华为eNSP：NAPT地址池和NAT server配置

一、NAPT‌NAPTNetwork Address Port Translation网络地址端口转换是一种广泛使用的网络技术主要用于解决IPv4地址短缺问题实现多个私有网络设备共享一个公网IP地址访问互联网 。要求内网172.16.10.0/24网段的计算机通过在防火墙上配地址池方式连接Internet。地址池采用NAPT模式即带端口转换的方式。注与no-PAT模式不同NAPT NAT转换的过程中并不生成Server-map表项。NAPT NAT与no-PAT NAT的配置区别仅在地址池的配置上其余配置基本一致。配置防火墙IP及区域[FW]int g1/0/1[FW-GigabitEthernet1/0/3]ip add 172.16.10.1 24[FW-GigabitEthernet1/0/3]service-manage ping permit[FW-GigabitEthernet1/0/3]service-manage http permit[FW-GigabitEthernet1/0/3]service-manage https permit[FW-GigabitEthernet1/0/3]int g1/0/6[FW-GigabitEthernet1/0/6]ip add 222.199.6.1 24[FW]firewall zone untrust[FW-zone-untrust]add int g1/0/6[FW]firewall zone trusrt[FW-zone-trust]add int g1/0/3配置默认路由查看路由表配置源地址转换池配置地址对象配置NAT策略配置防火墙安全策略测试‌会话详情‌均为ICMP协议的VPN会话方向为public -- public示例会话源地址172.16.10.11源端口3771映射公网地址222.199.6.11公网端口2081目标地址222.199.6.2目标端口12048源地址172.16.10.12源端口4539映射公网地址222.199.6.10公网端口2066目标地址222.199.6.2目标端口12048源地址172.16.10.13源端口5563映射公网地址222.199.6.11公网端口2085目标地址222.199.6.2目标端口12048二、NAT serverNAT ServerNetwork Address Translation Server是一种网络技术用于实现内网服务器与外网之间的通信。它通过将公网IP地址和端口号映射到内网私有IP地址和端口号使得外部用户可以通过公网地址访问内部服务器。NAT Server 的主要作用‌允许外部访问内网服务器‌当内网服务器需要对外提供服务时如Web服务器、邮件服务器等NAT Server可以将公网IP地址映射到内网服务器的私有IP地址从而实现外网用户访问内网服务。‌隐藏内网结构‌NAT Server隐藏了内网服务器的真实IP地址增强了网络的安全性。‌节省公网IP地址‌通过映射机制多个内网主机可以共享一个公网IP地址有效利用公网IP资源。要求外网用户访问222.199.6.10的WEB服务时转到172.16.100.100的80端口。外网用户访问222.199.6.10的FTP服务时转到172.16.100.101的21端口。注配置NAT Server时设备会自动生成Server-map表项用于存放Global地址与Inside地址的映射关系在使用Nat Server时若配置参数no-reverse后设备只将公网地址转换成私网地址不能将私网地址转换成公网地址。配置防火墙IP及区域配置安全策略配置NAT server查看server-map表‌端口映射规则2条‌公网IP222.199.6.10的21端口映射至内网IP172.16.100.101的21端口协议为TCP用于外部访问内网FTP服务公网IP222.199.6.10的80端口映射至内网IP172.16.100.100的80端口协议为TCP用于外部访问内网Web服务‌反向NAT规则2条‌内网IP172.16.100.100访问外部时映射为公网IP222.199.6.10协议为TCP已匹配1次流量内网IP172.16.100.101访问外部时映射为公网IP222.199.6.10协议为TCP已匹配1次流量测试