登录 注册

华为路由器 NAT 实验案例

实验拓扑:

image

需求:

HA 内部地址访问 Yinlian 的外部地址时,源地址做如下转换:

序号 HA 真实源地址 目的地址 源转换后地址
1
 10.3.0.42/32
 31.0.0.18/32 10.11.15.252
31.0.0.50/32
41.0.1.0/24
10.23.1.184
2
 10.16.0.68/32
 31.0.0.18/32 10.255.15.10
31.0.0.50/32
41.0.1.0/24 
acl name YinLian2 3998  
 rule 5 permit ip source 10.3.0.42 0 destination 31.0.0.18 0
 rule 10 permit ip source 10.3.0.42 0 destination 31.0.0.50 0
 rule 15 permit ip source 10.3.0.42 0 destination 41.0.1.0 0.0.0.255
 rule 20 permit ip source 10.3.0.42 0 destination 10.23.1.184 0

acl name YinLian 3999  
 rule 5 permit ip source 10.16.0.68 0 destination 31.0.0.18 0
 rule 10 permit ip source 10.16.0.68 0 destination 31.0.0.50 0
 rule 15 permit ip source 10.16.0.68 0 destination 41.0.1.0 0.0.0.255 

interface GigabitEthernet0/0/0
 ip address 12.1.1.2 255.255.255.0
 nat static global 10.11.15.252 inside 10.3.0.42 netmask 255.255.255.255 acl 3998
 nat static global 10.255.15.10 inside 10.16.0.68 netmask 255.255.255.255 acl 3999

ip route-static 10.23.1.184 255.255.255.255 12.1.1.1 description YL_shengchan
ip route-static 31.0.0.18 255.255.255.255 12.1.1.1 description YL_shengchan
ip route-static 31.0.0.50 255.255.255.255 12.1.1.1 description YL_shengchan
ip route-static 41.0.1.0 255.255.255.0 12.1.1.1 description YL_ceshi

ip ip-prefix YL_shengchan_CUC index 5 permit 31.0.0.18 32
ip ip-prefix YL_shengchan_CUC index 10 permit 31.0.0.50 32
ip ip-prefix YL_shengchan_CUC index 15 permit 41.0.1.0 24
ip ip-prefix YL_shengchan_CUC index 20 permit 10.23.1.184 32

route-policy S2O permit node 30
 description YL_shengchan_CUC
 if-match ip-prefix YL_shengchan_CUC
 apply cost 150

ospf 80
 import-route static route-policy S2O
 area 0.0.0.0
  network 23.1.1.0 0.0.0.255

interface GigabitEthernet0/0/0
 ip address 12.1.1.1 255.255.255.0

interface LoopBack1
 ip address 31.0.0.18 255.255.255.255
#
interface LoopBack2
 ip address 31.0.0.50 255.255.255.255
#
interface LoopBack3
 ip address 41.0.1.1 255.255.255.255
#
interface LoopBack4
 ip address 10.23.1.184 255.255.255.255

ip route-static 10.11.15.252 255.255.255.255 12.1.1.2
ip route-static 10.255.15.10 255.255.255.255 12.1.1.2

interface GigabitEthernet0/0/0
 ip address 23.1.1.3 255.255.255.0

interface LoopBack1                     
 ip address 10.3.0.42 255.255.255.255
#
interface LoopBack2
 ip address 10.16.0.68 255.255.255.255
#
interface LoopBack10
 ip address 1.1.1.1 255.255.255.255
#
ospf 80
 area 0.0.0.0
  network 1.1.1.1 0.0.0.0
  network 10.3.0.42 0.0.0.0
  network 10.16.0.68 0.0.0.0
  network 23.1.1.0 0.0.0.255

测试:

  1. 在 HA 上带 10.3.0.42 的源地址 ping 31.0.0.18

[HA]ping -a 10.3.0.42 31.0.0.18
PING 31.0.0.18: 56 data bytes, press CTRL_C to break
Reply from 31.0.0.18: bytes=56 Sequence=1 ttl=254 time=177 ms
Reply from 31.0.0.18: bytes=56 Sequence=2 ttl=254 time=742 ms
Reply from 31.0.0.18: bytes=56 Sequence=3 ttl=254 time=1 ms
Reply from 31.0.0.18: bytes=56 Sequence=4 ttl=254 time=7 ms
Reply from 31.0.0.18: bytes=56 Sequence=5 ttl=254 time=128 ms

--- 31.0.0.18 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 1/211/742 ms

PE 路由器上查看 NAT Session,符合要求:

[PE]display nat session all NAT Session Table Information:

Total : 0
[PE]display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 10.3.0.42
DestAddr Vpn : 31.0.0.18
Type Code IcmpId : 8 0 60843
NAT-Info
New SrcAddr : 10.11.15.252
New DestAddr : ----
New IcmpId : ----

Total : 1

  1. 在 HA 上带 10.16.0.68 的源地址 ping 31.0.0.18
[HA]ping -a 10.16.0.68 31.0.0.18 PING 31.0.0.18: 56 data bytes, press CTRL_C to break Reply from 31.0.0.18: bytes=56 Sequence=1 ttl=254 time=2 ms Reply from 31.0.0.18: bytes=56 Sequence=2 ttl=254 time=5 ms Reply from 31.0.0.18: bytes=56 Sequence=3 ttl=254 time=4 ms Reply from 31.0.0.18: bytes=56 Sequence=4 ttl=254 time=4 ms Reply from 31.0.0.18: bytes=56 Sequence=5 ttl=254 time=8 ms

--- 31.0.0.18 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 2/4/8 ms

PE 路由器上查看 NAT Session,符合要求:

[PE]display nat session all NAT Session Table Information: Protocol : ICMP(1) SrcAddr Vpn : 10.16.0.68 DestAddr Vpn : 31.0.0.18 Type Code IcmpId : 8 0 61099 NAT-Info New SrcAddr : 10.255.15.10 New DestAddr : ---- New IcmpId : ----

Total : 1

  1. 在 HA 上带 1.1.1.1 的源地址 ping 31.0.0.18
[HA]ping -a 1.1.1.1 31.0.0.18 PING 31.0.0.18: 56 data bytes, press CTRL_C to break Request time out Request time out Request time out Request time out Request time out

--- 31.0.0.18 ping statistics ---
5 packet(s) transmitted
0 packet(s) received
100.00% packet loss

PE 路由器上查看 NAT Session,由于没有匹配上 ACL,所以没有进行 NAT 转换:

[PE]display nat session all NAT Session Table Information:

Total : 0

上海 位置
20 14 4 1 1

相关帖子

回帖
华为路由器 NAT 实验案例

欢迎来到这里!

我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。

注册 关于
请输入回帖内容 ...
butcherroom
上海
回帖
0
 帖子
2
 积分
460

近期热议

推荐标签 标签

  • Swagger

    Swagger 是一款非常流行的 API 开发工具,它遵循 OpenAPI Specification(这是一种通用的、和编程语言无关的 API 描述规范)。Swagger 贯穿整个 API 生命周期,如 API 的设计、编写文档、测试和部署。

    26 引用 • 35 回帖 • 1 关注
  • 工具

    子曰:“工欲善其事,必先利其器。”

    286 引用 • 729 回帖
  • 安全

    安全永远都不是一个小问题。

    199 引用 • 816 回帖 • 1 关注
  • Oracle

    Oracle(甲骨文)公司,全称甲骨文股份有限公司(甲骨文软件系统有限公司),是全球最大的企业级软件公司,总部位于美国加利福尼亚州的红木滩。1989 年正式进入中国市场。2013 年,甲骨文已超越 IBM,成为继 Microsoft 后全球第二大软件公司。

    105 引用 • 127 回帖 • 382 关注
  • H2

    H2 是一个开源的嵌入式数据库引擎,采用 Java 语言编写,不受平台的限制,同时 H2 提供了一个十分方便的 web 控制台用于操作和管理数据库内容。H2 还提供兼容模式,可以兼容一些主流的数据库,因此采用 H2 作为开发期的数据库非常方便。

    11 引用 • 54 回帖 • 654 关注
  • 周末

    星期六到星期天晚,实行五天工作制后,指每周的最后两天。再过几年可能就是三天了。

    14 引用 • 297 回帖 • 1 关注
  • CSDN

    CSDN (Chinese Software Developer Network) 创立于 1999 年,是中国的 IT 社区和服务平台,为中国的软件开发者和 IT 从业者提供知识传播、职业发展、软件开发等全生命周期服务,满足他们在职业发展中学习及共享知识和信息、建立职业发展社交圈、通过软件开发实现技术商业化等刚性需求。

    14 引用 • 155 回帖
  • Postman

    Postman 是一款简单好用的 HTTP API 调试工具。

    4 引用 • 3 回帖 • 3 关注
  • iOS

    iOS 是由苹果公司开发的移动操作系统,最早于 2007 年 1 月 9 日的 Macworld 大会上公布这个系统,最初是设计给 iPhone 使用的,后来陆续套用到 iPod touch、iPad 以及 Apple TV 等产品上。iOS 与苹果的 Mac OS X 操作系统一样,属于类 Unix 的商业操作系统。

    85 引用 • 139 回帖 • 1 关注
  • SSL

    SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS 与 SSL 在传输层对网络连接进行加密。

    70 引用 • 193 回帖 • 431 关注
  • Sym

    Sym 是一款用 Java 实现的现代化社区(论坛/BBS/社交网络/博客)系统平台。

    下一代的社区系统,为未来而构建

    524 引用 • 4601 回帖 • 700 关注
  • Unity

    Unity 是由 Unity Technologies 开发的一个让开发者可以轻松创建诸如 2D、3D 多平台的综合型游戏开发工具,是一个全面整合的专业游戏引擎。

    25 引用 • 7 回帖 • 173 关注
  • Hibernate

    Hibernate 是一个开放源代码的对象关系映射框架,它对 JDBC 进行了非常轻量级的对象封装,使得 Java 程序员可以随心所欲的使用对象编程思维来操纵数据库。

    39 引用 • 103 回帖 • 709 关注
  • FFmpeg

    FFmpeg 是一套可以用来记录、转换数字音频、视频,并能将其转化为流的开源计算机程序。

    23 引用 • 32 回帖
  • LaTeX

    LaTeX(音译“拉泰赫”)是一种基于 ΤΕΧ 的排版系统,由美国计算机学家莱斯利·兰伯特(Leslie Lamport)在 20 世纪 80 年代初期开发,利用这种格式,即使使用者没有排版和程序设计的知识也可以充分发挥由 TeX 所提供的强大功能,能在几天,甚至几小时内生成很多具有书籍质量的印刷品。对于生成复杂表格和数学公式,这一点表现得尤为突出。因此它非常适用于生成高印刷质量的科技和数学类文档。

    12 引用 • 54 回帖 • 65 关注
  • 大疆创新

    深圳市大疆创新科技有限公司(DJI-Innovations,简称 DJI),成立于 2006 年,是全球领先的无人飞行器控制系统及无人机解决方案的研发和生产商,客户遍布全球 100 多个国家。通过持续的创新,大疆致力于为无人机工业、行业用户以及专业航拍应用提供性能最强、体验最佳的革命性智能飞控产品和解决方案。

    2 引用 • 14 回帖
  • Python

    Python 是一种面向对象、直译式电脑编程语言,具有近二十年的发展历史,成熟且稳定。它包含了一组完善而且容易理解的标准库,能够轻松完成很多常见的任务。它的语法简捷和清晰,尽量使用无异义的英语单词,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句块。

    543 引用 • 672 回帖 • 1 关注
  • OAuth

    OAuth 协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 oAuth 的授权不会使第三方触及到用户的帐号信息(如用户名与密码),即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授权,因此 oAuth 是安全的。oAuth 是 Open Authorization 的简写。

    36 引用 • 103 回帖 • 9 关注
  • CentOS

    CentOS(Community Enterprise Operating System)是 Linux 发行版之一,它是来自于 Red Hat Enterprise Linux 依照开放源代码规定释出的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定的服务器以 CentOS 替代商业版的 Red Hat Enterprise Linux 使用。两者的不同在于 CentOS 并不包含封闭源代码软件。

    238 引用 • 224 回帖
  • Vue.js

    Vue.js(读音 /vju ː/,类似于 view)是一个构建数据驱动的 Web 界面库。Vue.js 的目标是通过尽可能简单的 API 实现响应的数据绑定和组合的视图组件。

    266 引用 • 665 回帖
  • SOHO

    为成为自由职业者在家办公而努力吧!

    7 引用 • 55 回帖 • 19 关注
  • Hadoop

    Hadoop 是由 Apache 基金会所开发的一个分布式系统基础架构。用户可以在不了解分布式底层细节的情况下,开发分布式程序。充分利用集群的威力进行高速运算和存储。

    86 引用 • 122 回帖 • 625 关注
  • TGIF

    Thank God It's Friday! 感谢老天,总算到星期五啦!

    287 引用 • 4484 回帖 • 669 关注
  • NGINX

    NGINX 是一个高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。 NGINX 是由 Igor Sysoev 为俄罗斯访问量第二的 Rambler.ru 站点开发的,第一个公开版本 0.1.0 发布于 2004 年 10 月 4 日。

    311 引用 • 546 回帖
  • JRebel

    JRebel 是一款 Java 虚拟机插件,它使得 Java 程序员能在不进行重部署的情况下,即时看到代码的改变对一个应用程序带来的影响。

    26 引用 • 78 回帖 • 664 关注
  • Caddy

    Caddy 是一款默认自动启用 HTTPS 的 HTTP/2 Web 服务器。

    12 引用 • 54 回帖 • 165 关注
  • Dubbo

    Dubbo 是一个分布式服务框架,致力于提供高性能和透明化的 RPC 远程服务调用方案,是 [阿里巴巴] SOA 服务化治理方案的核心框架,每天为 2,000+ 个服务提供 3,000,000,000+ 次访问量支持,并被广泛应用于阿里巴巴集团的各成员站点。

    60 引用 • 82 回帖 • 595 关注

最新标签