内容发布更新时间 : 2024/11/17 16:04:56星期一 下面是文章的全部内容请认真阅读。

H3C路由器NAT典型配置案列（史上最详细）

神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。 1.11 NAT典型配置举例

1.11.1 内网用户通过NAT地址访问外网（静态地址转换） 1. 组网需求

内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。 2. 组网图

图1-5 静态地址转换典型配置组网图

3. 配置步骤

# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。 system-view

[Router] nat static outbound 10.110.10.8 202.38.1.100

# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。 [Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat static enable [Router-GigabitEthernet1/2] quit 4. 验证配置

# 以上配置完成后，内网主机可以访问外网服务器。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat static Static NAT mappings:

There are 1 outbound static NAT mappings. IP-to-IP:

Local IP : 10.110.10.8 Global IP : 202.38.1.100

Interfaces enabled with static NAT:

There are 1 interfaces enabled with static NAT. Interface: GigabitEthernet1/2

# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。 [Router] display nat session verbose Initiator:

Source IP/port: 10.110.10.8/42496 Destination IP/port: 202.38.1.111/2048 VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: ICMP(1) Responder:

Source IP/port: 202.38.1.111/42496 Destination IP/port: 202.38.1.100/0 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) State: ICMP_REPLY Application: INVALID

Start time: 2012-08-16 09:30:49 TTL: 27s Interface(in) : GigabitEthernet1/1 Interface(out): GigabitEthernet1/2

Initiator->Responder: 5 packets 420 bytes Responder->Initiator: 5 packets 420 bytes

Total sessions found: 1

1.11.2 内网用户通过NAT地址访问外网（地址不重叠） 1. 组网需求 · 某公司内网使用的IP地址为192.168.0.0/16。 · 该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。

需要实现，内部网络中192.168.1.0/24网段的用户可以访问Internet，其它网段的用户不能访问Internet。使用的外网地址为202.38.1.2和202.38.1.3。 2. 组网图

图1-6 内网用户通过NAT访问外网（地址不重叠）

3. 配置步骤

# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置地址组0，包含两个外网地址202.38.1.2和202.38.1.3。 system-view

[Router] nat address-group 0

[Router-nat-address-group-0] address 202.38.1.2 202.38.1.3 [Router-nat-address-group-0] quit

# 配置ACL 2000，仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。 [Router] acl number 2000

[Router-acl-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-basic-2000] quit

# 在接口GigabitEthernet1/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。 [Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat outbound 2000 address-group 0 [Router-GigabitEthernet1/2] quit 4. 验证配置

以上配置完成后，Host A能够访问WWW server，Host B和Host C无法访问WWW server。通过查看如下显示信息，可以验证以上配置成功。 [Router] display nat all

NAT address group information: There are 1 NAT address groups.

Group Number Start Address End Address 0 202.38.1.2 202.38.1.3

NAT outbound information:

There are 1 NAT outbound rules. Interface: GigabitEthernet1/2

ACL: 2000 Address group: 0 Port-preserved: N NO-PAT: N Reversible: N

NAT logging:

Log enable : Disabled Flow-begin : Disabled Flow-end : Disabled Flow-active: Disabled

NAT mapping behavior:

Mapping mode: Address and Port-Dependent ACL : ---

NAT ALG:

DNS: Enabled FTP: Enabled H323: Enabled

ICMP-ERROR: Enabled

# 通过以下显示命令，可以看到Host A访问WWW server时生成NAT会话信息。 [Router] display nat session verbose Initiator:

Source IP/port: 192.168.1.10/52992 Destination IP/port: 200.1.1.10/2048 VPN instance/VLAN ID/VLL ID: -/-/- Protocol: ICMP(1) Responder: