华为路由器配置公网和私网都可以通过公网地址访问内部服务器

2025-6-26

要实现华为路由器配置公网和私网用户都可以通过公网地址访问内部服务器，可通过配置 NAT（网络地址转换）功能来达成，以下是具体配置步骤:

配置接口 IP 地址和缺省路由

进入系统视图，配置上行接口 IP 地址。假设上行接口为GigabitEthernet0/0/1，公网 IP 地址为1.1.1.1/24，命令如下：

system - view
interface GigabitEthernet0/0/1
undo portswitch
ip address 1.1.1.1 255.255.255.0

配置下行接口 IP 地址。假设下行接口为GigabitEthernet0/0/2，内网 IP 地址为192.168.1.1/24，命令如下：

interface GigabitEthernet0/0/2
undo portswitch
ip address 192.168.1.1 255.255.255.0

配置缺省路由，下一跳为对端运营商接口的 IP 地址，假设为1.1.1.2，命令如下：

ip route - static 0.0.0.0 0.0.0.0 1.1.1.2

配置 NAT Outbound 实现内网用户访问 Internet

在上行接口配置 Easy IP 方式的 NAT Outbound，使内网用户可以访问 Internet。假设 ACL 3000 用于匹配内网网段流量，命令如下：

acl number 3000
rule permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/1
nat outbound 3000

配置外网接口服务器映射 NAT Static

由于只有一个可用的公网 IP 地址部署在上行口，需要指定该接口的 IP 地址作为内部服务器映射后的 IP 地址，实现公网和私网用户通过公网口的 IP 地址访问内部服务器功能。
假设内部 FTP 服务器 IP 地址为192.168.1.2，公网映射端口为21；内部 Web 服务器 IP 地址为192.168.1.3，公网映射端口为9080，命令如下：

interface GigabitEthernet0/0/2
nat static protocol tcp global interface current-interface ftp inside 192.168.1.2 ftp netmask 255.255.255.255
nat static protocol tcp global interface current-interface 9080 inside 192.168.1.3 www netmask 255.255.255.255

配置内网接口的服务器静态映射和NAT Outbound

先创建一个高级ACL，配置规则匹配与服务器相同的内网网段通过公网IP访问服务器的流量，并在内网接口上配置nat outbound引用此ACL。然后把外网接口的NAT服务器静态映射配置复制出来，将其中的“current-interface”参数改为“interface 外网接口类型接口编号”后粘贴到内网三层接口。

acl number 3333
rule permit ip source 192.168.1.0 0.0.0.255 destination 1.1.1.1 0
quit
interface GigabitEthernet0/0/1
nat static protocol tcp global interface GigabitEthernet0/0/1 ftp inside 192.168.1.2 ftp netmask 255.255.255.255
nat static protocol tcp global interface GigabitEthernet0/0/1 9080 inside 192.168.1.3 www netmask 255.255.255.255
nat outbound 3333
return

开启 FTP 的 NAT ALG 功能（可选）

nat alg ftp enable

配置完成后，公网和私网用户就可以通过公网地址及相应端口访问内部服务器了。可在内网主机上执行ftp 1.1.1.1 21访问内部 FTP 服务器，在外网主机上进行同样操作来验证配置是否成功。

注意事项：

（1）对于AR2220-S、AR2240-S、AR3260-S等设备使用二层接口板的VLANIF接口连接内网配置NAT功能时，需要在系统视图下执行命令set workmode lan-card l3centralize开启集中式转发功能，才能使VLANIF接口下的NAT功能生效。

（2）对于V2R8及之后的版本，如果配置了NAT ALG功能，则需要将ACL规则中的目的地址改为服务器的内网地址。

版权声明 1 本文章标题：华为路由器配置公网和私网都可以通过公网地址访问内部服务器
2 本文章地址：https://www.stelnet.cn/178.html
3 本网站部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请发送邮件至maxiushun@163.com进行删除处理。
4 本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。

THE END

华为交换机配置telnet及ssh登录脚本

<<上一篇