内网工业设备地址相同无网关统一管理——HUAWEI NAT的特殊应用

很多工业企业会遇到采用的同样配置PLC等内网工业设备无法更改IP地址等参数配置，这些设备的出厂IP都是一模一样，而且没有设置网关，自己无法修改（没有权限，或花费很大）。现场又需要对这些设备进行统一管理，十分为难。

现提供一种利用HUAWEI NAT技术来解决这个问题的一个方案。

拓扑说明

Server1 Server2 Server3 模拟同样设置的PLC工业设备，远程管理通过80端口web管理

Client模拟远程管理主机。

R1 R2 R3 与被管设备相连，使用NAT技术转换地址端口

R4 与管理主机相连，模拟远程连接。

基础配置：

SERVER统一配置为192.168.1.1 /24 注意无网关，开启HTTP服务

Client 配置

AR4配置

R4

sysname R4

interface GigabitEthernet0/0/0

ip address 1.1.1.254 255.255.255.0

interface GigabitEthernet4/0/1

ip address 10.1.1.1 255.255.255.0

interface GigabitEthernet4/0/2

ip address 10.1.2.1 255.255.255.0

interface GigabitEthernet4/0/3

ip address 10.1.3.1 255.255.255.0

实验关键配置

这里的最关键的是需要理解，当网管主机client（源）访问内网服务器（目的）时的IP报文头的源地址进行替换时的ACL的匹配，在进入R1中后的IP地址还是g0/0/0接口地址——还未被替换成server地址，因此acl的规则匹配的IP报文的目的是10.1.1.2。

R1

sysname R1

acl number 3000

rule 5 permit tcp destination 10.1.1.2 0

//配置向内网SERVER NAT匹配的目的IP

nat address-group 1 192.168.1.10 192.168.1.10

//配置向内网server NAT的地址池（必须内网网段）

interface GigabitEthernet0/0/0

ip address 10.1.1.2 255.255.255.0

nat server protocol tcp global current-interface 8080 inside 192.168.1.1 www

//目的NAT，将内网SERVER的WWW服务转换为出接口8080

interface GigabitEthernet0/0/1

ip address 192.168.1.254 255.255.255.0

nat outbound 3000 address-group 1

//向内出方向源NAT

ip route-static 0.0.0.0 0.0.0.0 10.1.1.1

//默认路由

R2 R3同理配置

R2

sysname R2

acl number 3000

rule 5 permit tcp destination 10.1.2.2 0

nat address-group 1 192.168.1.10 192.168.1.10

interface GigabitEthernet0/0/0

ip address 10.1.2.2 255.255.255.0

nat server protocol tcp global current-interface 8080 inside 192.168.1.1 www

interface GigabitEthernet0/0/1

ip address 192.168.1.254 255.255.255.0

nat outbound 3000 address-group 1

ip route-static 0.0.0.0 0.0.0.0 10.1.2.1

R3

sysname R3

acl number 3000

rule 5 permit tcp destination 10.1.3.2 0

nat address-group 1 192.168.1.10 192.168.1.10

interface GigabitEthernet0/0/0

ip address 10.1.3.2 255.255.255.0

nat server protocol tcp global current-interface 8080 inside 192.168.1.1 www

interface GigabitEthernet0/0/1

ip address 192.168.1.254 255.255.255.0

nat outbound 3000 address-group 1

ip route-static 0.0.0.0 0.0.0.0 10.1.3.1

实验效果

Client 访问SERVER1 2 3

在R1R2R3看NAT信息。

完美实现一台主机远程管理内网同样固定配置且无网关的设备。

本实验用华为ENSP模拟器实现