内容发布更新时间 : 2024/10/11 20:23:16星期一 下面是文章的全部内容请认真阅读。

H3C MSR路由器双出口NAT服务器的典型配置

一、需求：

MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问，其域名是test.h3c.edu.cn，对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。 设备清单：MSR一台

二、拓扑图：

三、配置步骤：

适用设备和版本：MSR系列、Version 5.20, Release 1205P01后所有版本。 MSR关键配置(路由部分配置略) # //地址池0用于访问电信的NAT nat address-group 0 202.2.2.50 202.2.2.100 //地址池1用于访问教育网的NAT nat address-group 1 211.1.1.50 211.1.1.100 //静态NAT用于外部访问内部服务器test.h3c.edu.cn nat static 192.168.34.55 211.1.1.4 # //ACL 2000用于内网访问教育网和电信的NAT，允许192.168.0.0/0的源 acl number 2000 description \ rule 10 permit source 192.168.0.0 0.0.255.255 //ACL 2222用于策略路由的允许节点，即内部服务器往外发的HTTP从G5/1出去 acl number 2222 description \ rule 0 permit source 192.168.34.55 0 # //用于内部主机访问211.1.1.4的NAT映射 acl number 3000 description \ rule 0 permit ip source 192.168.0.0 0.0.255.255 destination 192.168.34.55 0 //ACL 3333用于策略路由拒绝节点，即内部服务器返回内部主机的不需要被策略 acl number 3333 description \ rule 0 permit ip source 192.168.34.55 0 destination 192.168.0.0 0.0.255.255 # interface GigabitEthernet0/0 port link-mode route //内部主机访问211.1.1.4时，将211.1.1.4替换成192.168.34.55 nat outbound static //内部主机访问211.1.1.4时，将内部主机地址转换成192.168.86.2 nat outbound 3000 description to neibu-Lan ip address 192.168.86.2 255.255.255.252 //策略路由，内部服务器返回内部的不被策略，返回外部的从G5/1出去 ip policy-based-route aaa # interface GigabitEthernet5/0 port link-mode route //内部访问电信时需要NAT nat outbound 2000 address-group 0 description connect to ChinaNet ip address 202.2.2.2 255.255.255.0 tcp mss 1420 # interface GigabitEthernet5/1 port link-mode route //外部访问内部服务器211.1.1.4时静态转换成192.168.34.55 nat outbound static //内部访问教育网时需要NAT nat outbound 2000 address-group 1 description connect to Cernet ip address 211.1.1.2 255.255.255.0 tcp mss 1420 # //策略路由aaa拒绝节点序号3 policy-based-route aaa deny node 3 //匹配条件ACL 3333，即内部服务器返回内部的流量不需要被策略 if-match acl 3333 //策略路由aaa允许节点5 policy-based-route aaa permit node 5 //匹配ACL 2222，即内部服务器发出的流量 if-match acl 2222 //应用下一跳211.1.1.1，即从G5/1出去 apply ip-address next-hop 211.1.1.1 # 四、配置关键点：

1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；

2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211.1.1.4会被电信给过滤掉，因此必须使用策略路由从G5/1出去；

3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略； 4) 在G0/0应用2个NAT的作用是使内网可以通过访问211.1.1.4访问内部服务器test.h3c.edu.cn，如果只使用NAT Outbound Static，那么内部主机192.168.1.199发送HTTP请求的源、目的地址对<192.168.1.199, 211.1.1.4>会变成<192.168.1.199,