华为AR2220路由器配置端口映射问题

#

acl number 2000 //配置允许进行NAT转换的内网地址段

rule 5 permit source 19216810 000255

#

interface GigabitEthernet3/0/0 //外网口

ip address 18381181116 2552552550

nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound

nat server protocol tcp global 18381181116 www inside 1921681200 80 //在出接口上配置内网服务器1921681200的www服务

#

nat address-group 1 18381181116 18381181116 //配置NAT地址池

#

ip route-static 0000 0000 XXXX //配置默认路由 下一跳。

这样内网可以访问Internet，而且外网可以通过公网访问服务器。

1网络环境：

　　内网用户IP地址为1921680/2552552550，也就是说IP地址为一个C类地址，涵盖范围为19216801~1921680255。路由器使用的是华为公司出品的2600产品，该产品有两个以太网口供我们使用。网口一连接外网，IP地址为公网地址；网口二连接内网，IP地址为私网地址。公司希望在路由器上配置NAT功能，让内网中的用户使用NAT访问外网。2600路由器上已经配置了外网接口IP为222907750(公网IP地址），内网接口IP地址为1921680254。

　　2NAT的配置任务列表如

a 配置地址

b 配置访问控制列表和地址池的关联

acl100 rule normal permit source 1921680254 000255

//为访问控制列表添加规则，容许1921680254/2552552550这个网段的所有地址通过。注意一点的是命令中使用的是000255这样的反向掩码形式，实际上他代表子网掩码为2552552550。

c 配置访问控制列表和接口的关联（EASY IP特性）

interface Ethernet0 //外网端口

ip address 222907750 255255255254

nat outbound 100 interface //在NAT出口接口上进行设置，即外网接口，启用NAT功能。容许NAT的主机为访问控制列表100中规定的地址

nat server global 222907750 80 inside 1921680164 80 tcp

interface Ethernet1//内网端口

ip address 1921680254 2552552550

d 配置内部服务器

　　小提示：华为路由器启用NAT功能时使用了一种称作EASYIP的技术，可以让内网IP映射为路由器的外网接口IP地址，从而让多个内网IP地址对应一个公网IP，这个技术可以在数量上节省一个公网IP地址。

　　3附属功能：

　　有的公司可能有专门的WWW服务器或MAIL服务器，对于这些服务器来说不能使用NAT进行映射，因为NAT后如果没有采用其他诸如端口映射的方法外网用户是不能正常访问WWW和MAIL服务器的。这时可以在路由器上使用nat server命令解决这个问题，对主机进行宣告。例如上面的公司如果其WWW服务器的IP地址内网是1083912，公网发布地址为61513104的话，可以使用如下命令宣告：“nat server global 61513104 any inside 1083912 any ip”。