华为路由器：配置NAT综合示例（源NAT和目的NAT）

华为路由器：配置NAT综合示例（源NAT和目的NAT）

组网需求
如图所示，Router的GE1/0/0连接内网，内网地址是192.168.1.1/24，Router的GE2/0/0连接外网，外网地址是11.11.11.1/8。内网服务器的内网IP为192.168.1.2/24，外网IP为11.11.11.6/8，需要访问内网服务器的内网主机IP为192.168.1.3/24。
现要求内网用户和外网用户可以通过公网地址11.11.11.6正常访问内网服务器。
配置NAT综合示例组网图

配置思路
采用如下思路配置NAT综合示例：
    配置接口IP地址。
    配置缺省路由。
    在LAN侧接口下配置Easy IP方式的NAT Outbound和NAT Static，确保内网用户能够使用公网地址访问内部服务器。
    在WAN侧接口下配置Easy IP方式的NAT Outbound和NAT Static，确保内部用户能够访问外网且外网用户能够使用公网地址访问内部服务器。

操作步骤
在Router上配置接口IP地址
    <Huawei> system-view
    [Huawei] sysname Router
    [Router] interface gigabitethernet 1/0/0
    [Router-GigabitEthernet1/0/0] ip address 192.168.1.1 24
    [Router-GigabitEthernet1/0/0] quit       
    [Router] interface gigabitethernet 2/0/0
    [Router-GigabitEthernet2/0/0] ip address 11.11.11.1 8
    [Router-GigabitEthernet2/0/0] quit

在Router上配置缺省路由，指定下一跳地址为11.11.11.2
    [Router] ip route-static 0.0.0.0 0.0.0.0 11.11.11.2

在Router的接口GE1/0/0上配置Easy IP方式的NAT Outbound和NAT Static，确保内网用户能够使用公网地址访问内部服务器。
    [Router] acl 3000
    [Router-acl-adv-3000] rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 0
    [Router-acl-adv-3000] quit
    [Router] interface gigabitethernet 1/0/0    #内联口
    [Router-GigabitEthernet1/0/0] nat outbound 3000
    [Router-GigabitEthernet1/0/0] nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255
    [Router-GigabitEthernet1/0/0] quit

在Router的接口GE2/0/0上配置Easy IP方式的NAT Outbound和NAT Static，确保内部用户能够访问外网且外网用户能够使用公网地址访问内部服务器。
    [Router] acl 2000
    [Router-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255
    [Router-acl-basic-2000] quit
    [Router] interface gigabitethernet 2/0/0    #外联口
    [Router-GigabitEthernet2/0/0] nat outbound 2000
    [Router-GigabitEthernet2/0/0] nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255
    [Router-GigabitEthernet2/0/0] quit

验证配置结果
    # 内网用户和外网用户可以通过公网地址11.11.11.6正常访问内网服务器。内网用户可以访问外网。

配置文件
Router的配置文件
#                                                                               
acl number 2000                                                                 
 rule 5 permit source 192.168.1.0 0.0.0.255                                     
#                                                                               
acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 destination 11.11.11.6 0          
#                                                                               
interface GigabitEthernet1/0/0                                                  
 ip address 192.168.1.1 255.255.255.0                                           
 nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255  
 nat outbound 3000  
#                                                                               
interface GigabitEthernet2/0/0                                                  
 ip address 11.11.11.1 255.0.0.0                                                  
 nat static global 11.11.11.6 inside 192.168.1.2 netmask 255.255.255.255  
 nat outbound 2000  
#                                                                               
ip route-static 0.0.0.0 0.0.0.0 11.11.11.2                                 
#                                               
return