文档名称 文档密级:
V6R2版本NAT应用场景配置说明
一、 概述
NAT(Network Address Translation,网络地址转换)是一种IP地址共享的技术,用来解决随着Internet规模的日益扩大而带来的IPv4合法地址短缺的问题。利用NAT技术,可以实现多用户同时使用少量的合法IPv4地址进行Internet访问,并且这种Internet访问对于大多数应用程序是透明的,无需在客户端进行任何特殊配置。每个用户只拥有私有的IP地址,用户相互之间访问时使用这个地址。在进行Internet访问时,这个私有的IP地址在私有网络的出口处被临时替换为一个合法的IP地址,同时这种映射关系被记录下来,以使返回的报文可以进行反方向的IP地址替换。这种映射关系一直持续到本次访问结束。
二、 NAT应用场景
NAT有两种基本实现方式:
? ?
PAT(Port Address Translation)方式:同时替换报文中的IP地址和端口号。
NoPAT方式:只替换报文中的IP地址。
PAT可以实现更高效的IP地址共享,是地址转换中最常用的方式。应用场景重点对pat方式进行说明。 如下图所示:
用户获取一个私网地址192.168.1.10;当用户需要访问网络时,发送一个源IP为
192.168.1.10,源端口为688的UDP报文,通过nat转换为公网地址212.112.10.100,端口为10250的UDP报文,访问网络资源。对于不同的目的ip、目的端口转换成不同的地址。
2.1基于UCL匹配的nat转换功能
2014-4-30
华为机密,未经许可不得扩散
第1页, 共20页
文档名称 文档密级:
一个运营商网络的上线用户通过ME60设备的网络地址转换功能连接到Internet。ME60设备的NAT板分别插在3号槽位、4号槽位上。用户通过以太网接口GE1/0/0在ME60上线,上线分配私网地址网段为10.10.0.0/16。ME60设备通过接口POS2/0/0与Internet相连,运营商具有202.38.160.1/24的公网地址。
1) 配置用户上线私网地址池、用户组等,实现用户上线功能 //配置地址池
ip pool 1 bas local
gateway 10.10.0.1 255.255.0.0 section 0 10.10.0.1 10.10.254.254
//配置user-group,用户匹配用户上线的流量,来做nat转换
user-group 1
//配置用户上线的domain,其中认证方式采用不认证
domain 1
authentication-scheme default0 accounting-scheme default0 ip-pool 1 user-group 1
//配置用户上线接口,实现用户上线 interface GigabitEthernet 1/0/0.2 user-vlan 100 user-vlan 100 qinq 1 bas
access-type layer2-subscriber
2) 配置NAT实例。有2块nat板,其中3为master,4为slave;如果只有一块板则只
配置master即可
nat instance 1 add slot 3 master
2014-4-30
华为机密,未经许可不得扩散
第2页, 共20页
文档名称 文档密级:
add slot 4 slave
nat address-group 1 202.38.160.1 202.38.160.254 //公网地址池
nat outbound any address-group 1 //做nat的acl与公网地址池的对应关系,可以做到不同的流匹配到不同的公网地址池,acl只能配置2000~3999,由于nat板上不识别用户,所以对于用户acl 6000的流,需要剥离user-group,重新配置acl 3000范围的
3) 配置traffic policy并在系统视图下应用,使满足一定条件的用户流量做nat转换
acl number 6000 //接入用户的acl需要配置6000以上的 rule 5 permit ip source user-group 1
traffic classifier nat operator or if-match acl 6000
traffic behavior nat //配置nat动作 nat bind instance 1
traffic policy 1
classifier nat behavior nat
traffic-policy 1 inbound //在全局模式下应用此策略
4) 通过路由协议发布NAT地址池网段路由
//把公网地址池路由配置成静态路由
ip route-static 112.34.3.0 255.255.255.0 NULL 0
//通过ospf、isis或者bgp路由发布到网络侧
ospf 1
import-route static
或
bgp 100
import-route static
5) 完成配置,用户上线有流量的情况下,即能做nat转换,查看到nat session
2014-4-30
华为机密,未经许可不得扩散 第3页, 共20页
文档名称 文档密级:
2.2基于ACL匹配的nat转换功能
一个公司网络的用户通过NE40E设备的网络地址转换功能连接到Internet。NE40E设备的NAT板分别插在3号槽位、4号槽位上。用户通过以太网接口GE1/0/0接入NE40E,用户私网地址网段为10.10.0.0/16。ME60设备通过接口POS2/0/0与Internet相连,运营商给公司分配202.38.160.1/24的公网地址。 1) 配置ACL匹配私网用户IP地址。
//用户获取的地址范围是10.10.0.0/16,满足如下条件的用户进行nat转换功能
acl number 3000
rule 5 permit ip source 10.10.0.0 0.0.255.255
2)配置NAT实例
nat instance 1 add slot 3 master add slot 4 slave
nat address-group 1 202.38.160.1 202.38.160.254 //获取的公网地址池
nat outbound 3000 address-group 1 // acl与公网地址池对应关系(即私网地址池与公网地址池对应关系)
3)配置traffic policy
traffic classifier nat operator or if-match acl 3000
traffic behavior nat //nat动作 nat bind instance 1
traffic policy 1
classifier nat behavior nat
2014-4-30
华为机密,未经许可不得扩散
第4页, 共20页
文档名称 文档密级:
interface GigabitEthernet 1/0/0.1 vlan-type dot1q 1
ip address 10.10.0.1 255.255.0.0
traffic-policy 1 inbound //在接口下应用策略
4) 通过路由协议发布NAT地址池网段路由 //配置公网地址池,对应的NULL0路由
ip route-static 112.34.3.0 255.255.255.0 NULL 0
//在ospf、isis、bgp等协议中引入静态路由
ospf 1
import-route static …….
或
bgp 100 …….
import-route static …….
5) 完成配置,有流量触发的情况下,即能做nat转换,查看到nat session
三、 局点应用举例
3.1浙江移动NAT转换方案
浙江移动是vlanif接口上线的用户做nat转换,vlanif接口运行在E-trunk物理链路上。OLT双归到2台ME60上,配置vrrp,正常情况下用户从做VRRP上线做nat转换。当链路故障
2014-4-30
华为机密,未经许可不得扩散
第5页, 共20页