高级nat配置怎么进行?花生壳对nat说no!

花生壳|2018-12-06

通过动态ANT可以动态建立私网IP和公网IP的映射表项,动态NAT包括一对一转换的Basic NAT和多对一转换的NAPT、Easy IP这三种NAT实现方式。

动态NAT的基本配置思想主要有三个方面:首先通过ACL指定允许使用NAT进行IP地址转换的用户范围,然后创建用于动态NAT地址转换的公网地址池,最后在NAT的出接口上把配置的ACL和公网地址池(如采用Easy IP,此时公网地址池就是NAT出接口的IP地址)进行关联,相当于在NAT出接口上应用所配置的ACL和公网地址池。

动态NAT的主要配置任务如下:、

①配置地址转换的ACL规则。

②配置出接口的地址关联。

③(可选)使能NAT ALG功能。

④(可选)配置NAT 过滤方式和映射模式

⑤(可选)配置两次NAT

⑥(可选)配置NAT日志输出

⑦(可选)配置NAT地址映射表项老化时间。

一、配置地址转换的ACL规则

这是必选配置任务,因为出接口地址关联配置任务中必须要用到这里配置好的地址转换ACL,用于控制允许使用NAT进行地址转换的用户私网IP地址范围和网络应用范围。可根据实际情况配置基本ACL规则或高级ACL规则指定允许使用NAT进行地址转换的用户主机源IP地址范围,可以使用高级ACL同时限制使用NAT的通信协议类型,但在规则中的地址范围方面仅可指定源IP地址,不能指定目的IP地址。

仅可在动态NAT中调用ACL来控制允许使用地址池进行地址转换的内部网络用户,静态和NAT Server相当于都静态配置了一对一的地址映射表,不需要ACL控制。

动态NAT地址转换ACL配置方法简单,只需在系统视图下使用:acl【number】 acl-number【match-order {auto | config}】命令创建一个基本ACL或高级ACL,然后利用对应的基本ACL或高级ACL中的rule命令配置相应的ACL规则。

例:允许内部网络192.168.1.0/24网段的用户使用NAT地址池进行地址转换。

system-view [Huawei]acl2001 [Huawei-acl-basic-2001]rulepermit source 192.168.1.0 0.0.0.255 例:允许内部网络192.168.1.10/24用户使用NAT地址池进行地址转换。 system-view [Huawei]acl2001 [Huawei-acl-basic-2001]rulepermit source 192.168.1.10 0 例:允许内部网络192.168.1.0/24网段的用户在进行TCP通信时使用NAT地址池进行地址转换。 system-view [Huawei]acl3001 [Huawei-acl-adv-3001]rule3 permit tcp source 192.168.1.0 0.0.0.255 二、配置出接口的地址关联 必选配置任务。出接口地址关联就是把所创建的公网地址池与ACL在NAT出接口上进行关联。 ①如用户配置了NAT设备出接口的IP地址和其他应用之后,还有空闲公网IP地址,可以配置单独的地址池。 NAT配置与管理——2 ②如果用户在配置了NAT设备出接口的IP地址和其他应用后,已没有其他可用公网IP地址,则可以选择Easy IP方式,因为Easy IP可以借助NAT设备出接口的IP地址完成动态NAT。 NAT配置与管理——2 三、使能NATALG功能 可选项,仅在要通过ANT设备进行DNS、FTP、SIP和RTSP等应用时,需要配置NAT ALG功能。使能ALG功能可以使NAT设备识别被封装在报文数据部分的IP地址或端口信息,并根据动态形成的NAT地址(或同时包括端口号)映射表项进行替换,使报文正常穿越NAT。 使能ALG方法,在系统视图下使用:nat alg { all | dns | ftp | rstp |sip} enable,缺省ALG处于未使能状态。 花生壳动态域名解析于2013年11月11日正式发布花生壳(内网穿透)服务。无需公网IP,无需路由器端口映射,从此对nat说NO!颠覆式的动态域名技术创新,全新的交互界面及功能体验,满足你多元化的需求,带给你焕然一新的使用感受。在安装完成花生壳(内网穿透)版本的客户端以及注册花生壳账号之后就可以使用花生壳进行内网穿透了。