史上最详细H3C路由器NAT典型配置案例

欧阳学文创编路由器置案列（史上最详细）欧阳学文神马等网络程师日常实施运维必备，你懂的。1.11NAT典型配置例1.11.1内网用户通过NAT地址访问外网（静态地转换）1.组网需求内部网络用户/24使用外网地00访问Internet2.组网图图15静地址转换典型配置组网图3.配置步骤#按照组网配置各接口的IP地址，具体配置程略。#配置内网IP地址到外网地址00之的一对一静态地址转映射。欧阳学文创编

欧阳学文创编<Router>systemview[Router]natstaticoutbound00#使置的态地址转换在接口GigabitEthernet1/2上生效。[Router]interfacegigabitethernet1/2[RouterGigabitEthernet1/2]natstaticenable[RouterGigabitEthernet1/2]quit4.验证配置#以上配置成后，内网主机可以访问外网服务器。通查看如下显示信息，可验证以上配置成功。[Router]displaynatstaticStaticNATmappings:Thereare1outboundstaticNATmappings.IPtoIP:Local:GlobalIP:00InterfacesenabledwithstaticNAT:Thereare1interfacesenabledwithstaticNAT.欧阳学文创编

欧阳学文创编Interface:#通以下示命令，可以看到Host访问某外网服务器时生成NAT会话信息。[Router]displaynatsessionInitiator:SourceIP/port:/42496DestinationIP/port:11/2048VPNinstance/VLANID/VLLID://Protocol:ICMP(1)Responder:SourceIP/port:11/42496DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:ICMP(1)State:ICMP_REPLYApplication:INVALIDStarttime:081609:30:49TTL:27sInterface(in):欧阳学文创编

欧阳学文创编Interface(out):GigabitEthernet1/2Initiator>Responder:5packets420bytesResponder>Initiator:5packets420bytesTotalsessionsfound:11.11.2内网用户通过NAT地址访问外网（地址不叠）1.组网需求··

某公司内网使用的IP地址为/16。该公司拥有和两个外网IP地址。需要实现，内部网络/24网的用户可以访问Internet，其网段的户不能访问Internet。使用的外网地址为。2.组网图图16内用户通过NAT访问外网（地址不重叠）3.配置步骤#按照组网配置各接口的IP地址，具体配置程略。#配置地址组0，包含个外地址和。<Router>systemview欧阳学文创编

欧阳学文创编[Router]nataddressgroup0[Routernataddressgroup0]address[Routernataddressgroup0]quit#配置2000，仅允许内部网络中网段的用户报文进行地址换。[Router]aclnumber2000[Routeraclbasic2000]permitsource55[Routeraclbasic2000]#在接口GigabitEthernet1/2上配置出方向动态地址转，允许使用地址组0中地址对匹配2000的文进行源地址转换，并在转换程中使用端口信息。[Router]interfacegigabitethernet1/2[RouterGigabitEthernet1/2]natoutbound2000addressgroup0[RouterGigabitEthernet1/2]quit4.验证配置以上配置完成后，HostA能够访问server，HostB和HostC法访问WWWserver。通过查看如下显示息，可以验证以上配置成功欧阳学文创编

欧阳学文创编[Router]displaynatallNATaddressgroupinformation:Thereare1NATaddressgroups.GroupNumberStartAddressEndAddress0NAToutboundinformation:Thereare1NAToutboundrules.Interface:ACL:Address0Portpreserved:NOPAT:NReversible:NNATlogging:Logenable:DisabledFlowbegin:Flowend:Flowactive:DisabledNATmappingbehavior:Mappingmode:andPortDependent:欧阳学文创编

欧阳学文创编NATALG:DNS:EnabledFTP:EnabledH323:EnabledICMPERROR:Enabled#通过以下示命令，可以看到HostA访问server时生成NAT会话信息。[Router]displaynatsessionInitiator:SourceIP/port:0/52992DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:ICMP(1)Responder:SourceIP/port:0/4DestinationIP/port:/0VPNinstance/VLANID/VLLID://Protocol:ICMP(1)欧阳学文创编

欧阳学文创编State:ICMP_REPLYApplication:INVALIDStarttime:081514:53:29TTL:12sInterface(in):Interface(out):GigabitEthernet1/2Initiator>Responder:1packets84bytesResponder>Initiator:1packets84bytesTotalsessionsfound:11.11.3内网用户通过NAT地址访问外网（地址重）1.组网需求·

某公司内网网段地址，网段与要访问的外网Web务器所在网段地址重叠。·

该公司拥有和两个外网IP地址。需要实现，内网用户以通过域名访问外网的Web服器。2.组网图图17内用户通过NAT访问外网（地址重叠）3.配置思路欧阳学文创编

欧阳学文创编这是一个典型的双向NAT应用，具体配置思路如下。·

内网主机通过域名访外网Web服务器时，首先需要向外网的DNS服务器发起DNS查请求。由于外网DNS服务器回复给内网主的DNS应答报文载荷中的携带的Web务器地址与内网主机地址重，因此NAT设备需要将载荷中的Web服务器地址转换为动态分配的一个NAT地址。动态地址分配可通过入方向动态地址转换实现，载荷中的地址转换需要过DNSALG功能实现。·

内网主机得到外网Web服器的IP地址之后该地址为临时分配的NAT地址），通过该地址访问外Web服务器。由于内网主机地址与外网Web服务器的真实地址重叠，因此也需要为动态分配一个的NAT地址，可以通过出方向动态地址转实现。·

外网Web服器对应的NAT地在NAT设上有路由，因此需要手工加静态路由，使得目的地址为外网服务器NAT地址的报文出接口为GigabitEthernet1/2。4.配置步骤#按照组网配置各接口的IP地址，具体配置程略。欧阳学文创编

欧阳学文创编#开启DNS的ALG功能。<Router>systemview[Router]natalgdns#配置2000，仅允许网段的用户报文进行地址转换。[Router]aclnumber2000[Routeraclbasic2000]permitsource55[Routeraclbasic2000]#创建地址1。[Router]nataddressgroup1#添加地址成员[Routernataddressgroup1]address[Routernataddressgroup1]quit#创建地址2。[Router]nataddressgroup2#添加地址成员[Routernataddressgroup2]address[Routernataddressgroup2]quit欧阳学文创编

欧阳学文创编#在接口GigabitEthernet1/2上配置入方向动态地址转，允许使用地址组1中的地址对DNS应文载荷中的外网地址进行转换，并在换过程中不使用端口信息，以及允许反向地址转换。[Router]interfacegigabitethernet1/2[RouterGigabitEthernet1/2]natinbound2000addressgroup1nopatreversible#在接口GigabitEthernet1/2上配置出方向动态地址转，允许使用地址组2中的地址对内网问外网的报文进行源地址转换，并在转换过中使用端口信息。[RouterGigabitEthernet1/2]natoutbound2000addressgroup2[RouterGigabitEthernet1/2]quit#配置态路目外器NAT地，接GigabitEthernet1/2，下一地址为本例中的直连下一跳地址，际使用中请以具体组网情况为）。[Router]iproutestatic32gigabitethernet1/25.验证配置欧阳学文创编

欧阳学文创编以上配置完成后，HostA能够通过域名访问Webserver通过查看如下显示信息可以验证以上配置成功。[Router]displaynatallNATaddressgroupinformation:Thereare2NATaddressgroups.GroupNumberStartAddressEndAddress12NATinboundinformation:Thereare1NATinboundrules.Interface:ACL:Address1Addroute:NNOPAT:YReversible:YNAToutboundinformation:Thereare1NAToutboundrules.Interface:ACL:Address2Portpreserved:NOPAT:NReversible:N欧阳学文创编

欧阳学文创编NATlogging:Logenable:DisabledFlowbegin:Flowend:Flowactive:DisabledNATmappingbehavior:Mappingmode:andPortDependent:NATALG:DNS:EnabledFTP:EnabledH323:EnabledICMPERROR:Enabled#通过以下示命令，可以看到HostA访问server时生成NAT会话信息。[Router]displaynatsessionInitiator:SourceIP/port:0/1694欧阳学文创编

欧阳学文创编DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:TCP(6)Responder:SourceIP/port:0/8080DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:Starttime:081514:53:29TTL:Interface(in):Interface(out):GigabitEthernet1/2Initiator>Responder:7packets308bytesResponder>Initiator:5packets312bytesTotalsessionsfound:11.11.4外网用户通过外网地址访问内网服器1.组网需求欧阳学文创编

欧阳学文创编某公司内部对外提供Web、FTP和SMTP服务而且提供两台Web服器。公司内部网址为/16。其，内部FTP服务器地址为/16，内部Web服务器1的IP地址为内部Web服务器2的IP地址为/16，内部SMTP

服务器IP

地址为/16。公司拥有至三个公网IP地址。需要实现如下能：··

外部的主机可以访问部的服务器。选用作为公司对外提供服务的IP址，服务器对外采用8080口。2.组网图图18外用户通过外网地址访问内网服务器3.配置步骤#按照组网配置各接口的IP地址，具体配置程略。#进入接口。<Router>systemview[Router]interfacegigabitethernet1/2欧阳学文创编

欧阳学文创编#配置内FTP服务，允许外网主机用地址、端口号21问内网FTP服务器。[RouterGigabitEthernet1/2]natserverprotocoltcpglobal21insideftp#配置内部Web服务器1，允许外网主机使用址、端口号80问内网Web服务器1。[RouterGigabitEthernet1/2]natserverprotocoltcpglobal80insidewww#配置内部Web服务器2，允许外网主机使用址、端口号8080访问内网Web务器2。[RouterGigabitEthernet1/2]natserverprotocoltcpglobal8080insidewww#配置内部SMTP服务器，允许外网主机使用地址以SMTP议定义的端口访问内网SMTP服务器。[RouterGigabitEthernet1/2]natserverprotocoltcpglobalsmtpinsidesmtp[RouterGigabitEthernet1/2]quit欧阳学文创编

欧阳学文创编4.验证配置以上配置完成后，外Host能过地址访问各内网服务器。通过查看下显示信息，可以验证以上配置成功。[Router]displaynatallNATinternalserverinformation:Thereare4internalservers.Interface:Protocol:6(TCP)GlobalIP/port:/21LocalIP/port:/21Interface:Protocol:6(TCP)GlobalIP/port:/25LocalIP/port:/25Interface:Protocol:6(TCP)GlobalIP/port:/80欧阳学文创编

欧阳学文创编LocalIP/port:/80Interface:Protocol:6(TCP)GlobalIP/port:LocalIP/port:/80NATlogging:Logenable:DisabledFlowbegin:Flowend:Flowactive:DisabledNATmappingbehavior:Mappingmode:andPortDependent:NATALG:DNS:EnabledFTP:EnabledH323:EnabledICMPERROR:Enabled欧阳学文创编

欧阳学文创编#通过以下示命令，可以看到Host访问FTPserver时生成NAT话信息。[Router]displaynatsessionInitiator:SourceIP/port:0/1694DestinationIP/port:/21VPNinstance/VLANID/VLLID://Protocol:TCP(6)Responder:SourceIP/port:/21DestinationIP/port:0/1694VPNinstance/VLANID/VLLID://Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:FTPStarttime:081514:53:29TTL:Interface(in):Interface(out):GigabitEthernet1/1欧阳学文创编

欧阳学文创编Initiator>Responder:7packets308bytesResponder>Initiator:5packets312bytesTotalsessionsfound:11.11.5外网用户通过域名访问内网服务器地址不重叠）1.组网需求·

某公司内部对外提供Web服务Web服务器地为/24。·

该公司在内网有一台DNS服务器，IP地址为/24，用于解析服器的域名。·

该公司拥有两个外网IP地址：和。需要实现，外网主机以通过域名访问内网的Web服器。2.组网图图19外用户通过域名访问内网服务器（地址不叠）3.配置思路·

外网主机通过域名访Web服务器，首先需要通过访问内网DNS服器获取Web服务器的IP地，因此需要欧阳学文创编

欧阳学文创编通过配置NAT内部服务器DNS服务器的内网IP地DNS服务端口射为一个外网地址和端口。·DNS服务回应给外网主机的DNS报文载荷中携带了Web服务的内网IP地址，因此需要将DNS报文载荷中的内网IP址转换为一个外网IP地址。外地址分配可以通过出方向动态地转换功能实现，转换载荷信息可以通过DNSALG功能实现。4.配置步骤#按照组网配置各接口的IP地址，具体配置程略。#开启DNS协的ALG能。<Router>systemview[Router]natalgdns#配置2000，允许对部网络中的文进行地址转换。[Router]aclnumber2000[Routeraclbasic2000]permitsource[Routeraclbasic2000]#创建地址1。欧阳学文创编

欧阳学文创编[Router]nataddressgroup1#添加地址成员[Routernataddressgroup1]address[Routernataddressgroup1]quit#在接口GigabitEthernet1/2上配置NAT内部服务器，允许外网主机使用地址访问内网DNS服。[Router]interfacegigabitethernet1/2[RouterGigabitEthernet1/2]natserverprotocoludpglobalinside#在接口GigabitEthernet1/2上配置出方向动态地址转，允许使用地址组1中的地址对DNS应文载荷中的内网地址进行转换，并在换过程中不使用端口信息，以及允许反向地址转换。[RouterGigabitEthernet1/2]natoutbound2000addressgroup1nopatreversible[RouterGigabitEthernet1/2]quit5.验证配置欧阳学文创编

欧阳学文创编以上配置完成后，外Host能够通过域名访问内网Webserver。通过查看如下显示信息，可以验证以配置成功。[Router]displaynatallNATaddressgroupinformation:Thereare1NATaddressgroups.GroupNumberStartAddressEndAddress1NAToutboundinformation:Thereare1NAToutboundrules.Interface:ACL:Address1Portpreserved:NOPAT:YReversible:YNATinternalserverinformation:Thereare1internalservers.Interface:Protocol:17(UDP)GlobalIP/port:/53LocalIP/port:/53欧阳学文创编

欧阳学文创编NATlogging:Logenable:DisabledFlowbegin:Flowend:Flowactive:DisabledNATmappingbehavior:Mappingmode:andPortDependent:NATALG:DNS:EnabledFTP:EnabledH323：EnabledICMPERROR:Enabled#通过以下示命令，可以看到Host访问Webserver时成NAT话信息。[Router]displaynatsessionInitiator:SourceIP/port:/1694欧阳学文创编

欧阳学文创编DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:TCP(6)Responder:SourceIP/port:/8080DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:TCP(6)State:TCP_ESTABLISHEDApplication:Starttime:081514:53:29TTL:Interface(in):Interface(out):GigabitEthernet1/1Initiator>Responder:7packets308bytesResponder>Initiator:5packets312bytesTotalsessionsfound:11.11.6外网用户通过域名访问内网服务器地址重叠）1.组网需求欧阳学文创编

欧阳学文创编··

某公司内网使用的IP地址为/24。该公司内部对外提供Web服务Web服务器地为/24。·

该公司在内网有一台DNS服务器，IP地址为/24，用于解析服器的域名。·

该公司拥有三个外网IP地址：、和。需要实现，外网主机以通过域名访问与其地址重叠的内网服务。2.组网图图110外用户通过域名访问内网服务器（地址重叠3.配置思路这是一个典型的双向NAT应用，具体配置思路如下。·

外网主机通过域名访Web服务器，首先需要访问内部的DNS服务获取Web服务器的IP地，因此需要通过配置NAT内部服务器将DNS服务器的网IP地址和DNS服务端口射为一个外网地址和端口。欧阳学文创编

欧阳学文创编·DNS服务回应给外网主机的DNS报文载荷中携带了Web服务的内网IP地址，该地址与外网机地址重叠，因此在出方向上要为内网Web服务器动态分配一NAT地址，并将载荷中的地址转换为该地址NAT址分配可以通过出方向动地址转换功能实现，转换载荷信息可以通过DNSALG功能实现。·

外网主机得到内网Web服器的IP地址之后该地址为NAT地址），使用该地址访问内网Web服务器，因为外网主机的地址与内Web服务的真实地址重叠，因此在入方向上也需要为网主机动态分配一个NAT地址，可以通过入方向动态地转换实现。·NAT设备上没有目的址为外网主机对应NAT地址的路由，因此需要手添加静态路由，使得目的地址为外网主机NAT地址的报文的出接口为GigabitEthernet1/2。4.配置步骤#按照组网配置各接口的IP地址，具体配置程略。#开启DNS协的ALG能。<Router>systemview欧阳学文创编

欧阳学文创编[Router]natalgdns#配置2000，允许对部网络中/24网段的报文进行地址转换。[Router]aclnumber2000[Routeraclbasic2000]permitsource55[Routeraclbasic2000]#创建地址1。[Router]nataddressgroup1#添加地址成员[Routernataddressgroup1]address[Routernataddressgroup1]quit#创建地址2。[Router]nataddressgroup2#添加地址成员[Routernataddressgroup2]address[Routernataddressgroup2]quit#在接口GigabitEthernet1/2上配置NAT内部服务器，允许外网主机使用地址访问内网DNS服。欧阳学文创编

欧阳学文创编[Router]interfacegigabitethernet1/2[RouterGigabitEthernet1/2]natserverprotocoludpglobalinsidedomain#在接口GigabitEthernet1/2上配置出方向动态地址转，允许使用地址组1中的地址对DNS应文载荷中的内网地址进行转换，并在换过程中不使用端口信息，以及允许反向地址转换。[RouterGigabitEthernet1/2]natoutbound2000addressgroup1nopatreversible#在接口GigabitEthernet1/2上配置入方向动态地址转，允许使用地址组2中的地址对外网问内网的报文进行源地址转换，并在转换过中使用端口信息。[RouterGigabitEthernet1/2]natinbound2000addressgroup2[RouterGigabitEthernet1/2]quit#配到达地址的静态路由，出接口为，下一跳地址为为例中的直连下一跳地址实际使用中请以具体组网情况为准）。欧阳学文创编

欧阳学文创编[Router]iproutestatic32gigabitethernet1/25.验证配置以上配置完成后，外Host能够过域名访问内网相同IP地址的Webserver。通过查看如下显信息，可以验证以上配置成功。[Router]displaynatallNATaddressgroupinformation:Thereare2NATaddressgroups.GroupNumberStartAddressEndAddress12NATinboundinformation:Thereare1NATinboundrules.Interface:ACL:Address2Addroute:NNOPAT:NReversible:NNAToutboundinformation:Thereare1NAToutboundrules.欧阳学文创编

欧阳学文创编Interface:ACL:Address1Portpreserved:NOPAT:YReversible:YNATinternalserverinformation:Thereare1internalservers.Interface:Protocol:17(UDP)GlobalIP/port:/53LocalIP/port:/53NATlogging:Logenable:DisabledFlowbegin:Flowend:Flowactive:DisabledNATmappingbehavior:Mappingmode:andPortDependent:NATALG:欧阳学文创编

欧阳学文创编DNS:EnabledFTP:EnabledH323：EnabledICMPERROR:Enabled#通过以下示命令，可以看到Host访问Webserver时成NAT话信息。[Router]displaynatsessionInitiator:SourceIP/port:/1694DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:TCP(6)Responder:SourceIP/port:/8080DestinationIP/port:VPNinstance/VLANID/VLLID://Protocol:TCP(6)State:TCP_ESTABLISHED欧阳学文创编

欧阳学文创编Application:Starttime:081514:53:29TTL:Interface(in):Interface(out):GigabitEthernet1/1Initiator>Responder:7packets308bytesResponder>Initiator:5packets312bytesTotalsessionsfound:11.11.7内网用户通过NAT地址访问内网服务器1.组网需求·

某公部中有一台FTP服务器地址为/24。·

该公司拥有两个外网IP地址：和。需要实现如下功能：·器。·器。

外网主机可以通过访问内网中的FTP服务内网主机也可以通过访问内网中的FTP服欧阳学文创编

欧阳学文创编2.组网图图111内用户通过NAT地址问内服务器3.配置思路该需求为典型的CS模式的NAThairpin应用，具体配置思路如下。·

为使外网主机可以通外网地址访问内网FTP务器，需要在外网侧接配置NAT部服务器。·

为使内网主机通过外地址访问内网FTP服务，需要在内网侧接口使能NAThairpin功能。其中，目的IP址转换通过匹配外网侧口上的内部服务器配置来完成，源地址转换通过匹配内服务器所在接口上的出方向动态地址转换或出方向静态址转换来完成，本例中采用出方向动态地址转换配置。4.配置步骤#按照组网配置各接口的IP地址，具体配置程略。#配置2000，允许对部网络中/24网段的报文进行地址转换。<Router>systemview欧阳学文创编

欧阳学文创编[Router]aclnumber2000[Routeraclbasic2000]permitsource55[Routeraclbasic2000]#在接口GigabitEthernet1/2上配置NAT内部服务器，允许外网主机使用地址问内网FTP服器，同时使得内网主机访问内网FTP服务器的报文可以进行目的址转换。[Route