ICG之NAT配置指导 NAT简介 NAT（NetworkAddressTranslation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。凭借NAT功能，私有网络中的大量主机可以用少量的公网IP地址访问公共网络，以节省成本。由于IP报文经过NAT处理后，报文源IP地址被替换，私网内主机对公网不可见，提高了私网内主机的安全性。 NAT配置指导 基本配置步骤 NAT根据应用场景不同分为三种情况：natoutbound、natserver和natstatic。基本配置顺序分别如下： natoutbound 1）、配置acl aclnumber3000 rule0permitipsource1.0.0.10 rule10denyip 2）、配置NAT转换地址池 nataddress-group110.10.1.110.1.1.4 3）、在外网接口上应用NAT功能 interfaceEthernet0/0 portlink-moderoute natoutbound3000address-group1 ipaddress10.10.1.1255.255.255.0 natserver 直接在公网接口下配置natserver映射。 interfaceEthernet0/0 portlink-moderoute natserver1protocoltcpglobalcurrent-interfaceftpinside192.168.0.1ftp ipaddress10.10.1.1255.255.255.0 natstatic 1）、配置静态NAT映射表 natstaticnet-to-net192.168.0.1192.168.0.10global10.10.2.0255.255.255.240 2）、在公网接口应用静态NAT映射表 interfaceEthernet0/0 portlink-moderoute natoutboundstatic ipaddress10.10.1.1255.255.255.240 基础配置举例： 以下配置举例的组网如下： 如图所示，ICG接口Eth0/1为内网接口，IP地址为192.168.0.1，接口Eth0/0为外网接口，IP地址为135.4.178.211。 其中内网地址为192.168.0.2－192.168.0.255 内网主机使用公网接口地址访问外网 用途：在只有一个公网地址的情况下，使内网中的所有PC都可以上网。例如：内网主机使用eth0/0接口的地址访问外网。 acl配置： [H3C]acln3000 [H3C-acl-adv-3000]rulepermitip 端口配置，在外网接口配置NAT地址映射 [H3C]inteth0/0 [H3C-Ethernet0/0]natoutbound3000 内网主机使用地址池中的地址访问外网 用途：在较大的内网环境中，往往一个公网地址不够使用，需要使用多个公网地址，此时把公网地址池放入一个地址池中使用。例如：内网主机使用135.4.178.221～135.4.178.225范围内的地址访问外网。 acl配置： [H3C]acln3000 [H3C-acl-adv-3000]rulepermitip NAT地址池配置： [H3C]nataddress-group1135.4.178.221135.4.178.225 端口配置，在外网接口配置NAT地址映射 [H3C]inteth0/0 [H3C-Ethernet0/0]natoutbound3000address-group1 不同网段的内网主机使用不同的公网地址访问外网 用途：不同网段的内网主机使用不同的公网地址访问外网，方便管理。例如：10.10.1.0/24网段的内网主机使用公网地址135.4.178.222访问外网，10.10.12.0/24网段的内网主机使用公网地址135.4.178.223访问外网。 acl配置： [H3C]acln3000 [H3C-acl-adv-3000]rulepermitipsource10.10.1.00.0.0.255 [H3C-acl-adv-3000]ruledenyip [H3C]acln3001 [H3C-acl-adv-3001]ruleperipsour10.10.12.00.0.0.255 [H3C-acl-adv-3001]ruledenyip NAT地址池配置： [H3C]nataddress-group1135.4.178.222135.4.178.222 [H3C]nataddress-group2135.4.178.223135.4.178.