华为路由器如何配置NAPT和NAT Server

　　华为的产品主要涉及通信网络中的交换网络、传输网络、无线及有线固定接入网络和数据通信网络及无线终端产品,那么你知道华为路由器如何配置NAPT和NAT Server吗?下面是学习啦小编整理的一些关于华为路由器如何配置NAPT和NAT Server的相关资料，供你参考。

　　华为路由器配置NAPT和NAT Server的案例

　　需求描述

　　1.公司使用华为USG防火墙连接互联网，Trust区域192.168.1.0/24网段用户可正常上网，该区域其他网段禁止上网。USG出口IP：1.1.1.1/24 可用地址范围：1.1.1.1--1.1.1.10，需要使用NAPT功能进行地址复用，地址池：1.1.1.5--1.1.1.10。

　　2.FTP和Web服务器供外部网络用户访问，FTP服务器在VLAN 10，Web服务器在VLAN 20。其中FTP Server的IP地址为10.1.1.10，端口号为缺省值21，Web Server的IP地址为10.1.2.10，端口为80。两者对外公布的地址分别为1.1.1.2和1.1.1.3，对外使用的端口号均为缺省值，即21和80。

　　配置步骤

　　1.交换机配置

　　[SW]vlan batch 10 20

　　[SW]interface Ethernet0/0/1

　　[SW]port link-type access

　　[SW]port default vlan 10

　　[SW]interface Ethernet0/0/2

　　[SW]port link-type access

　　[SW]port default vlan 20

　　[SW]interface GigabitEthernet0/0/1

　　[SW]port link-type trunk

　　[SW]port trunk allow-pass vlan 10 20

　　2.USG设备配置个接口的IP地址，并将其加入相应区域

　　【USG】interface GigabitEthernet0/0/0.1

　　【USG】vlan-type dot1q 10

　　【USG】ip address 10.1.1.1 255.255.255.0

　　【USG】interface GigabitEthernet0/0/0.2

　　【USG】vlan-type dot1q 20

　　【USG】ip address 10.1.2.1 255.255.255.0

　　【USG】interface GigabitEthernet0/0/1

　　【USG】ip address 192.168.1.1 255.255.255.0

　　【USG】interface GigabitEthernet0/0/2

　　【USG】ip address 1.1.1.1 255.255.255.0

　　【USG】firewall zone trust

　　【USG】add interface GigabitEthernet0/0/1

　　【USG】firewall zone untrust

　　【USG】add interface GigabitEthernet0/0/2

　　【USG】firewall zone dmz

　　【USG】add interface GigabitEthernet0/0/0

　　【USG】add interface GigabitEthernet0/0/0.1

　　【USG】add interface GigabitEthernet0/0/0.2

　　3.配置地址池NAPT地址转换

　　【USG】nat address-group 10 1.1.1.5 1.1.1.10

　　【USG】nat-policy interzone trust untrust outbound

　　【USG】policy 1

　　【USG】action source-nat

　　【USG】policy source 192.168.1.0 0.0.0.255

　　【USG】address-group 10

　　4.配置区域间访问控制策略。

　　【USG】policy interzone trust untrust outbound

　　【USG】policy 0

　　【USG】policy source 192.168.1.0 0.0.0.255

　　【USG】action permit

　　【USG】policy interzone dmz untrust inbound

　　【USG】policy 0

　　【USG】policy destination 10.1.1.10 0

　　【USG】policy service service-set ftp

　　【USG】action permit

　　【USG】policy 1

　　【USG】policy destination 10.1.2.10 0

　　【USG】policy service service-set http

　　【USG】action permit

　　5.配置NAT Server对外发布服务器

　　nat server 0 protocol tcp global 1.1.1.2 ftp inside 10.1.1.10 ftp

　　nat server 1 protocol tcp global 1.1.1.3 www inside 10.1.2.10 www

　　firewall interzone dmz untrust

　　detect ftp

　　6.测试

　　a.在内部PC上ping 1.1.1.100，然后在USG上查看NAT转换，显示NAT转换正常。

　　b.在外部用户上测试访问FTP和Web服务器，USG上结果显示正常。

　　华为路由配置USG多出口策略的案例

 

　　组网情况

　　企业用户主要有技术部(VLAN10)和行政部(VLAN20)，通过汇聚交换机连接到USG。

　　企业分别通过两个不同运营商(ISP1和ISP2)连接到Internet，ISP1分配的IP地址是1.1.1.1～1.1.1.10，ISP2分配的IP地址是2.2.2.1～2.2.2.10，掩码均为24位。

　　需要实现以下需求

　　当通往两个运营商链路都正常工作的情况下，技术部用户通过运营商ISP1访问Internet互联网，行政部用户通过运营商ISP2访问Internet。

　　当一条链路出现故障时，流量可以被及时切换到另一条链路上，避免网络长时间中断。

　　汇聚SW配置：

　　vlan batch 10 20

　　interface GigabitEthernet0/0/1

　　port link-type access

　　port default vlan 10

　　stp edged-port enable

　　interface GigabitEthernet0/0/2

　　port link-type access

　　port default vlan 20

　　stp edged-port enable

　　interface GigabitEthernet0/0/24

　　port link-type trunk

　　port trunk allow-pass vlan 10 20

　　USG配置：

　　1.接口及区域配置

　　interface GigabitEthernet0/0/0.1

　　vlan-type dot1q 10

　　alias GigabitEthernet0/0/0.1

　　ip address 10.1.1.1 255.255.255.0

　　dhcp select interface

　　dhcp server gateway-list 10.1.1.1

　　interface GigabitEthernet0/0/0.2

　　vlan-type dot1q 20

　　alias GigabitEthernet0/0/0.2

　　ip address 10.1.2.1 255.255.255.0

　　dhcp select interface

　　dhcp server gateway-list 10.1.2.1

　　interface GigabitEthernet0/0/1

　　ip address 1.1.1.1 255.255.255.0

　　interface GigabitEthernet0/0/2

　　ip address 2.2.2.1 255.255.255.0

　　firewall zone trust

　　set priority 85

　　add interface GigabitEthernet0/0/0

　　add interface GigabitEthernet0/0/0.1

　　add interface GigabitEthernet0/0/0.2

　　firewall zone name isp1

　　set priority 30

　　add interface GigabitEthernet0/0/1

　　firewall zone name isp2

　　set priority 35

　　add interface GigabitEthernet0/0/2

　　2.域间策略配置

　　policy interzone trust isp1 outbound

　　policy 1

　　action permit

　　policy source 10.1.0.0 0.0.255.255

　　policy interzone trust isp2 outbound

　　policy 1

　　action permit

　　policy source 10.1.0.0 0.0.255.255

　　3.NAT配置

　　nat address-group 1 jishu 1.1.1.5 1.1.1.10

　　nat address-group 2 xingzheng 2.2.2.5 2.2.2.10

　　nat-policy interzone trust isp1 outbound

　　policy 1

　　action source-nat

　　policy source 10.1.0.0 0.0.255.255

　　address-group jishu

　　nat-policy interzone trust isp2 outbound

　　policy 1

　　action source-nat

　　policy source 10.1.0.0 0.0.255.255

　　address-group xingzheng

　　4.IP-Link链路检测配置

　　ip-link check enable

　　ip-link 1 destination 1.1.1.100 interface GigabitEthernet 0/0/1 mode icmp

　　ip-link 2 destination 2.2.2.100 interface GigabitEthernet 0/0/2 mode icmp

　　5.策略路由配置

　　acl number 3001

　　rule 10 permit ip source 10.1.1.0 0.0.0.255

　　acl number 3002

　　rule 10 permit ip source 10.1.2.0 0.0.0.255

　　policy-based-route huawei permit node 1

　　if-match acl 3001

　　apply ip-address next-hop 1.1.1.100

　　policy-based-route huawei permit node 2

　　if-match acl 3002

　　apply ip-address next-hop 2.2.2.100

　　分别在G0/0/0.1和G0/0/0.2上引用该策略路由

　　interface GigabitEthernet0/0/0.1

　　ip policy-based-route huawei

　　interface GigabitEthernet0/0/0.2

　　ip policy-based-route huawei

　　分别输入至ISP-1和ISP-2的两条默认路由

　　ip route-static 0.0.0.0 0.0.0.0 1.1.1.100 track ip-link 1

　　ip route-static 0.0.0.0 0.0.0.0 2.2.2.100 track ip-link 2

　　http://www.luyouqiwang.com/huawei/

　　ISP-1和ISP-2接口配置：

　　ISP-1

　　interface GigabitEthernet0/0/0

　　ip address 1.1.1.100 255.255.255.0

　　ISP-2

　　interface GigabitEthernet0/0/0

　　ip address 2.2.2.100 255.255.255.0

　　测试

　　1.分别在技术部和行政部电脑上ping 8.8.8.8 -t ，在USG输入：display firewall session table verbose上查看NAT转换情况。

　　2.此时将ISP-1的G0/0/0口shutdown，观察技术部是否会切换到ISP-2访问Internet。

　　由上看出，技术部10.1.1.2已成功被转换成2.2.2.10了。

　　至此，这个华为设备的实验配置全部完成。

 

华为路由器如何配置NAPT和NAT Server的相关文章：

1.华为无线路由器的设置方法

2.华为路由器怎么隐藏你的WIFI信号

3.华为路由器配置详细教程

4.华为路由器详细介绍

5.华为路由器如何配置静态路由

6.华为路由器设置wifi的详细方法