华为eNSP配置NAPT(地址池多对一)

NAPT(地址池多对一)

配置IP地址
配置静态路由和默认路由
FW1:
ip route-static 0.0.0.0 0.0.0.0 172.16.10.2
​
R1:
ip route-static 10.1.1.0 24 172.16.10.1
ip route-static 192.168.10.0 24 172.16.10.1
​
R2:
ip route-static 172.16.10.0 24 172.16.20.1
ip route-static 192.168.10.0 24 172.16.20.1
ip route-static 10.1.1.0 24 172.16.20.1

防火墙添加区域
firewall zone trust
add int gi0/0/0
add int gi1/0/0
quit
firewall zone untrust
add int gi1/0/1
quit
防火墙放行接口
int gi0/0/0
service-manager all permit  #允许所有访问,因为有web界面
quit
int gi1/0/0
service-manager ping permit #只允许ping通要求
quit
int gi1/0/1
service-manager ping permit #只允许ping通要求
quit

配置防火墙NAT地址池
nat address-group dcc               #创建地址池dcc
section 172.16.10.1                 #指定目的地址为防火墙出接口地址
mode pat                            #模式为pat
​
配置防火墙NAT策略
nat-policy              #创建nat策略
rule name nat_pt        #定义nat策略名字          
source-zone trust       #源区域为trust区域
destination-zone untrust    #目的区域为untrust
source-address 10.1.1.0 mask 255.255.255.0  #源地址为trust区域的IP地址段，实现精确匹配
action source-nat address-group dcc #把nat地址池绑定在nat策略上面

防火墙开启安全策略
security-policy         #进入安全策略
rule name p1            #自定义安全策略名字
source-zone trust       #源区域为trust区域
destination-zone untrust#目的区域为untrust区域
source-address 10.1.1.0 mask 255.255.255.0  #加上源地址更加精确匹配
action permit           #允许trust区域访问untrust区域

PC1ping通R2:

查看图形化配置策略: