H3C路由器双出口NAT服务器的典型配置

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

双出口映射单网卡服务器解决方案一、解决方案应用场景：出口路由器接两家运营商线路，均使用固定公网地址上外网，内网有一台单网卡的FTP 服务器，现要将其分别映射至两个公网出口，实现外网用户通过公网地址能正常访问FTP 服务器。

二、网络拓扑图：三、解决方案思路：1. 内网用户上公网通过在两个公网口分别做nat outbound，电信出接口配置一条默认路由，网通出接口配置一条优先级低于电信出接口的默认路由并添加目的地址为网通网段的精细路由；2. 若双出口上映射同一个FTP 服务器的私网地址，则可能出现端口被占用的情况，为解决这个问题，给服务器配置两个私网地址，分别用做两个外网口上做nat server 的内部地址：其中电信出口映射的内部地址为192.168.1.253，网通出口映射的内部地址为192.168.1.254；3. 做完以上两个步骤后，电信地址访问电信出口没有问题，网通地址访问网通出口也没有问题，但是网通地址访问电信出口就会出现数据包来回路径不一致的现象：网通地址访问电信接口时，首先电信出接口通过nat server 定向至192.168.1.253，服务器回包时一看源地址为网通地址，就匹配精细路由出去了。

同样的电信地址访问网通出接口也可能出现数据包来回不一致的情况；4. 为解决第3 步出现的问题，通过定义匹配源的策略路由来解决：源为192.168.1.253 目的UnRegistered地址任意的访问下一跳指向电信出口网关，源为192.168.1.254 目的地址任意的访问下一跳指向网通出口网关。

此时网通地址访问电信出接口时，首先电信出接口通过nat server 定向至192.168.1.253，服务器回包时匹配源为192.168.1.253 的策略路由，仍然走电信出接口出去，这样就实现了数据包的来回一致，电信地址访问网通出接口也是一样。

五、测试配置文件出口路由器：MSR30-11#acl number 2000rule 0 permit#acl number 3000 //定义源为192.168.1.253 的ACLrule 0 permit ip source 192.168.1.253 0acl number 3001 //定义源为192.168.1.254 的ACLrule 0 permit ip source 192.168.1.254 0#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!authorization-attribute level 3service-type telnet#cwmpundo cwmp enable#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0 //此接口为出口路由器的内网口port link-mode routeip address 192.168.1.1 255.255.255.0undo ipv6 fast-forwardingip policy-based-route policy //将匹配源地址为服务器私网地址的策略路由下发至内网口#interface Ethernet0/1UnRegisteredport link-mode routeundo ipv6 fast-forwarding#interface Ethernet3/0 //此接口为电信出接口port link-mode routedescription to-dianxinnat outbound 2000nat server protocol tcp global 10.10.10.1 ftp inside 192.168.1.253 ftp //映射192.168.1.253ip address 10.10.10.1 255.255.255.252undo ipv6 fast-forwarding#interface Ethernet3/1 //此接口为网通出接口port link-mode routedescription to-wangtongnat outbound 2000nat server protocol tcp global 20.20.20.1 ftp inside 192.168.1.254 ftp //映射192.168.1.254ip address 20.20.20.1 255.255.255.252undo ipv6 fast-forwarding#interface Serial0/0link-protocol pppundo ipv6 fast-forwarding#interface NULL0#policy-based-route policy permit node 0 //匹配ACL3000 的走电信出接口if-match acl 3000apply ip-address next-hop 10.10.10.2policy-based-route policy permit node 5 //匹配ACL3001 的走网通出接口if-match acl 3001apply ip-address next-hop 20.20.20.2#ip route-static 0.0.0.0 0.0.0.0 10.10.10.2ip route-static 0.0.0.0 0.0.0.0 20.20.20.2 preference 80ip route-static 3.3.3.0 255.255.255.0 20.20.20.2 //实际配置时需添加网通网段的细化路由#电信设备：100F网通设备：100F电信和网通之间的互联网段为：3.3.3.0/24，电信：3.3.3.253 网通：3.3.3.254 UnRegistered。

[H3C路由]H3C路由NAT配置1. 配置地址池定义一个地址池nat address-group start-addr end-addr pool-name删除一个地址池undo nat address-group pool-name每个地址池中的地址必须是连续的，每个地址池内最多可定义64 个地址。

需要注意的是：当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

2. 配置访问控制列表和地址池关联增加访问控制列表和地址池关联nat outbound acl-number address-group pool-name删除访问控制列表和地址池关联undo nat outbound acl-number address-group pool-name缺省情况下，访问控制列表不与任何地址池关联。

3. 配置访问控制列表和接口关联（EASY IP 特性）增加访问控制列表和接口关联 nat outbound acl-number interface删除访问控制列表和接口关联 undo nat outbound acl-number interface缺省情况下，访问控制列表不与任何接口关联。

4. 配置内部服务器增加一个内部服务器nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }删除一个内部服务器undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }需要注意的是：global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。

NA T 拓扑图如下所示：Client_pc RTBRTA说明：由于条件有限，所以这里直接把一个路由器当做PC 来做，给定路由器RT1更改其名字为client_pc ，设置其与RTA 直连的接口的ip ，并配置默认路由到RTA 上去。

客户PC 配置如下所示：<RT1>sysSystem View: return to User View with Ctrl+Z.[RT1]sysname client_pc[client_pc]interface Serial 0/2/0[client_pc-Serial0/2/0]ip address 10.0.0.1 24[client_pc-Serial0/2/0]quit[client_pc]ip route-static 0.0.0.0 0 10.0.0.254%Oct 11 19:43:54:266 2011 client_pc IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UPRTA 配置如下所示：<RT2>sysSystem View: return to User View with Ctrl+Z.[RT2]sysname RTA[RTA]interface Serial 0/2/0[RTA-Serial0/2/0]ip address 10.0.0.254 24[RTA-Serial0/2/0]%Oct 11 19:44:09:563 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTA-Serial0/2/0]quit[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]ip address 198.76.28.1 24[RTA]nat address-group 1 198.76.28.11 198.76.28.11[RTA]acl number 2000[RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255[RTA-acl-basic-2000]quit[RTA]ip route-static 0.0.0.0 0 198.76.28.2[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]nat outbound 2000 address-group 1[RTA-Serial0/2/2]quit[RTA]%Oct 11 19:46:16:813 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/2 is UPRTB配置如下所示：<RT3>sysSystem View: return to User View with Ctrl+Z.[RT3]sys[RT3]sysname RTB[RTB]interface Serial 0/2/0[RTB-Serial0/2/0]ip address 198.76.28.2 24[RTB-Serial0/2/0]%Oct 11 19:46:05:78 2011 RTB IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTB-Serial0/2/0]quit[RTB]interface LoopBack 0[RTB-LoopBack0]ip address 198.76.29.1 32[RTB-LoopBack0]quit用客户机ping外网地址测试配置结果：[client_pc]ping 198.76.29.1PING 198.76.29.1: 56 data bytes, press CTRL_C to breakReply from 198.76.29.1: bytes=56 Sequence=1 ttl=254 time=4 ms Request time outReply from 198.76.29.1: bytes=56 Sequence=3 ttl=254 time=10 ms Reply from 198.76.29.1: bytes=56 Sequence=4 ttl=254 time=5 ms Reply from 198.76.29.1: bytes=56 Sequence=5 ttl=254 time=60 ms--- 198.76.29.1 ping statistics ---5 packet(s) transmitted4 packet(s) received20.00% packet lossround-trip min/avg/max = 4/19/60 ms[client_pc]查看NAT转换状态如下所示：[RTA]display nat statisticstotal PAT session table count: 1total NO-PAT session table count: 0total SERVER session table count: 0total STATIC session table count: 0total FRAGMENT session table count: 0total session table count HASH by Internet side IP: 0active PAT session table count: 1active NO-PAT session table count: 0active FRAGMENT session table count: 0active session table count HASH by Internet side IP: 0[RTA]display nat sessThere are currently 1 NAT session:Protocol GlobalAddr Port InsideAddr Port DestAddr Port1 198.76.28.11 12288 10.0.0.1 256 198.76.29.1 256 VPN: 0, status: 11, TTL: 00:01:00, Left: 00:00:46[RTA]。

H3C之AR18路由器设置实例 --双出口链路备份规范设置 - 华三-悠悠思科华为网络技术门户双出口链路规范设置双出口举办主备备份在一般呈此刻到一个ISP有两条链路，一条带宽较量宽，一条带宽较量低的情形下。

下面就两种常见的组网给出设置实例。

# 设置自动侦测组1，侦测主用链路的对端地点是否可达，侦测隔断为5s。

detect-group 1detect-list 1 ip address 142.1.1.1timer loop 5## 设置接口应用NAT时引用的ACL。

acl number 2001rule 10 permit source 192.168.1.0 0.0.0.255## 设置在接口上应用的过滤法则，主要用于进攻防御，猛烈发起设置。

acl number 3001rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-nsrule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgmrule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 142.1.1.2 0rule 3000 deny ipacl number 3002rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 162.1.1.2 0rule 3000 deny ipacl number 3003rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2010 deny ip source 192.168.1.1 0rule 2030 permit ip source 192.168.1.0 0.0.0.255rule 3000 deny ip## 设置广域网接口E1/0，对入报文举办过滤（所有出报文均需要做NAT时可以差池入报文举办过滤），对出报文举办NAT。

4.3 NAT的配置NAT配置包括：配置地址池配置Easy IP配置静态地址转换配置多对多地址转换配置NAPT配置内部服务器配置地址转换应用层网关配置内部主机通过域名区分并访问其对应的内部服务器配置地址转换有效时间配置最大连接数限制配置报文匹配方式配置地址转换表项的老化刷新速度4.3.1 配置地址池地址池是一些连续的IP地址集合，当内部数据包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。

表4-1 配置地址池操作命令定义一个地址池nat address-group group-number start-addr end-addr删除一个地址池undo nat address-group group-number 说明：NAT地址池中的地址不应包含公网主机已使用的地址，否则会造成地址冲突。

如果防火墙仅提供Easy IP功能，则不需要配置NAT地址池，直接使用接口地址作为转换后的IP地址。

当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

地址池长度（地址池中包含的所有地址个数）不能超过255个地址。

4.3.2 配置地址转换将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。

这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址（或接口地址）”。

当内部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接口地址）进行转换。

不同形式的地址转换，配置方法稍有不同。

1. Easy IP如果地址转换命令不带address-group参数，即仅使用nat outbound acl-number命令，则实现了easy-ip的特性。

地址转换时，直接使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。

表4-2 配置Easy IP2. 使用指定loopback接口进行地址转换表4-3 使用指定loopback接口进行地址转换匹配访问控制列表的数据报文的源地址将转换为指定的loopback接口的IP地址。

H3C路由NAT配置预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制[H3C路由]H3C路由NAT配置1. 配置地址池定义一个地址池nat address-group start-addr end-addr pool-name删除一个地址池undo nat address-group pool-name每个地址池中的地址必须是连续的，每个地址池内最多可定义64 个地址。

需要注意的是：当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

2. 配置访问控制列表和地址池关联增加访问控制列表和地址池关联nat outbound acl-number address-group pool-name删除访问控制列表和地址池关联undo nat outbound acl-number address-group pool-name 缺省情况下，访问控制列表不与任何地址池关联。

3. 配置访问控制列表和接口关联（EASY IP 特性）增加访问控制列表和接口关联nat outbound acl-number interface删除访问控制列表和接口关联 undo nat outbound acl-number interface缺省情况下，访问控制列表不与任何接口关联。

4. 配置内部服务器增加一个内部服务器nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }删除一个内部服务器undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }需要注意的是：global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。

NAT Outbound+NAT Server典型配置举例配置NAT Outbound可以实现企业某些内网用户访问公网，配置NAT Server可以实现通过域名或者公网地址访问内网服务器，配置域内NAT可以实现同一安全区域的用户通过域名或者公网地址互访。

组网需求如图1所示，某企业在企业内网与公网之间部署了一台USG5300。

USG5300三个接口分别位于Trust、DMZ和Untrust安全区域，其中企业所有用户在Trust安全区域，在DMZ安全区域部署FTP服务器和Web服务器供企业内部用户和公网用户访问，公网属于Untrust安全区域。

图1 NAT Outbound+NAT Server典型配置举例组网图具体需求如下：∙需求一：企业内网10.1.1.10/24～10.1.1.20/24的用户可以访问公网，其他内网用户不允许访问公网。

∙需求二：企业内网所有用户可以通过域名访问DMZ安全区域的Web服务器，通过公网IP地址访问FTP服务器。

∙需求三：公网用户可以通过域名访问DMZ安全区域的Web服务器。

需求四：DMZ安全区域的服务器之间可以使用域名或者公网地址互相访问，比如FTP服务器可以采用域名访问Web服务器。

数据规划NAT Outbound+NAT Server典型配置举例的数据规划如表1所示。

配置思路1.配置USG5300的接口IP地址并将接口加入相应安全区域。

2.配置域间防火墙策略。

3.配置Trust到Untrust的NAT Outbound，实现需求一。

4.配置NAT Server，实现需求二和需求三。

5.配置DMZ的域内NAT，实现需求四。

操作步骤1.配置USG5300的接口IP地址并将接口加入对应安全区域。

# 配置USG5300接口IP地址。

<USG5300> system-view[USG5300] interface GigabitEthernet 0/0/0[USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 24[USG5300-GigabitEthernet0/0/0] quit[USG5300] interface GigabitEthernet 0/0/1[USG5300-GigabitEthernet0/0/1] ip address 202.168.1.1 24[USG5300-GigabitEthernet0/0/1] quit[USG5300] interface GigabitEthernet 0/0/2[USG5300-GigabitEthernet0/0/2] ip address 192.168.1.1 24[USG5300-GigabitEthernet0/0/2] quit# 将USG5300接口加入安全区域。