUAWEI-nat-instance-1] nat outbound any address-group 1

[HUAWEI-nat-instance-1] quit

• 对于VSUF-40/80/160业务板，按如下方式配置：

[HUAWEI] nat instance 1 id 1

[HUAWEI-nat-instance-1] nat outbound any address-group 1

[HUAWEI-nat-instance-1] quit

将NAT转换地址池路由配置静态黑洞路由，并将其发布在路由协议下。

[HUAWEI] ip route-static 202.38.160.100 32 null 0

[HUAWEI] ip route-static 202.38.160.101 32 null 0

[HUAWEI] ip route-static 202.38.160.102 32 null 0

[HUAWEI] ip route-static 202.38.160.103 32 null 0

[HUAWEI] ip route-static 202.38.160.104 32 null 0

[HUAWEI] ip route-static 202.38.160.105 32 null 0

[HUAWEI] ospf 1

[HUAWEI-ospf-1] import-route static

[HUAWEI-ospf-1] quit

检查配置结果。

# 在设备上查看NAT用户的信息。

display nat user-information slot 1 engine 0 verbose

This operation will take a few minutes. Press 'Ctrl+C' to break ...

Slot: 1 Engine: 0

Total number: 1.

---------------------------------------------------------------------------

User Type : NAT444

CPE IP : 10.110.10.100

User ID : -

VPN Instance : -

Address Group : 1

NAT Instance : 1

Public IP : 202.38.160.100

Start Port : 1152

Port Range : 64

Port Total : 64

Extend Port Alloc Times : 0

Extend Port Alloc Number : 0

First/Second/Third Extend Port Start : 0/0/0

Total/TCP/UDP/ICMP Session Limit : 8192/10240/10240/512

Total/TCP/UDP/ICMP Session Current : 5/5/0/0

Total/TCP/UDP/ICMP Rev Session Limit : 8192/10240/10240/512

Total/TCP/UDP/ICMP Rev Session Current: 0/0/0/0

Total/TCP/UDP/ICMP Port Limit : 0/0/0/0

Total/TCP/UDP/ICMP Port Current : 5/5/0/0

Nat ALG Enable : ALL

Token/TB/TP : 0/0/0

Port Forwarding Flag : Non Port Forwarding

Port Forwarding Ports : 0 0 0 0 0

Aging Time(s) : -

Left Time(s) : -

Port Limit Discard Count : 0

Session Limit Discard Count : 0

Fib Miss Discard Count : 0

-->Transmit Packets : 15

-->Transmit Bytes : 660

-->Drop Packets : 0

<--Transmit Packets : 40

<--Transmit Bytes : 1740

<--Drop Packets : 0

---------------------------------------------------------------------------

配置文件

路由器的配置文件。

设备中配备VSUI-20-A业务板时的配置：

#

sysname HUAWEI

#

nat instance 1

add slot 1 master

nat address-group 1 202.38.160.100 202.38.160.105

nat outbound any address-group 1

#

acl 3001

rule 1 permit ip source 10.110.10.0 0.0.0.255

#

traffic classifier c1

if-match acl 3001

#

traffic behavior b1

nat bind instance 1

#

traffic policy p1

classifier c1 behavior b1

#

interface GigabitEthernet 2/0/0

undo shutdown

ip address 10.110.10.1 255.255.255.0

traffic-policy p1 inbound

#

ip route-static 202.38.160.100 32 null 0

ip route-static 202.38.160.101 32 null 0

ip route-static 202.38.160.102 32 null 0

ip route-static 202.38.160.103 32 null 0

ip route-static 202.38.160.104 32 null 0

ip route-static 202.38.160.105 32 null 0

#

ospf 1

import-route static

#

return

设备中配备VSUF-40/80/160业务板时的配置：

#

sysname HUAWEI

#

service-location 1

location slot 1 engine 0

#

service-instance-group 1

service-location 1

#

nat instance 1 id 1

service-instance-group 1

nat address-group 1 group-id 1 202.38.160.100 202.38.160.105

nat outbound any address-group 1

#

acl 3001

rule 1 permit ip source 10.110.10.0 0.0.0.255

#

traffic classifier c1

if-match acl 3001

#

traffic behavior b1

nat bind instance 1

#

traffic policy p1

classifier c1 behavior b1

#

interface GigabitEthernet 2/0/0

undo shutdown

ip address 10.110.10.1 255.255.255.0

traffic-policy p1 inbound

#

ip route-static 202.38.160.100 32 null 0

ip route-static 202.38.160.101 32 null 0

ip route-static 202.38.160.102 32 null 0

ip route-static 202.38.160.103 32 null 0

ip route-static 202.38.160.104 32 null 0

ip route-static 202.38.160.105 32 null 0

#

ospf 1

import-route static

#

return