ICG之NAT配置指导.docVIP

ICG之NAT配置指导 NAT简介 NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。凭借NAT功能，私有网络中的大量主机可以用少量的公网IP地址访问公共网络，以节省成本。由于IP报文经过NAT处理后，报文源IP地址被替换，私网内主机对公网不可见，提高了私网内主机的安全性。 NAT配置指导 基本配置步骤 NAT根据应用场景不同分为三种情况：nat outbound、nat server和nat static。基本配置顺序分别如下： nat outbound 1）、配置acl acl number 3000 rule 0 permit ip source 0 rule 10 deny ip 2）、配置NAT转换地址池 nat address-group 1 3）、在外网接口上应用NAT功能 interface Ethernet0/0 port link-mode route nat outbound 3000 address-group 1 ip address nat server 直接在公网接口下配置nat server映射。 interface Ethernet0/0 port link-mode route nat server 1 protocol tcp global current-interface ftp inside ftp ip address nat static 1）、配置静态NAT映射表 nat static net-to-net 0 global 40 2）、在公网接口应用静态NAT映射表 interface Ethernet0/0 port link-mode route nat outbound static ip address 40 基础配置举例： 以下配置举例的组网如下： 如图所示，ICG 接口Eth0/1为内网接口，IP地址为，接口Eth0/0为外网接口，IP地址为11。 其中内网地址为－55 内网主机使用公网接口地址访问外网 用途：在只有一个公网地址的情况下，使内网中的所有PC都可以上网。例如：内网主机使用eth 0/0接口的地址访问外网。 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit ip 端口配置，在外网接口配置NAT地址映射 [H3C]int eth 0/0 [H3C-Ethernet0/0]nat outbound 3000 内网主机使用地址池中的地址访问外网 用途：在较大的内网环境中，往往一个公网地址不够使用，需要使用多个公网地址，此时把公网地址池放入一个地址池中使用。例如：内网主机使用21～25范围内的地址访问外网。 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit ip NAT地址池配置： [H3C]nat address-group 1 21 25 端口配置，在外网接口配置NAT地址映射 [H3C]int eth0/0 [H3C-Ethernet0/0]nat outbound 3000 address-group 1 不同网段的内网主机使用不同的公网地址访问外网 用途：不同网段的内网主机使用不同的公网地址访问外网，方便管理。例如： /24网段的内网主机使用公网地址22访问外网，/24网段的内网主机使用公网地址23访问外网。 acl配置： [H3C]acl n 3000 [H3C-acl-adv-3000]rule permit ip source 55 [H3C-acl-adv-3000]rule deny ip [H3C]acl n 3001 [H3C-acl-adv-3001]rule per ip sour 55 [H3C-acl-adv-3001]rule deny ip NAT地址池配置： [H3C]nat address-group 1 22 22 [H3C]nat address-group 2 23 23 端口配置，在外网接口配置NAT地址映射 [H3C]int eth0/0 [H3C-Ethernet0/0]nat outbound 3000 address-group 1 [H3C-Ethernet0/0]nat out 3001 address-group 2 内网主机给外网提供服务 用途：内网主机给外网提供服务。例如：内网地址为的主机使用路由器公网接口eth0/0的地址给外网提供FTP服务。 端口配置，在路由器公网接口配置NA