[史上最详细]H3C路由器NAT典型配置案例

目录1 NAT配置 ············································································································································ 1-11.1 概述 ·················································································································································· 1-11.2 配置NAT ··········································································································································· 1-11.2.1 配置概述 ································································································································ 1-11.2.2 配置动态地址转换 ·················································································································· 1-21.2.3 DMZ主机································································································································· 1-41.2.4 配置内部服务器······················································································································ 1-51.2.5 使能应用层协议检测 ·············································································································· 1-71.2.6 配置连接数限制······················································································································ 1-81.3 NAT典型配置举例 ····························································································································· 1-81.3.1 私网访问公网典型配置举例 ··································································································· 1-81.3.2 内部服务器典型配置举例 ····································································································· 1-101 NAT配置Web页面提供的NAT配置功能如下：•配置动态地址转换•配置DMZ主机•配置内部服务器•配置应用层协议检测功能•配置连接数限制功能1.1 概述NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

H3C MSR 路由器PPPOE+NAT+ 策略路由+QOS 配置实例[H3C]display current-configuration#version 5.20, Release 1719, Basic#sysname H3C#undo cryptoengine enable#firewall enable#domain default enable system#telnet server enable#qos carl 1 destination-ip-address range 192.168.3.2 to 192.168.3.254 per-addres sqos carl 2 source-ip-address range 192.168.3.2 to 192.168.3.254 per-address qos carl 3 destination-ip-address range 192.168.2.1 to 192.168.2.254 per-addres sqos carl 10 source-ip-address subnet 192.168.3.0 24 per-addressqos carl 20 destination-ip-address subnet 192.168.3.0 24 per-address#acl number 2000rule 0 permit source 192.168.3.0 0.0.0.255acl number 2222rule 0 permit source 192.168.3.0 0.0.0.255rule 5 permit source 192.168.2.0 0.0.0.255#acl number 3001rule 0 permit ip source 192.168.3.1 0.0.0.254acl number 3002rule 0 permit ip source 10.0.1.1 0.0.0.254acl number 3111rule 0 permit ip source 192.168.3.0 0.0.0.254acl number 3112rule 0 permit ip source 192.168.3.1 0.0.0.254acl number 3113rule 0 permit ip destination 192.168.2.0 0.0.0.255acl number 3114rule 5 permit ip source 192.168.3.180 0.0.0.3acl number 3333# vlan 1#conn ecti on-limit policy 1#domai n system access-limit disable state active idle-cut disable self-service-url disable # user-group system#local-user huaweipassword cipher N'C55QK<'=/Q=A Q'MAF4<1!!authorizati on-attribute level 3 service-type telnet# in terface AuxO async mode flow lin k-protocol ppp #in terface Dialerl nat outbou nd 2000 lin k-protocol pppppp pap local-user ************** ip address ppp-n egotiate load-bandwidth 2000 tcp mss 1024 dialer-group 1dialer user ****************dialer-group 1dialer bun dle 1#in terface Dialer2nat outbou nd 2000lin k-protocol pppppp pap local-user **************** ____ip address ppp-n egotiateload-bandwidth 2000tcp mss 1024dialer user **************dialer bun dle 2 in terface Dialer3 nat outbou nd 2000 lin k-protocol pppppp pap local-user **************** ____ip address ppp-n egotiateload-ba ndwidth 2000tcp mss 1024dialer user *************dialer-group 1dialer bun dle 3#in terface Ethernet。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

[H3C路由]H3C路由NAT配置1. 配置地址池定义一个地址池nat address-group start-addr end-addr pool-name删除一个地址池undo nat address-group pool-name每个地址池中的地址必须是连续的，每个地址池内最多可定义64 个地址。

需要注意的是：当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

2. 配置访问控制列表和地址池关联增加访问控制列表和地址池关联nat outbound acl-number address-group pool-name删除访问控制列表和地址池关联undo nat outbound acl-number address-group pool-name缺省情况下，访问控制列表不与任何地址池关联。

3. 配置访问控制列表和接口关联（EASY IP 特性）增加访问控制列表和接口关联 nat outbound acl-number interface删除访问控制列表和接口关联 undo nat outbound acl-number interface缺省情况下，访问控制列表不与任何接口关联。

4. 配置内部服务器增加一个内部服务器nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }删除一个内部服务器undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }需要注意的是：global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。

NA T 拓扑图如下所示：Client_pc RTBRTA说明：由于条件有限，所以这里直接把一个路由器当做PC 来做，给定路由器RT1更改其名字为client_pc ，设置其与RTA 直连的接口的ip ，并配置默认路由到RTA 上去。

客户PC 配置如下所示：<RT1>sysSystem View: return to User View with Ctrl+Z.[RT1]sysname client_pc[client_pc]interface Serial 0/2/0[client_pc-Serial0/2/0]ip address 10.0.0.1 24[client_pc-Serial0/2/0]quit[client_pc]ip route-static 0.0.0.0 0 10.0.0.254%Oct 11 19:43:54:266 2011 client_pc IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UPRTA 配置如下所示：<RT2>sysSystem View: return to User View with Ctrl+Z.[RT2]sysname RTA[RTA]interface Serial 0/2/0[RTA-Serial0/2/0]ip address 10.0.0.254 24[RTA-Serial0/2/0]%Oct 11 19:44:09:563 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTA-Serial0/2/0]quit[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]ip address 198.76.28.1 24[RTA]nat address-group 1 198.76.28.11 198.76.28.11[RTA]acl number 2000[RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255[RTA-acl-basic-2000]quit[RTA]ip route-static 0.0.0.0 0 198.76.28.2[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]nat outbound 2000 address-group 1[RTA-Serial0/2/2]quit[RTA]%Oct 11 19:46:16:813 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/2 is UPRTB配置如下所示：<RT3>sysSystem View: return to User View with Ctrl+Z.[RT3]sys[RT3]sysname RTB[RTB]interface Serial 0/2/0[RTB-Serial0/2/0]ip address 198.76.28.2 24[RTB-Serial0/2/0]%Oct 11 19:46:05:78 2011 RTB IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTB-Serial0/2/0]quit[RTB]interface LoopBack 0[RTB-LoopBack0]ip address 198.76.29.1 32[RTB-LoopBack0]quit用客户机ping外网地址测试配置结果：[client_pc]ping 198.76.29.1PING 198.76.29.1: 56 data bytes, press CTRL_C to breakReply from 198.76.29.1: bytes=56 Sequence=1 ttl=254 time=4 ms Request time outReply from 198.76.29.1: bytes=56 Sequence=3 ttl=254 time=10 ms Reply from 198.76.29.1: bytes=56 Sequence=4 ttl=254 time=5 ms Reply from 198.76.29.1: bytes=56 Sequence=5 ttl=254 time=60 ms--- 198.76.29.1 ping statistics ---5 packet(s) transmitted4 packet(s) received20.00% packet lossround-trip min/avg/max = 4/19/60 ms[client_pc]查看NAT转换状态如下所示：[RTA]display nat statisticstotal PAT session table count: 1total NO-PAT session table count: 0total SERVER session table count: 0total STATIC session table count: 0total FRAGMENT session table count: 0total session table count HASH by Internet side IP: 0active PAT session table count: 1active NO-PAT session table count: 0active FRAGMENT session table count: 0active session table count HASH by Internet side IP: 0[RTA]display nat sessThere are currently 1 NAT session:Protocol GlobalAddr Port InsideAddr Port DestAddr Port1 198.76.28.11 12288 10.0.0.1 256 198.76.29.1 256 VPN: 0, status: 11, TTL: 00:01:00, Left: 00:00:46[RTA]。

H3C MSR路由器双出口NAT服务器的典型配置?一、需求：MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。

电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（/24）从G5/0访问电信网络，会被电信过滤。

该校内网服务器需要对外提供访问，其域名是3c，对应DNS解析结果是。

先要求电信主机和校园网内部主机都可以通过域名或正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。

设备清单：MSR一台二、拓扑图：三、配置步骤：适用设备和版本：MSR系列、Version , Release 1205P01后所有版本。

四、配置关键点：1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址会被电信给过滤掉，因此必须使用策略路由从G5/1出去；3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略；4) 在G0/0应用2个NAT的作用是使内网可以通过访问访问内部服务器3c，如果只使用NAT Outbound Static，那么内部主机发送HTTP请求的源、目的地址对<, >会变成<, >然后发送给内部服务器，那么内部服务器会把HTTP响应以源、目的地址对<, >直接返回给内部主机（可以经过内部路由不需要经过MSR到达）因此对于内部主机来说始终没有接收到返回的HTTP响应，因此打开网页失败。

解决问题的办法就是让内部服务器返回时经过MSR路由器，让MSR把HTTP响应<, >变成<, >，方法就是再做一次NAT，通过NAT Outbound ACL 3000使HTTP请求变成MSR发送的<, >，这样HTTP响应就会变成<, >发送到MSR，MSR再变成<, >返回给内部主机。

H3C SecPath UTM系列NAT典型配置举例关键词：NAT NAPT摘要：NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。

这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IP地址空间的枯竭。

缩略语：缩略语英文全名中文解释NAPT Network Address Port Translation 网络地址端口转换网络地址转换TranslationNAT NetworkAddress目录1 特性简介 (1)1.1 多对多地址转换及地址转换的控制 (1)1.2 NAPT (1)1.3 Easy IP (2)1.4 内部服务器 (2)2 应用场合 (2)3 注意事项 (2)4 配置举例 (3)4.1 组网需求 (3)4.2 配置思路 (3)4.3 使用版本 (3)4.4 配置步骤 (4)4.4.1 基本配置 (4)4.4.2 配置域和域间策略 (5)4.4.3 配置地址池 (7)4.4.4 配置动态地址转换 (7)4.4.5 配置静态地址转换 (8)4.4.6 配置内部服务器 (9)4.5 验证结果 (9)4.5.1 PAT方式 (9)4.5.2 NO PAT方式 (10)4.5.3 Easy IP方式 (10)4.5.4 静态地址方式 (10)4.5.5 内部服务器方式 (11)5 相关资料 (11)5.1 相关协议和标准 (11)5.2 其它相关资料 (12)1 特性简介NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。

私有IP地址是指内部网络或主机的IP地址，公有IP地址是指在因特网上全球唯一的IP地址。

RFC 1918为私有网络预留出了三个IP地址块，如下：z A类：10.0.0.0～10.255.255.255z B类：172.16.0.0～172.31.255.255z C类：192.168.0.0～192.168.255.255上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP或注册中心申请而在公司或企业内部自由使用。

4.3 NAT的配置NAT配置包括：配置地址池配置Easy IP配置静态地址转换配置多对多地址转换配置NAPT配置内部服务器配置地址转换应用层网关配置内部主机通过域名区分并访问其对应的内部服务器配置地址转换有效时间配置最大连接数限制配置报文匹配方式配置地址转换表项的老化刷新速度4.3.1 配置地址池地址池是一些连续的IP地址集合，当内部数据包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。

表4-1 配置地址池操作命令定义一个地址池nat address-group group-number start-addr end-addr删除一个地址池undo nat address-group group-number 说明：NAT地址池中的地址不应包含公网主机已使用的地址，否则会造成地址冲突。

如果防火墙仅提供Easy IP功能，则不需要配置NAT地址池，直接使用接口地址作为转换后的IP地址。

当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

地址池长度（地址池中包含的所有地址个数）不能超过255个地址。

4.3.2 配置地址转换将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。

这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址（或接口地址）”。

当内部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接口地址）进行转换。

不同形式的地址转换，配置方法稍有不同。

1. Easy IP如果地址转换命令不带address-group参数，即仅使用nat outbound acl-number命令，则实现了easy-ip的特性。

地址转换时，直接使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。

表4-2 配置Easy IP2. 使用指定loopback接口进行地址转换表4-3 使用指定loopback接口进行地址转换匹配访问控制列表的数据报文的源地址将转换为指定的loopback接口的IP地址。