三、具体配置
一、动态NAT配置
1、基本配置
配置思路主要有三步:
1、通过acl指定使用需要进行NAT转换的内网IP地址范围 2、创建用于动态NAT转换的公网地址池 3、在出接口把acl和公网地址池进行关联 4、根据需求使用后面的扩展应用 具体配置:
1、通过acl指定需要转换的内部地址、范围、协议
[Huawei-acl-basic-2000]rule 1 permit source 10.1.1.0 0.0.0.255 #允许10.1.1.0/24网段的用户进行NAT转换 [Huawei-acl-basic-2000]rule 1 permit source 10.10.10.10 0 # 允许10.10.10.10用户进行NAT转换
[Huawei-acl-adv-3000]rule 1 permit tcp source 10.1.1.0 0.0.0.255 #允许10.1.1.0/24网段的用户TCP通信时进行NAT转换
2、设置公网映射地址池IP地址(可选)
[Huawei]nat address-group 1 100.100.100.1 100.100.100.10
3、设置出接口与acl和地址池直接的关联
Huawei-GigabitEthernet0/0/2]nat outbound 2000 address-group 1 ?
no-pat Not use PAT #表示一对一转换,只转换地址不转换端口信息
interface #指定某个接口(一般为NAT的出接口)的IP作为转换后的公网IP地址
[Huawei-GigabitEthernet0/0/2]nat outbound 2000 # 直接使用出接口的IP地址进行转换(可静态可动态)
如果需要在Router上执行ping -a source-ip-address命令通过指定发送ICMP ECHO-REQUEST报文的源IP地址来验证内网用户可以访问因特网,需要配置命令ip soft-forward enhance enable使能设备产生的控制报文的增强转发功能,这样,私网的源地址才能通过NAT转换为公网地址。缺省情况下,设备产生的控制报文的增强转发功能处于使能状态。
2、可选配置 1、NAT ALG
NAT ALG(application level gateway,应用层网关)
一般情况下,NAT只能对IP报文头的IP地址和TCP/UDP头部的端口信息进行转换。对于一些特殊协议,例如DNS、FTP等,它们报文的数据部分可能包含IP地址或端口信息,这些内容不能被NAT有效的转换,从而无法正确完成通信。
使能ALG(Application Level Gateway)功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据映射表项进行替换,实现报文正常穿越NAT。
目前设备的ALG功能所支持的协议包括:DNS、FTP、SIP、PPTP和RTSP。 具体配置:
[Huawei]nat alg ? all All protocol dns Dns protocol ftp Ftp protocol rtsp Rtsp protocol sip Sip protocol
2、配置NAT设备上的SIP呼叫带宽限制功能
针对SIP Server在公网侧,私网的SIP Phone和公网的SIP Phone互通的场景,如果NAT设备上的带宽不够,就会影响通话质量。我们可以在NAT设备上使能呼叫会话控制CAC(Call Admission Control)功能并配置总带宽,对SIP呼叫进行带宽限制,超过指定带宽的SIP呼叫将被拒绝,无法呼叫成功。 具体配置
[Huawei]nat sip cac enable bandwidth ? #模拟器暂无法模拟
3、配置NAT过滤方式和映射模式
由于IPv4地址的短缺以及出于安全考虑等因素,在因特网中广泛采用了NAT技术。由于不同厂商实现的NAT功能不同,可能会导致使用STUN(通过NAT的UDP简单穿越)、TURN(中继NAT穿越)、ICE(交互式连通建立)技术的应用软件无法穿越NAT,因为这些技术广泛依赖于SIP(会话初始协议)代理等软件。
SIP属于多通道应用,在功能实现时需要创建多个数据通道链接。为了保障多个通道的链接,必须配置NAT映射模式和过滤方式,只允许符合映射关系、过滤条件的报文通过。
设备支持的NAT映射包含如下两种类型:
1、外部地址和端口无关的映射:对相同的内部IP地址和端口重用相同的地址端口映射。
2、外部地址和端口相关的映射:对相同的内部IP地址和端口号访问相同的外部IP地址和端口号重用相同的地址端口映射(如果此映射项还处在活动状态)。
设备支持的NAT过滤方式包含如下三种类型: 1、与外部地址和端口无关的NAT过滤方式。 2、与外部地址相关,端口无关的NAT过滤方式。 3、与外部地址和端口都相关的NAT过滤方式。 具体配置
1、NAT映射模式
[Huawei]nat mapping-mode endpoint-independent ? dest-port 8090
tcp Transmission Control Protocol # 指定应用于TCP通信 udp User Datagram Protocol
[Huawei]nat filter-mode ?
endpoint-and-port-dependent Endpoint and port dependent # 与外部地址和端口同时相关 endpoint-dependent Endpoint dependent # 与外部地址相关 endpoint-independent Endpoint independent # 与外部地址不相关
4、配置两次NAT
内外网地址重叠的主机可以根据重叠地址池和临时地址池的映射关系,将重叠地址替换为临时地址同时做NAT,实现内外网的互访。
重叠地址池用来指定内网哪些IP允许和外网重叠,只有属于重叠地址池的地址才会做两次NAT。 临时地址池指定了用哪些临时IP地址来替换重叠地址池里的地址。 具体配置
[Huawei]nat overlap-address 0(索引号) 10.1.1.1(重叠地址) 20.20.20.1(临时地址) pool-length 200(临时地址池个数)
5、设置NAT日志功能
[Huawei]firewall log session enable # 打开防火墙日志功能 默认未打开 [Huawei]firewall log session nat enable # 打开NAT日志功能 默认未打开 [Huawei]info-center enable # 打开信息中心功能
[Huawei]info-center logfile channel channel6 # 设置输入日志通道,详情见信息中心配置
6、设置NAT映射老化时间 [Huawei]firewall-nat session ? dns DNS protocol
ftp File Transfer Protocol
ftp-data Data packet of FTP protocol http HTTP protocol icmp ICMP protocol
rtsp Real Time Streaming protocol rtsp-media Media packet of RTSP protocol sip Session Initiated Protocol sip-media Media packet of SIP protocol tcp TCP protocol tcp-proxy TCP SYN packet udp UDP protocol
[Huawei]firewall-nat session dns aging-time ?
INTEGER<1-65535> Aging-time value in seconds
二、静态NAT配置
静态NAT配置的主要思路:
设置静态地址映射就是设置私网IP与公网IP地址的一对一映射表项,可以在系统视图下为所有NAT出口全局配置,也可以在NAT出接口下仅为该接口配置。
在undo nat static时,设备上的静态映射表项不会立刻消失,如果需要立刻清除,需要手动执行reset nat session来清除。
当配置借用接口接口地址的静态1:1NAT时(不指定端口号)时,可能造成该接口的其他业务无法使用,请谨慎选择。 具体配置:
1、设置静态NAT类型
[Huawei]nat static global 10.10.10.10 inside 192.168.10.1 netmask 255.255.255.1.0 # 基于全局的静态NAT #这里的掩码仅用来指定可建立的地址映射表项数,不是映射地址中的子网掩码
[Huawei]nat static protocol tcp global 10.10.10.1 inside 192.168.1.1 netmask 255.255.255.240 # 基于协议的静态NAT [Huawei]nat static protocol tcp global interface loopback 1 (环回口地址作为公网地址) 8989 (端口号)inside 192.168.1.1 netmask 255.255.255.2
[Huawei-GigabitEthernet0/0/2]nat static enable # 使能静态NAT功能
在接口视图下配置差不多,唯有current-interface 指定当前接口的IP作为公网地址
三、NAT server配置
解决外网用户访问采用私网地址的内网服务器的一种方案
配置思想就是为内部服务器创建全局公网IP到内网私网IP之间的一对一静态静态映射表项。 具体配置:
1、设置内部服务器地址映射
[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global ?
X.X.X.X Global IP address of NAT # 内部服务器提供给外部访问的公网地址
current-interface Address of current interface # 当前NAT出接口的地址为内部服务器的公网地址 interface Specify the interface # 以指定接口的IP地址作为内部服务器的公网地址
如:[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 61.128.128.69(ftp) inside 192.168.4.11(ftp)
# 如果使用接口地址作为内网服务器地址,可以使用current-interface,也可以指定实际存在的loopback接口地址作为内网服务器地址。
在设备上执行undo nat server命令,设备上的映射表项不会立刻消失,需要手动执行reset nat session命令来清除表项信息。
NAT Server和静态NAT的区别就是NAT Server对于内网主动访问外网的情况不做端口替换,仅作地址替换。 当配置借用接口地址的1:1 NAT Server(不指定端口号,接口地址对应一个私网地址)时,可能会造成在该接口地址上启用的其他业务无法正常使用,请谨慎选择,如果确定在该接口地址上启用其他应用,请在配置后面增加ACL排除启用应用的端口号。
2、DNS mapping
企业内如果没有内网的DNS服务器,而且又有使用域名访问内网服务器的需求,这就要求企业内网用户必须使用外网的DNS服务器来实现域名访问。
内网用户可以通过NAT使用外网的DNS服务器访问外网的服务器,但如果内网用户通过外网的DNS服务器访问内网服务器时就会失败。因为来自外网的DNS解析结果是内网服务器对外宣称的IP地址,并非内网服务器真实的私网IP地址。
在配置静态地址转换时配置DNS Mapping,可以指明“域名—公网IP地址—公网端口—协议类型”映射表项。当DNS解析报文到达NAT设备时,NAT设备会根据DNS Mapping建立的映射表项查找静态地址表项,得到公网IP地址对应的私网IP地址,再用该私网地址替换DNS的解析结果转发给用户。
配置了DNS Mapping后必须执行nat alg dns enable命令使能ALG DNS功能,才可以使DNS应答报文正常穿越NAT,否则内部主机无法使用域名访问内网服务器。 具体配置:
[Huawei]nat dns-map www.023wg.com 114.114.114.114 80 tcp [Huawei]nat alg dns enable # 使能NAT alg功能
NAT关联VPN
允许内部网络中分属于不同VPN(不同VPN内的主机地址重叠)址相同的用户通过同一出口(不同vpn出口的IP地址或网关不同)访问外部网络,解决内部网络中IP地址重叠的vpn同时网络外部网络的问题
还支持vpn关联的NAT server,即允许外部网络中的主机访问内网中不同vpn的服务器,同时支持内网中多个vpn地址的重叠。
1、vpn关联的源NAT
内部网络中分属于不同vpn(不同VPN地址相同)的用户通过同一个nat出口访问外部网络,仅用于静态NAT中。 2、vpn关联的nat server
外网主机通过nat技术访问内外中不同vpn(不同vpn地址相同)的服务器