华为静态NAT、动态NAT、NAPT、Easy NAT、NAT Server配置

拓扑图

拓扑环境部署

R1路由器配置

配置ge 0/0/0 和ge 0/0/1 IP

<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]interface gigabitethernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 12.1.1.1 24
[Huawei-GigabitEthernet0/0/1]q
[Huawei]

R2路由器配置

配置R2 g0/0/0 ip

R2充当互联网角色，这时候R2和R1的0/0/1通了，下面的2台电脑和服务器通不互联网。

<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]interface gigabitethernet 0/0/0
[Huawei-GigabitEthernet0/0/0]ip address 12.1.1.254 24
[Huawei-GigabitEthernet0/0/0]q
[Huawei]

PC1、PC2、Server1各自手动配好ip地址

静态NAT配置

静态nat：一个私网地址就需要绑定一个公网地址。

静态nat配置方法有两种

第一种在全局模式（系统视图）下配置

1.进入系统模式，直接配置静态nat

<Huawei>
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]nat static global 12.1.1.2 inside 192.168.1.1

2.在R1 路由器的出口接口开启静态nat

[Huawei]interface gigabitethernet 0/0/1
[Huawei-GigabitEthernet0/0/1]nat static enable
[Huawei-GigabitEthernet0/0/1]

用192.168.1.1的PC ping下12.1.1.254 通了。

第二种

直接在AR1路由器的出口接口上配置

[AR1]interface gigabitethernet 0/0/1
[AR1-GigabitEthernet0/0/1]nat static global 12.1.1.6 inside 192.168.1.1
[AR1-GigabitEthernet0/0/1]q
[AR1]

动态NAT配置

动态nat：地址池中的公网地址，只要有空闲的其他私网地址就能使用。

先配置地址池 12.1.1.7-12.1.1.10

创建基本acl允许.1网段

<AR1>
<AR1>system-view
Enter system view, return user view with Ctrl+Z.
[AR1]nat address-group 1 12.1.1.7 12.1.1.10
[AR1]acl 2000
[AR1-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]q
[AR1]interface gigabitethernet 0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
[AR1-GigabitEthernet0/0/1]

此时1网段的设备都可以通互联网，但不能超过4台设备，地址池只配置了7-10 四个公网地址。

NAPT配置

napt：地址池里的公网地址+端口实现了，一个公网地址：n个端口号。

和动态NAT配置一样，把最后面的no-pat去掉就行了

<AR1>
<AR1>system-view
Enter system view, return user view with Ctrl+Z.
[AR1]nat address-group 2 12.1.1.11 12.1.1.11
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.25
[AR1-acl-basic-2000]q
[AR1]interface gigabitethernet 0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000 address-group 2
[AR1-GigabitEthernet0/0/1]q
[AR1]

会发现地址池里只有一个公网地址，但是1网段所有的客户端都能到互联网。

Easy-NAT配置

easy-nat：原理和NAPT一样，公网+端口分配，但没有地址池，使用端口的公网地址。

相比NAPT又去掉了地址池配置。

<AR1>
<AR1>system-view
Enter system view, return user view with Ctrl+Z.
[AR1]acl 2000
[AR1-acl-basic-2000]rule 15 permit source 192.168.1.0 0.0.0.255
[AR1-acl-basic-2000]q
[AR1]interface gigabitethernet 0/0/1
[AR1-GigabitEthernet0/0/1]nat outbound 2000
[AR1-GigabitEthernet0/0/1]q
[AR1]

此时1网段的所有设备还是能到互联网，都是使用的AR1的0/0/1接口的公网地址+端口出去的

NAT Server配置

nat server：通过公网地址+端口和私网地址+端口一一映射，用于私网服务器映射到公网。

<AR1>system-view
Enter system view, return user view with Ctrl+Z.
[AR1]interface gigabitethernet 0/0/1 
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.11 www inside 192.168.1.3 80
[AR1-GigabitEthernet0/0/1]q
[AR1]

将私网192.168.1.3的服务器映射外网12.1.1.11:80。