Хорошо

NAT на маршрутизаторе Huawei (вся "база" в одном месте) Популярное

Последний ответ ноя 11, 2021 13:27:09 1002 101 24 0 4

Всем доброго дня и хорошего настроения!
    Целью написания данного поста у меня является создание добротной шпаргалки типа "все-в-одном" для себя-же, так же, предполагаю, что лаба пригодиться и другим инженерам.  Сразу оговоримся, что на NE-роутерах все "взрослее" - пока не рассматриваю.

    Помните времена, когда фильмы/проги были на разных носителях (даже до флешек) - ?
Лучший способ сохранения и резервирования данных (фильмов - уж точно) тогда были  - отдать другу/знакомому СКОПИРОВАТЬ - так? Вот тот же принцип я и применяю сейчас :)

    Итак, возникла у меня потребность "Обкатать" все типовое, касательно NAT на "ходовых" моделях маршрутизаторов Huawei.  Искал, почитал, полистал (на форуме есть очень приличная статья, кстати...)...собрал.
__
Итого, имеем схему "Обкатки" (числа - ради чисел)=


NAT_all

Настройки сети к теме поста прямого отношения не имеют - желающие, как всегда, смогут сами "полазить" - прикреп.
Важно выделить сегменты =
- VLAN 10, 20, 30, 40.
- Маршрутизатор на которм все будет = R1.
- "Внешние" миры = PE+ PC2 (важны только для проверки)

Постановку Задачи И необходимые числа, считаю, правильным пояснить на рисунке:


2

Переходим к реализации. Все настройки на R1.

    1) Статический NAT.

interface GigabitEthernet0/0/1
 nat static global 2.2.2.10 inside 10.1.1.100 netmask 255.255.255.255

Результат настроек, по-сути равен таким шагам=

1) Определение SA (что меняем)? 10.1.1.100

2) Определение SA (на что менеяем?) 2.2.2.10 (надо отметить, что на собственный адрес интерфейса - нельзя = OS выдает ошибку, что верно). (если очень нужно, то есть опция в команде)

3) Направление трансляции - только неявно, понимаем по таблице маршрутизации = входящий интерфейс, исходящий интерфейс. На исходящем - вся настройка.

4) Ограничения - отсутсвуют.

    Таблица сопоставления-замены SA сформирована =

<R1>display nat static
  Static Nat Information:
  Interface  : GigabitEthernet0/0/1
    Global IP/Port     : 2.2.2.10/----
    Inside IP/Port     : 10.1.1.100/----
    Protocol : ----     
    VPN instance-name  : ----                            
    Acl number         : ----
    Netmask  : 255.255.255.255
    Description : ----
  Total :    1
<R1>

Проверка возможна только на уровне снифера (вход PE). Например посылаем пинг с Server 1 на 3.3.3.100:

static nat

Следующий метод:

     2) Динамический NAT (из адреса в адрес БЕЗ использования портов).

- Что будем менять? Ответ в настройке =

acl name for_NAT 2001  
 rule 10 permit source 20.1.1.0 0.0.0.255

- На что подменяем (на какие числа):

 nat address-group 1 2.2.2.20 2.2.2.30

- Определяем направление трансляции и формируем динамическую таблицу подмены:

interface GigabitEthernet0/0/1
 nat outbound 2001 address-group 1 no-pat

    Результат настроек видим в таблице трансляции =

<R1>display nat outbound
 NAT Outbound Information:
 --------------------------------------------------------------------------
 Interface                     Acl     Address-group/IP/Interface      Type
 --------------------------------------------------------------------------
 GigabitEthernet0/0/1         2001                              1    no-pat
Снифером утомлять не буду - работает как настроили. Колчество одновременных сессий = кол-ву адресов, определенных нами в таблице трансляции (nat address-group)

3) Easy-NAT (трансляция с использованем портов - PAT, overloading). Делаем, когда арендован для Выхода наружу только 1 IP адресс. (хватит на 65K сессий).

- в трансляции будут участвовать адреса из

acl name for_easy_nat 2030  
 rule 10 permit source 30.1.1.0 0.0.0.255

- внешний адрес = адрес интерфейса (здесь запрета нет), поэтому видим сразу настройку вида:

interface GigabitEthernet0/0/1
 nat outbound 2030

Результат - сформирована запись:

<R1>display nat outbound
 NAT Outbound Information:
 --------------------------------------------------------------------------
 Interface                     Acl     Address-group/IP/Interface      Type
 --------------------------------------------------------------------------
 GigabitEthernet0/0/1         2001                              1    no-pat
 GigabitEthernet0/0/1         2030                        2.2.2.2    easyip  
 --------------------------------------------------------------------------
  Total : 2

Проверка доказывает, ожидамый результат.

4) Huawei описывает технику доступа из Интернет к серверу внутри компании, как "базовую" задачу по NAT (ну, я так понял).

Ну и хорошо. (для тех, кто запутался - посмотрите еще раз общую схемку выше).
Внедряем (напомню, что все на R1) доступ на наш сервер (40.1.1.100) по адресу 2.2.2.40:

interface GigabitEthernet0/0/1
 nat server protocol icmp global 2.2.2.40 inside 40.1.1.100

     Вот здесь можно ввести рассуждения о том, что данная методика очень близка статическому NAT, отличия в том, что можно указать протокол (ICMP|UDP|TCP) + Порт обращения к серверу в одной строчке.

Я ввел доступ по протоколу ICMP, что и наблюдал на снифере (синие точки на первой схемке):

Трафик на сервер из интернет в направлении R1:

nat_is_1

После трансляции R1 посылает в LAN:

NAT_IS_2

Для текущего поста-шпаргалки у меня все :)
Схемку прикрепил (для eNSP).

P. S. На поднтерфейсах R1 вводим arp broadcast enable (иначе, я не понимаю - как проверяли-то создатели примеров свои схемы?!)

Литература:

1) https://forum.huawei.com/enterprise/ru/настройка-nat-на-маршрутизаторах-huawei/thread/521469-100131

2) https://support.huawei.com/enterprise/en/doc/EDOC1000177797/ee01cd2a/example-for-configuring-dynamic-nat

3) https://support.huawei.com/enterprise/ru/doc/EDOC1100125879/d570205b/nat-internal-server

4) http://www.techspacekh.com/configuring-network-address-translation-nat-on-huawei-router-ar2220/


 



У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта? Register

x
  • x

2559godji
Опубликовано 2021-7-7 10:37:30
"Помните времена, когда фильмы/проги были на разных носителях (даже до флешек) - ?"
Я помню. Но не флешки, а аудио-кассеты. В школе у нас учился мальчик из неблагополучной семьи и был "крутым" парнем, ну то есть "блатным" что ли... все его боялись. Но я как-то с ним зацепился языками, мы стали немного общаться, после чего другие ребята стали смотреть на меня со страхом и уважением. Как то мы оказались у него дома и, видимо, он стал чувствовать, что я стал отстраняться от него, потому что он стал показывать мне свои аудио-кассеты, предлагать мне их взять и переписать, и чтобы я дал ему переписать свои... Я понимал, что за этими предложениями кроется простое желание удержать дружбу и что за этим "крутым" пацаном прятался просто несчастный и одинокий мальчик
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-7-7 17:27 (0) (0)
Позвольте 'переверну' - вот так и у инженеров : поставился крутым и что с этим делать? Не подходят даже...  
FroZz
FroZz Ответить mkabanov  Опубликовано 2021-7-10 23:11 (0) (0)
Такова се ля и ви)))  
Foreces910
Foreces910 Опубликовано 2021-11-11 13:25 (0) (0)
 
TinaSehm
TinaSehm Опубликовано 2021-12-16 12:20 (0) (0)
грустная, но жизненная история(  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:22 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:56 (0) (0)
 
bazilio
bazilio Ответить stardusty  Опубликовано 2021-12-28 14:42 (0) (0)
+  
bazkar
bazkar Ответить stardusty  Опубликовано 2021-12-28 15:44 (0) (0)
+  
bazilio
bazilio Ответить bazkar  Опубликовано 2021-12-28 15:47 (0) (0)
 
Vasyo
Админ Опубликовано 2021-7-7 14:41:18
Для меня самый страшный вопрос на экзамене это определить где inside global, а где inside local)
В данном случае приведены примеры конфигурирования четырех видов NAT, в кадом из них privat адреса начинающиеся с октетов 10,20,30 и 40 это inside local адреса, а 2.2.2.2 это outside local.
Хм...тогда что же такое inside global и inside local?
Развернуть
  • x

2559godji
2559godji Опубликовано 2021-7-7 14:46 (0) (0)
Ну это то же самое, но только на другой стороне  
mkabanov
mkabanov Опубликовано 2021-7-7 21:02 (0) (0)
Такие вопросы у каждого есть = это перепоняется буфер именно этой тематики (очереди) :)
Про НАТ и термины, ну там производитель подвел слайды и термины под выводы sh ip nat | sh ip nat tran
вот оно:  
mkabanov
mkabanov Ответить 2559godji  Опубликовано 2021-7-7 21:02 (0) (0)
https://1.bp.blogspot.com/-AVb-3eEoVKo/XkGEO29sZaI/AAAAAAAAI2k/drYUBhYnJ3QO5AThevF82uOJLgtu7Q4IgCNcBGAsYHQ/s1600/PAT-1.JPG  
Maksim
Maksim Опубликовано 2021-7-10 01:19 (0) (0)
ЕМНИП, global - это то, как выглядит адрес во внешней сети, Local - как во внутренней  
Foreces910
Foreces910 Опубликовано 2021-11-11 13:25 (0) (0)
 
TinaSehm
TinaSehm Ответить Foreces910  Опубликовано 2021-12-16 12:22 (0) (0)
+  
stardusty
stardusty Ответить Foreces910  Опубликовано 2021-12-24 17:23 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:56 (0) (0)
 
bazilio
bazilio Ответить Foreces910  Опубликовано 2021-12-28 14:42 (0) (0)
+  
bazkar
bazkar Ответить Foreces910  Опубликовано 2021-12-28 15:44 (0) (0)
+  
Kelebrimber
Админ Опубликовано 2021-7-7 15:09:02
Интересный материал, заберука его в избранное)
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-7-8 00:28 (0) (0)
Значит, не зря...
Спасибо.  
Kelebrimber
Kelebrimber Ответить mkabanov  Опубликовано 2021-7-8 13:42 (0) (0)
Пффф, конечно не зря! Вас всегда интересно читать!  
mkabanov
mkabanov Ответить Kelebrimber  Опубликовано 2021-7-8 15:41 (0) (0)
 
Foreces910
Foreces910 Опубликовано 2021-11-11 13:25 (0) (0)
 
TinaSehm
TinaSehm Опубликовано 2021-12-16 12:22 (0) (0)
+  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:23 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:56 (0) (0)
 
bazilio
bazilio Ответить TinaSehm  Опубликовано 2021-12-28 14:42 (0) (0)
+  
bazkar
bazkar Ответить TinaSehm  Опубликовано 2021-12-28 15:44 (0) (0)
+  
Znasku_Petrovich
Опубликовано 2021-7-7 15:32:52
Есть ведь еще "обратный" NAT, который делает mapping outside global (public) к outside local (private) IP адресам. Он не используется в общих сценариях, а только для преодоления проблем дублирования IP адресов в сети
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-7-7 17:20 (0) (0)
Абсолютно!
Фичевый нат у меня по плану - отдельный разбор ;)  
Znasku_Petrovich
Znasku_Petrovich Ответить mkabanov  Опубликовано 2021-7-8 00:02 (0) (0)
Интересно, ждем-ждем  
mkabanov
mkabanov Ответить Znasku_Petrovich  Опубликовано 2021-7-8 00:26 (0) (0)
ок!!  
Foreces910
Foreces910 Опубликовано 2021-11-11 13:25 (0) (0)
 
TinaSehm
TinaSehm Ответить Znasku_Petrovich  Опубликовано 2021-12-16 12:23 (0) (0)
+  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:23 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:57 (0) (0)
 
bazilio
bazilio Ответить TinaSehm  Опубликовано 2021-12-28 14:42 (0) (0)
+  
bazkar
bazkar Ответить TinaSehm  Опубликовано 2021-12-28 15:44 (0) (0)
+  
Boxuf_Igor
Опубликовано 2021-7-8 14:01:45

Говоря о NAT и обозначении сетей, лучше один раз увидеть, что сто раз сказать:

NAT


Развернуть
  • x

Foreces910
Foreces910 Опубликовано 2021-11-11 13:25 (0) (0)
 
TinaSehm
TinaSehm Ответить Foreces910  Опубликовано 2021-12-16 12:23 (0) (0)
+  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:23 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:57 (0) (0)
 
bazilio
bazilio Ответить NikitamatveeV  Опубликовано 2021-12-28 14:43 (0) (0)
+  
bazkar
bazkar Ответить bazilio  Опубликовано 2021-12-28 15:44 (0) (0)
+  
mkabanov
HCIE MVE Author Опубликовано 2021-7-8 15:39:12

Спасибо за картинку!
(но опять-же эти термины из немного другого "театра")

Развернуть
  • x

Foreces910
Foreces910 Опубликовано 2021-11-11 13:25 (0) (0)
 
TinaSehm
TinaSehm Опубликовано 2021-12-16 12:24 (0) (0)
:-D  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:24 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:57 (0) (0)
 
bazilio
bazilio Ответить NikitamatveeV  Опубликовано 2021-12-28 14:43 (0) (0)
+  
bazkar
bazkar Ответить bazilio  Опубликовано 2021-12-28 15:45 (0) (0)
+  
eks41
Опубликовано 2021-7-10 01:04:56

Добрый день!

@mkabanov, есть ошибки, поправьте плз:

1.2. "на собственный адрес интерфейса - нельзя" - на самом деле можно, нужно использовать ключевое слово current-interface, например:

interface GigabitEthernet0/0/1
 nat static global current-interface inside 10.1.1.100 netmask 255.255.255.255



netmask 255.255.255.255 в данном случае можно не писать

4. "данная методика очень близка статическому NAT, отличия в том, что можно указать протокол (ICMP|UDP|TCP) + Порт обращения к серверу в одной строчке"
На самом деле протокол и порт в одной строчке можно указать и для nat static, у этих команд вообще синтаксис почти одинаковый.
Nat static и nat server отличаются только тем, что при обращении сервера во внешнюю сеть (например, за обновлениями) nat server подменяет внутренний адрес сервера (source address) внешним адресом роутера, но всегда оставляет неизменным исходящий порт (source port), тогда как static nat может подменить и source port.
Использовать nat server стоит только в исключительных случаях, поскольку оно может привести к конфликту с Dynamic-NAT/Easy-NAT.

Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-7-10 16:28 (0) (0)
Спасибо за уточнения. (Корректировку внес)
НО, Вы только подтвердили, что есть куда "копать" по NAT, кроме БАЗЫ (темы моего поста)  
Foreces910
Foreces910 Опубликовано 2021-11-11 13:25 (0) (0)
 
TinaSehm
TinaSehm Ответить Foreces910  Опубликовано 2021-12-16 12:24 (0) (0)
+  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:24 (0) (0)
+  
NikitamatveeV
NikitamatveeV Ответить mkabanov  Опубликовано 2021-12-27 13:57 (0) (0)
 
bazilio
bazilio Ответить NikitamatveeV  Опубликовано 2021-12-28 14:43 (0) (0)
+  
bazkar
bazkar Ответить bazilio  Опубликовано 2021-12-28 15:45 (0) (0)
+  
mrppa
MVE Author Опубликовано 2021-7-10 15:48:20
Круто-круто!
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-7-10 16:31 (0) (0)
 
Foreces910
Foreces910 Опубликовано 2021-11-11 13:26 (0) (0)
 
TinaSehm
TinaSehm Опубликовано 2021-12-16 12:24 (0) (0)
+  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:26 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:57 (0) (0)
 
bazilio
bazilio Опубликовано 2021-12-28 14:43 (0) (0)
+  
bazkar
bazkar Ответить bazilio  Опубликовано 2021-12-28 15:45 (0) (0)
+  
Masiv
Опубликовано 2021-11-8 13:16:19
Отличный материал! Помогло мне в подготовке к HCIA
Развернуть
  • x

mkabanov
mkabanov Опубликовано 2021-11-8 13:33 (0) (0)
 
Foreces910
Foreces910 Опубликовано 2021-11-11 13:26 (0) (0)
 
TinaSehm
TinaSehm Опубликовано 2021-12-16 12:24 (0) (0)
+  
stardusty
stardusty Ответить TinaSehm  Опубликовано 2021-12-24 17:26 (0) (0)
+  
NikitamatveeV
NikitamatveeV Опубликовано 2021-12-27 13:58 (0) (0)
 
bazilio
bazilio Опубликовано 2021-12-28 14:43 (0) (0)
+  
bazkar
bazkar Ответить bazilio  Опубликовано 2021-12-28 15:45 (0) (0)
+  
12
К списку

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Пользовательское соглашение.”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.
О защите информации
Благодарим за использование Huawei ICT Club! Мы хотим рассказать вам о том, как мы собираем, используем и храним ваши данные. Пожалуйста, внимательно ознакомьтесь с Политикой конфиденциальности и Пользовательским соглашением.