华为配置动态NAPT试验

一、华为NAPT原理

1. 基本概念

华为NAPT(Network Address Port Translation)是华为设备实现NAT(网络地址转换)的一种方式,也称为PAT(Port Address Translation)。它通过将内部网络的多个私有IP地址映射到一个或少量公有IP地址的不同端口上,实现多对少或一对多的地址转换。

2. 工作原理

  1. 地址+端口映射:同时转换IP地址和传输层端口号
  2. 会话跟踪:维护NAT会话表记录原始和转换后的地址端口对
  3. 动态分配:当内网主机发起连接时动态分配外部端口
  4. 反向转换:对返回的数据包进行反向转换

3. 华为实现特点

  • 支持多种NAT类型:包括NAPT、NAT Server、Easy IP等
  • 高性能转换:华为专用芯片加速NAT处理
  • 丰富的ALG支持:支持FTP、SIP、H.323等协议的特殊处理
  • 与安全策略集成:可与防火墙策略联动

二、华为NAPT应用场景

1. 典型应用场景

  1. 企业分支互联网接入
    • 多个内网用户共享一个公网IP访问互联网
    • 典型设备:AR系列路由器、USG系列防火墙
  2. 运营商NAT444场景
    • 多级NAT转换(用户侧NAT、边缘设备NAT)
    • 大规模用户共享公网地址池
  3. 云计算环境
    • 云主机使用私有IP通过NAPT访问互联网
    • 实现出向流量的集中管理和监控
  4. IPv4地址节约
    • 解决IPv4地址不足问题
    • 单个公网IP支持数百个内部用户
  5. 网络安全隔离
    • 隐藏内部网络拓扑结构
    • 提供基本的防火墙防护功能

2. 华为特有应用

  1. NAT与SDN集成:与华为Agile Controller联动实现智能NAT
  2. NAT日志分析:通过eLog组件实现NAT日志记录和分析
  3. 双栈环境:支持IPv4/IPv6共存环境下的NAT转换

三、华为NAPT配置实例

1. 基础NAPT配置(使用地址池)

华为NAPT配置实例
华为NAPT配置实例
  • 基础NAPT配置(使用地址池)
[AR1]sysname AR1
#创建NAT地址组(公网地址池),创建地址池正常外网地址1个就可以
#
 nat address-group 1 122.1.2.200 122.1.2.200  
#
创建ACL定义允许转换的内部地址
#
acl number 2000  
 rule 5 permit 
#
创建NAT地址组(公网地址池)
nat address-grousection 0 203.0.113.10 203.0.113.20

# 接口配置
interface GigabitEthernet0/0/1  # 内网接口
 ip address 192.168.1.254 255.255.255.0
 nat outbound 2000 address-group 1 # 启用出方向NAT

 # 内网接口
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0 
#

最后配置一条出接口的静态路由
#
ip route-static 0.0.0.0 0.0.0.0 122.1.2.2
#
基础NAPT配置
基础NAPT配置
  • 拓扑IPS(AR2)详细配置
#
 sysname AR2
#
 snmp-agent local-engineid 800007DB03000000000000
 snmp-agent 
#
 clock timezone China-Standard-Time minus 08:00:00
#
portal local-server load flash:/portalpage.zip
#
 drop illegal-mac alarm
#
 wlan ac-global carrier id other ac id 0
#
 set cpu-usage threshold 80 restore 75
#
aaa 
 authentication-scheme default
 authorization-scheme default
 accounting-scheme default
 domain default 
 domain default_admin 
 local-user admin password cipher %$%$K8m.Nt84DZ}e#<0`8bmE3Uw}%$%$
 local-user admin service-type http       
#
firewall zone Local
 priority 15
#
interface GigabitEthernet0/0/0
 ip address 200.1.2.254 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 122.1.2.2 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 201.1.2.254 255.255.255.0 
#
interface NULL0
#
user-interface con 0
 authentication-mode password
user-interface vty 0 4
user-interface vty 16 20
#
wlan ac
#
return
[AR2]

三、华为NAPT测试

  • 用PC1去ping Client1测试成功,用Wireshark抓包如下图:
华为NAPT测试
华为NAPT测试
  • Wireshark抓包可以看出,NAPT后私网地址已经被转换成试验设置的公网ip:122.1.2.200
华为NAPT测试
华为NAPT测试

四、华为NAPT高级配置

1. NAT ALG配置(以FTP为例)

# 启用FTP ALG功能
nat alg ftp enable

# 配置FTP服务器的NAT映射
nat server protocol tcp global 203.0.113.1 21 inside 192.168.1.100 21
nat server protocol tcp global 203.0.113.1 1024 65535 inside 192.168.1.100 1024 65535

2. NAT日志配置

# 配置NAT日志
info-center enable
info-center loghost 192.168.1.200
nat log enable
nat log flow-begin
nat log flow-end
nat log flow-active

3. NAT会话限制

# 限制每个内网IP的最大NAT会话数
nat session limit source-ip maximum 500

五、华为NAPT维护与监控

1. 查看NAT会话

display nat session
display nat session verbose  # 查看详细信息
display nat session source-ip 192.168.1.100  # 按源IP过滤

2. 查看NAT统计信息

display nat statistics
display nat address-group  # 查看地址组使用情况

3. 清除NAT会话

reset nat session  # 清除所有NAT会话
reset nat session source-ip 192.168.1.100  # 清除特定源IP的会话

六、常见问题排查

1. NAT不生效排查步骤

  1. 检查ACL是否匹配流量:huawei复制display acl 2000
  2. 验证接口NAT配置:huawei复制display this interface GigabitEthernet0/0/1
  3. 检查路由是否可达:huawei复制display ip routing-table
  4. 检查NAT地址组状态:huawei复制display nat address-group

2. 端口映射不生效排查

  1. 检查NAT Server配置:huawei复制display nat server
  2. 检查安全策略是否放行:huawei复制display security-policy
  3. 检查服务器是否监听正确端口

3. 性能问题排查

  1. 检查NAT会话数量:huawei复制display nat session summary
  2. 检查CPU利用率:huawei复制display cpu-usage
  3. 考虑启用NAT硬件加速(如有支持)

华为OSPF路由协议配置案例:https://www.hao0564.com/5194.html

留下评论

您的邮箱地址不会被公开。 必填项已用 * 标注