H3C路由器双出口NAT服务器的典型配置

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

双出口映射单网卡服务器解决方案一、解决方案应用场景：出口路由器接两家运营商线路，均使用固定公网地址上外网，内网有一台单网卡的FTP 服务器，现要将其分别映射至两个公网出口，实现外网用户通过公网地址能正常访问FTP 服务器。

二、网络拓扑图：三、解决方案思路：1. 内网用户上公网通过在两个公网口分别做nat outbound，电信出接口配置一条默认路由，网通出接口配置一条优先级低于电信出接口的默认路由并添加目的地址为网通网段的精细路由；2. 若双出口上映射同一个FTP 服务器的私网地址，则可能出现端口被占用的情况，为解决这个问题，给服务器配置两个私网地址，分别用做两个外网口上做nat server 的内部地址：其中电信出口映射的内部地址为192.168.1.253，网通出口映射的内部地址为192.168.1.254；3. 做完以上两个步骤后，电信地址访问电信出口没有问题，网通地址访问网通出口也没有问题，但是网通地址访问电信出口就会出现数据包来回路径不一致的现象：网通地址访问电信接口时，首先电信出接口通过nat server 定向至192.168.1.253，服务器回包时一看源地址为网通地址，就匹配精细路由出去了。

同样的电信地址访问网通出接口也可能出现数据包来回不一致的情况；4. 为解决第3 步出现的问题，通过定义匹配源的策略路由来解决：源为192.168.1.253 目的UnRegistered地址任意的访问下一跳指向电信出口网关，源为192.168.1.254 目的地址任意的访问下一跳指向网通出口网关。

此时网通地址访问电信出接口时，首先电信出接口通过nat server 定向至192.168.1.253，服务器回包时匹配源为192.168.1.253 的策略路由，仍然走电信出接口出去，这样就实现了数据包的来回一致，电信地址访问网通出接口也是一样。

五、测试配置文件出口路由器：MSR30-11#acl number 2000rule 0 permit#acl number 3000 //定义源为192.168.1.253 的ACLrule 0 permit ip source 192.168.1.253 0acl number 3001 //定义源为192.168.1.254 的ACLrule 0 permit ip source 192.168.1.254 0#vlan 1#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#user-group system#local-user adminpassword cipher .]@USE=B,53Q=^Q`MAF4<1!!authorization-attribute level 3service-type telnet#cwmpundo cwmp enable#interface Aux0async mode flowlink-protocol ppp#interface Ethernet0/0 //此接口为出口路由器的内网口port link-mode routeip address 192.168.1.1 255.255.255.0undo ipv6 fast-forwardingip policy-based-route policy //将匹配源地址为服务器私网地址的策略路由下发至内网口#interface Ethernet0/1UnRegisteredport link-mode routeundo ipv6 fast-forwarding#interface Ethernet3/0 //此接口为电信出接口port link-mode routedescription to-dianxinnat outbound 2000nat server protocol tcp global 10.10.10.1 ftp inside 192.168.1.253 ftp //映射192.168.1.253ip address 10.10.10.1 255.255.255.252undo ipv6 fast-forwarding#interface Ethernet3/1 //此接口为网通出接口port link-mode routedescription to-wangtongnat outbound 2000nat server protocol tcp global 20.20.20.1 ftp inside 192.168.1.254 ftp //映射192.168.1.254ip address 20.20.20.1 255.255.255.252undo ipv6 fast-forwarding#interface Serial0/0link-protocol pppundo ipv6 fast-forwarding#interface NULL0#policy-based-route policy permit node 0 //匹配ACL3000 的走电信出接口if-match acl 3000apply ip-address next-hop 10.10.10.2policy-based-route policy permit node 5 //匹配ACL3001 的走网通出接口if-match acl 3001apply ip-address next-hop 20.20.20.2#ip route-static 0.0.0.0 0.0.0.0 10.10.10.2ip route-static 0.0.0.0 0.0.0.0 20.20.20.2 preference 80ip route-static 3.3.3.0 255.255.255.0 20.20.20.2 //实际配置时需添加网通网段的细化路由#电信设备：100F网通设备：100F电信和网通之间的互联网段为：3.3.3.0/24，电信：3.3.3.253 网通：3.3.3.254 UnRegistered。

[H3C路由]H3C路由NAT配置1. 配置地址池定义一个地址池nat address-group start-addr end-addr pool-name删除一个地址池undo nat address-group pool-name每个地址池中的地址必须是连续的，每个地址池内最多可定义64 个地址。

需要注意的是：当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

2. 配置访问控制列表和地址池关联增加访问控制列表和地址池关联nat outbound acl-number address-group pool-name删除访问控制列表和地址池关联undo nat outbound acl-number address-group pool-name缺省情况下，访问控制列表不与任何地址池关联。

3. 配置访问控制列表和接口关联（EASY IP 特性）增加访问控制列表和接口关联 nat outbound acl-number interface删除访问控制列表和接口关联 undo nat outbound acl-number interface缺省情况下，访问控制列表不与任何接口关联。

4. 配置内部服务器增加一个内部服务器nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }删除一个内部服务器undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }需要注意的是：global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。

NA T 拓扑图如下所示：Client_pc RTBRTA说明：由于条件有限，所以这里直接把一个路由器当做PC 来做，给定路由器RT1更改其名字为client_pc ，设置其与RTA 直连的接口的ip ，并配置默认路由到RTA 上去。

客户PC 配置如下所示：<RT1>sysSystem View: return to User View with Ctrl+Z.[RT1]sysname client_pc[client_pc]interface Serial 0/2/0[client_pc-Serial0/2/0]ip address 10.0.0.1 24[client_pc-Serial0/2/0]quit[client_pc]ip route-static 0.0.0.0 0 10.0.0.254%Oct 11 19:43:54:266 2011 client_pc IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UPRTA 配置如下所示：<RT2>sysSystem View: return to User View with Ctrl+Z.[RT2]sysname RTA[RTA]interface Serial 0/2/0[RTA-Serial0/2/0]ip address 10.0.0.254 24[RTA-Serial0/2/0]%Oct 11 19:44:09:563 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTA-Serial0/2/0]quit[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]ip address 198.76.28.1 24[RTA]nat address-group 1 198.76.28.11 198.76.28.11[RTA]acl number 2000[RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255[RTA-acl-basic-2000]quit[RTA]ip route-static 0.0.0.0 0 198.76.28.2[RTA]interface Serial 0/2/2[RTA-Serial0/2/2]nat outbound 2000 address-group 1[RTA-Serial0/2/2]quit[RTA]%Oct 11 19:46:16:813 2011 RTA IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/2 is UPRTB配置如下所示：<RT3>sysSystem View: return to User View with Ctrl+Z.[RT3]sys[RT3]sysname RTB[RTB]interface Serial 0/2/0[RTB-Serial0/2/0]ip address 198.76.28.2 24[RTB-Serial0/2/0]%Oct 11 19:46:05:78 2011 RTB IFNET/4/UPDOWN:Protocol PPP IPCP on the interface Serial0/2/0 is UP[RTB-Serial0/2/0]quit[RTB]interface LoopBack 0[RTB-LoopBack0]ip address 198.76.29.1 32[RTB-LoopBack0]quit用客户机ping外网地址测试配置结果：[client_pc]ping 198.76.29.1PING 198.76.29.1: 56 data bytes, press CTRL_C to breakReply from 198.76.29.1: bytes=56 Sequence=1 ttl=254 time=4 ms Request time outReply from 198.76.29.1: bytes=56 Sequence=3 ttl=254 time=10 ms Reply from 198.76.29.1: bytes=56 Sequence=4 ttl=254 time=5 ms Reply from 198.76.29.1: bytes=56 Sequence=5 ttl=254 time=60 ms--- 198.76.29.1 ping statistics ---5 packet(s) transmitted4 packet(s) received20.00% packet lossround-trip min/avg/max = 4/19/60 ms[client_pc]查看NAT转换状态如下所示：[RTA]display nat statisticstotal PAT session table count: 1total NO-PAT session table count: 0total SERVER session table count: 0total STATIC session table count: 0total FRAGMENT session table count: 0total session table count HASH by Internet side IP: 0active PAT session table count: 1active NO-PAT session table count: 0active FRAGMENT session table count: 0active session table count HASH by Internet side IP: 0[RTA]display nat sessThere are currently 1 NAT session:Protocol GlobalAddr Port InsideAddr Port DestAddr Port1 198.76.28.11 12288 10.0.0.1 256 198.76.29.1 256 VPN: 0, status: 11, TTL: 00:01:00, Left: 00:00:46[RTA]。

H3C之AR18路由器设置实例 --双出口链路备份规范设置 - 华三-悠悠思科华为网络技术门户双出口链路规范设置双出口举办主备备份在一般呈此刻到一个ISP有两条链路，一条带宽较量宽，一条带宽较量低的情形下。

下面就两种常见的组网给出设置实例。

# 设置自动侦测组1，侦测主用链路的对端地点是否可达，侦测隔断为5s。

detect-group 1detect-list 1 ip address 142.1.1.1timer loop 5## 设置接口应用NAT时引用的ACL。

acl number 2001rule 10 permit source 192.168.1.0 0.0.0.255## 设置在接口上应用的过滤法则，主要用于进攻防御，猛烈发起设置。

acl number 3001rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-nsrule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgmrule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 142.1.1.2 0rule 3000 deny ipacl number 3002rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2002 permit ip destination 162.1.1.2 0rule 3000 deny ipacl number 3003rule 10 deny tcp destination-port eq 445rule 11 deny udp destination-port eq 445rule 20 deny tcp destination-port eq 135rule 21 deny udp destination-port eq 135rule 30 deny tcp destination-port eq 137rule 31 deny udp destination-port eq netbios-ns rule 40 deny tcp destination-port eq 138rule 41 deny udp destination-port eq netbios-dgm rule 50 deny tcp destination-port eq 139rule 51 deny udp destination-port eq netbios-ssnrule 80 deny tcp destination-port eq 4444rule 90 deny tcp destination-port eq 707rule 100 deny tcp destination-port eq 1433rule 101 deny udp destination-port eq 1433rule 110 deny tcp destination-port eq 1434rule 111 deny udp destination-port eq 1434rule 120 deny tcp destination-port eq 5554rule 130 deny tcp destination-port eq 9996rule 141 deny udp source-port eq bootpsrule 160 permit icmp icmp-type echorule 161 permit icmp icmp-type echo-replyrule 162 permit icmp icmp-type ttl-exceededrule 165 deny icmprule 2010 deny ip source 192.168.1.1 0rule 2030 permit ip source 192.168.1.0 0.0.0.255rule 3000 deny ip## 设置广域网接口E1/0，对入报文举办过滤（所有出报文均需要做NAT时可以差池入报文举办过滤），对出报文举办NAT。

4.3 NAT的配置NAT配置包括：配置地址池配置Easy IP配置静态地址转换配置多对多地址转换配置NAPT配置内部服务器配置地址转换应用层网关配置内部主机通过域名区分并访问其对应的内部服务器配置地址转换有效时间配置最大连接数限制配置报文匹配方式配置地址转换表项的老化刷新速度4.3.1 配置地址池地址池是一些连续的IP地址集合，当内部数据包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。

表4-1 配置地址池操作命令定义一个地址池nat address-group group-number start-addr end-addr删除一个地址池undo nat address-group group-number 说明：NAT地址池中的地址不应包含公网主机已使用的地址，否则会造成地址冲突。

如果防火墙仅提供Easy IP功能，则不需要配置NAT地址池，直接使用接口地址作为转换后的IP地址。

当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

地址池长度（地址池中包含的所有地址个数）不能超过255个地址。

4.3.2 配置地址转换将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。

这种关联指定了“具有某些特征的IP报文”才可以使用“这样的地址池中的地址（或接口地址）”。

当内部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接口地址）进行转换。

不同形式的地址转换，配置方法稍有不同。

1. Easy IP如果地址转换命令不带address-group参数，即仅使用nat outbound acl-number命令，则实现了easy-ip的特性。

地址转换时，直接使用接口的IP地址作为转换后的地址，利用访问控制列表控制哪些地址可以进行地址转换。

表4-2 配置Easy IP2. 使用指定loopback接口进行地址转换表4-3 使用指定loopback接口进行地址转换匹配访问控制列表的数据报文的源地址将转换为指定的loopback接口的IP地址。

H3C路由NAT配置预览说明:预览图片所展示的格式为文档的源格式展示,下载源文件没有水印,内容可编辑和复制[H3C路由]H3C路由NAT配置1. 配置地址池定义一个地址池nat address-group start-addr end-addr pool-name删除一个地址池undo nat address-group pool-name每个地址池中的地址必须是连续的，每个地址池内最多可定义64 个地址。

需要注意的是：当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。

2. 配置访问控制列表和地址池关联增加访问控制列表和地址池关联nat outbound acl-number address-group pool-name删除访问控制列表和地址池关联undo nat outbound acl-number address-group pool-name 缺省情况下，访问控制列表不与任何地址池关联。

3. 配置访问控制列表和接口关联（EASY IP 特性）增加访问控制列表和接口关联nat outbound acl-number interface删除访问控制列表和接口关联 undo nat outbound acl-number interface缺省情况下，访问控制列表不与任何接口关联。

4. 配置内部服务器增加一个内部服务器nat server global global-addr { global-port | any | domain | ftp |pop2 | pop3 | smtp | telnet | www } inside inside-addr { inside-port | any | domain | ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }删除一个内部服务器undo nat server { global | inside } address { port | any | domain |ftp | pop2 | pop3 | smtp | telnet | www } { protocol-number | ip | icmp | tcp | udp }需要注意的是：global-port 和inside-port 只要有一个定义了any，则另一个要么不定义，要么是any。

NAT Outbound+NAT Server典型配置举例配置NAT Outbound可以实现企业某些内网用户访问公网，配置NAT Server可以实现通过域名或者公网地址访问内网服务器，配置域内NAT可以实现同一安全区域的用户通过域名或者公网地址互访。

组网需求如图1所示，某企业在企业内网与公网之间部署了一台USG5300。

USG5300三个接口分别位于Trust、DMZ和Untrust安全区域，其中企业所有用户在Trust安全区域，在DMZ安全区域部署FTP服务器和Web服务器供企业内部用户和公网用户访问，公网属于Untrust安全区域。

图1 NAT Outbound+NAT Server典型配置举例组网图具体需求如下：∙需求一：企业内网10.1.1.10/24～10.1.1.20/24的用户可以访问公网，其他内网用户不允许访问公网。

∙需求二：企业内网所有用户可以通过域名访问DMZ安全区域的Web服务器，通过公网IP地址访问FTP服务器。

∙需求三：公网用户可以通过域名访问DMZ安全区域的Web服务器。

需求四：DMZ安全区域的服务器之间可以使用域名或者公网地址互相访问，比如FTP服务器可以采用域名访问Web服务器。

数据规划NAT Outbound+NAT Server典型配置举例的数据规划如表1所示。

配置思路1.配置USG5300的接口IP地址并将接口加入相应安全区域。

2.配置域间防火墙策略。

3.配置Trust到Untrust的NAT Outbound，实现需求一。

4.配置NAT Server，实现需求二和需求三。

5.配置DMZ的域内NAT，实现需求四。

操作步骤1.配置USG5300的接口IP地址并将接口加入对应安全区域。

# 配置USG5300接口IP地址。

<USG5300> system-view[USG5300] interface GigabitEthernet 0/0/0[USG5300-GigabitEthernet0/0/0] ip address 10.1.1.1 24[USG5300-GigabitEthernet0/0/0] quit[USG5300] interface GigabitEthernet 0/0/1[USG5300-GigabitEthernet0/0/1] ip address 202.168.1.1 24[USG5300-GigabitEthernet0/0/1] quit[USG5300] interface GigabitEthernet 0/0/2[USG5300-GigabitEthernet0/0/2] ip address 192.168.1.1 24[USG5300-GigabitEthernet0/0/2] quit# 将USG5300接口加入安全区域。

H3CNAT配置实例H3C NAT配置：1、配置静态地址转换：一对一静态地址转换：[system] nat static ip-addr1 ip-addr2 静态网段地址转换：[system] nat static net-to-net inside-start-address inside-end-address global global-address mask 应用到接口： [interface]nat outbound static2、多对多地址转换：[interface]nat outbound acl-number address-group group-number no-pat3、配置NAPT：[interface]nat outbound acl-number [ address-group group-number ]两个特殊的NAPT：Easy IP： [interface]nat outbound acl-number (转化为接口地址)Lookback：[interface]nat outbound acl-number interface loopback interface-number (转化为loopback地址)4、双向地址转换：[system]nat overlapaddress number overlappool-startaddress temppool-startaddress { pool-length pool-length | address-mask mask } (需要结合outbound命令)5、配置内部服务器：[interface]nat server6、地址转换应用层网关：[system]nat alg (专门针对ftp之类对NAT敏感的协议)。

H3C- 路由器双出口NAT服务器的典型配置在公司或者组织中，我们通常需要一个网络管理工具，这个工具可以管理和监控网络中的所有设备，保证网络的安全和稳定性。

其中，路由器双出口NAT服务器是一种非常常见的网络管理工具。

本文将介绍 H3C 路由器双出口 NAT 服务器的典型配置方法。

前置条件在进行配置之前，需要确保以下条件：•路由器需要复位为出厂设置状态。

•电脑需要连接到路由器的任意一口网卡上。

•管理员需要知道所需配置的类型和参数。

网络环境在这里，我们假设 LAN 网段为 192.168.1.0/24，WAN1 网卡 IP 地址为10.0.0.1/24，WAN2 网卡 IP 地址为 20.0.0.1/24。

配置步骤步骤1 分别配置两个 WAN 口•登录到 H3C 路由器上，使用管理员权限。

•分别进入 WAN1 和 WAN2 的配置页面，输入以下指令：interface GigabitEthernet 0/0/0undo portswitchip address 10.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CNinterface GigabitEthernet 0/0/1undo portswitchip address 20.0.0.1 24nat server protocol tcp global current-interface 80 inside 192.168.1.10 80region member CN步骤2 配置路由策略•在路由器上进入配置模式，输入以下指令：ip route-static 0.0.0.0 0.0.0.0 10.0.0.254ip route-static 0.0.0.0 0.0.0.0 20.0.0.254 preference 10route-policy Wan1 permit node 10route-policy Wan2 deny node 20interface GigabitEthernet 0/0/0ip policy route-map Wan1interface GigabitEthernet 0/0/1ip policy route-map Wan2步骤3 配置防火墙•进入防火墙配置页面，输入以下指令：user-interface vty 0 4protocol inbound sshacl number 3000rule 0 permit source 192.168.1.0 0.0.0.255rule 5 permit source 10.0.0.0 0.0.0.255rule 10 permit source 20.0.0.0 0.0.0.255firewall packet-filter 3000 inbound步骤4 配置虚拟服务器•进入虚拟服务器配置页面，输入以下指令：ip name-server 192.168.1.1acl name WAN1rule 0 permit destination 10.0.0.0 0.255.255.255rule 5 denyacl name WAN2rule 0 permit destination 20.0.0.0 0.255.255.255rule 5 denyip netstream inboundip netstream export source 192.168.1.1 9991ip netstream timeout active-flow 30flow-export destination 192.168.1.2 9991flow-export enable结论以上是 H3C 路由器双出口 NAT 服务器的典型配置方法，这套配置可以满足大部分企业网络环境的需求。

配置地址池‎：<‎H3C>s‎y stem‎-view‎[H3C‎]nat ‎a ddre‎s s-gr‎o up g‎r oup-‎n umbe‎r sta‎r t-ad‎d end‎-add‎配置一‎对一静态地‎址转换‎1.<H‎3C>sy‎s tem-‎v iew‎[H3C]‎n at s‎t atic‎loca‎l-ip(‎本地IP)‎glob‎a l-ip‎(通用IP‎)[H3‎C]int‎e rfac‎e (端口‎号)[H‎3C-in‎t er]n‎a t ou‎t boun‎d sta‎t ic (‎把这个端口‎设置为出站‎)2.‎<H3C‎>syst‎e m-vi‎e w[H‎3C]in‎t erfa‎c e na‎t int‎e rfac‎e-num‎b er[‎H3C-N‎A T]na‎t sta‎t ic l‎o cal-‎i p go‎l bal-‎i p[H‎3C-NA‎T]qui‎t[H3‎C]int‎e rfac‎e (端口‎号)[H‎3C-IN‎T]nat‎outb‎o und ‎s tati‎c (把‎这个端口设‎置为出站)‎cis‎c o:‎i p na‎t ins‎i de s‎o urce‎stat‎i c lo‎c al-i‎p glo‎b al-i‎pin‎t (端口‎号)ip‎nat ‎i nsid‎eint‎(端口号‎)ip ‎n at o‎u tsid‎e配‎置网段对静‎态地址的转‎换1.‎<H3C‎>syst‎e m-vi‎e w[H‎3C]in‎t erfa‎c e na‎t int‎e rfac‎e-num‎b er[‎H3C-N‎A T]na‎t sta‎t ic n‎e t-to‎-net ‎l ocal‎-netw‎o rk g‎l obal‎-netw‎o rk[‎H3C-N‎A T]qu‎i t[H‎3C]in‎t erfa‎c e (‎接口地址号‎)[H3‎C-int‎]nat ‎o utbo‎u nd s‎t atic‎(把这个‎端口设置为‎出站)‎2.<H‎3C>sy‎s tem-‎v iew‎[H3C]‎n at s‎t atic‎net-‎t o-ne‎t loc‎a l-st‎a rt-a‎d dres‎s loc‎a l-en‎d-add‎r ess ‎g loba‎l glo‎b al-n‎e twor‎k [H3‎C]int‎e rfac‎e (端口‎号)[H‎3C-IN‎T]nat‎outb‎o und ‎s tati‎c (把这‎个端口设置‎为出站)‎配置动‎态NAT ‎1.E‎A SY I‎P<H‎3C>sy‎s tem-‎v iew‎[H3C]‎i nter‎f ace ‎(端口号)‎[H3C‎-INT]‎n at o‎u tbou‎n d ac‎l-num‎b er [‎n ext-‎h op i‎p-add‎r ess(‎可选，按设‎备定)] ‎2.NO‎P AT‎<H3C>‎s yste‎m-vie‎w[H3‎C]int‎e rfac‎e (端口‎号)[H‎3C-IN‎T]nat‎outb‎o und ‎a cl-n‎u mber‎addr‎e ss-g‎r oup ‎g roup‎-numb‎e r no‎p at‎或者在入接‎口配置[‎H3C-I‎N T]na‎t inb‎o und ‎a cl-n‎u mber‎addr‎e ss-g‎r oup ‎g roup‎-numb‎e r no‎p at‎3.NAP‎T<H‎3C>sy‎s tem-‎v iew‎[H3C]‎i nter‎f ace ‎(端口号)‎[H3C‎-INT]‎n at o‎u tbou‎n d ac‎l-num‎b er a‎d dres‎s-gro‎u p gr‎o up-n‎u mber‎或者在‎入接口配置‎[H3C‎-INT]‎n at i‎n boun‎d acl‎-numb‎e r ad‎d ress‎-grou‎p gro‎u p-nu‎m ber‎‎‎‎。

H3C-NAT实验要求1）R1和R2为华三路由器，Internet为思科路由，配置R1、R2和Internet的接口IP并打开接口，保证直连IP之间能互相ping通。

2）在R1上做静态地址转换，保证R2能PING通Internet的Lo0。

3）在R1上做地址池开启NAT，保证R2能PING通Internet的Lo0。

4）在R1上开启端口复用，保证R2能PING通Internet的Lo0。

实验步骤1．R1和R2为华三路由器，R3为思科路由，配置R1、R2和R3的接口IP并打开接口，保证直连IP之间能互相ping通。

[R1]interface e0/0[R1-Ethernet0/0]ip add 12.x.1.1 24[R1-Ethernet0/0]undo shutdown[R1-Ethernet0/0]quit[R1]int e0/0.x[R1-Ethernet0/0.x]vlan-type dot1q vid x[R1-Ethernet0/0.x]ip add 192.168.1.254 24[R1-Ethernet0/0.x]quit[R2]int e0/0[R2-Ethernet0/0]undo shutdown[R2-Ethernet0/0]quit[R2]int e0/0.x[R2-Ethernet0/0.x]vlan-type dot1q vid x[R2-Ethernet0/0.x]ip add 192.168.1.1 24[R2-Ethernet0/0.x]quitInternet(config)#int fa0/0Internet(config-if)#ip add 12.x.1.2 255.255.255.0Internet(config-if)#no shutdownInternet(config-if)#exitInternet(config)#int lo0Internet(config-if)#ip add 2.2.2.2 255.255.255.255Internet(config-if)#exit做下面实验前，先在R1上指定一条向Internet的默认路由，R2上指定网关。

关于H3C的NAT设置（页1）lzy840119 发表于 2009-6-23 22:07关于H3C的NAT设置公司用的路由器是H3C AR18-21以前的管理员只设置的过滤表没有NAT 现在路由器外网端口不够了我想把设置改成 NAT的但是不知道H3C的命令谁有这个型号的路由器的手册或者是H3C的基本设置教程的麻烦给个谢谢海棠无香发表于 2009-6-23 22:26[H3C5500(B2)]dis current-configuration#version 5.20, Release 1207#sysname H3C5500(B2)#domain default enable system#vlan 1#vlan 2#vlan 401#domain systemaccess-limit disablestate activeidle-cut disableself-service-url disable#local-user adminpassword simple adminservice-type telnet terminallevel 3#interface NULL0#interface Vlan-interface1ip address 10.152.174.6 255.255.0.0 #interface GigabitEthernet1/0/1 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/2 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/3 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/4port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/5 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/6 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/7 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/8 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/9 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/10port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/11 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/12 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/13 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/14 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/15 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/16port hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/17 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/18 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/19 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/20 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/21 port link-type hybridport hybrid vlan 1 to 2 401 untagged #interface GigabitEthernet1/0/22 port link-type hybridport hybrid vlan 1 401 untagged port hybrid pvid vlan 401#interface GigabitEthernet1/0/23 shutdown#interface GigabitEthernet1/0/24 shutdown#interface GigabitEthernet1/0/25 shutdown#interface GigabitEthernet1/0/26 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#interface GigabitEthernet1/0/27 shutdown#interface GigabitEthernet1/0/28 port link-type hybridport hybrid vlan 1 to 2 untagged port hybrid pvid vlan 2#load xml-configuration#user-interface aux 0user-interface vty 0 4 authentication-mode scheme#return[H3C5500(B2)]dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Release 1207Copyright (c) 2004-2007 Hangzhou H3C Tech. Co., Ltd. All rights reserved.H3C S5500-28C-SI uptime is 1 week, 5 days, 22 hours, 39 minutesH3C S5500-28C-SI with 1 Processor128M bytes SDRAM16384K bytes Flash MemoryHardware Version is REV.BCPLD Version is 006Bootrom Version is 122[SubSlot 0] 24GE+4SFP Hardware Version is REV.B[H3C5500(B2)]dis vlanTotal 3 VLAN exist(s).The following VLANs exist:1(default), 2, 401[H3C5500(B2)]zxp0606002 发表于 2009-6-23 22:26嘿嘿，偶也刚巧碰到这个机型~~海棠无香发表于 2009-6-23 22:27H3C交换机命令2009年02月11日星期三下午05:031、system-view 进入系统视图模式2、sysname 为设备命名3、display current-configuration当前配置情况4、language-modeChinese|English中英文切换5、interface Ethernet 1/0/1进入以太网端口视图6、 port link-type Access|Trunk|Hybrid 设置端口访问模式7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、 quit 退出当前视图模式10、 vlan 10 创建VLAN 10并进入VLAN 10的视图模式11、 port access vlan 10 在端口模式下将当前端口加入到vlan 10中12、port E1/0/2 to E1/0/5 在VLAN模式下将指定端口加入到当前vlan中13、port trunk permit vlan all 允许所有的vlan通过H3C路由器常用命令注释1、system-view 进入系统视图模式2、sysname R1 为设备命名为R13、display ip routing-table显示当前路由表4、language-mode Chinese|English中英文切换5、interface Ethernet 0/0进入以太网端口视图6、 ip address 192.168.1.1 255.255.255.0 配置IP地址和子网掩码7、 undo shutdown 打开以太网端口8、 shutdown 关闭以太网端口9、quit 退出当前视图模式10、ip route-static 192.168.2.0 255.255.255.0 192.168.12.2 description To.R2 配置静态路由11、 ip route-static 0.0.0.0 0.0.0.0 192.168.12.2 description To.R2 配置默认的路由H3C S3100 SwitchH3C S3600 SwitchH3C MSR 20-20 Router小技巧1、调整超级终端的显示字号；2、捕获超级终端操作命令行，以备日后查对；3、language-mode Chinese|English中英文切换；4、复制命令到超级终端命令行，粘贴到主机；5、交换机清除配置 :<H3C>reset save ；<H3C>reboot ；6、路由器、交换机配置时不能掉电，连通测试前一定要检查网络的连通性，不要犯最低级的错误。

H3C MSR路由器双出口NAT服务器的典型配置一、需求：MSR的G0/0连接某学校内网,G5/0连接电信出口，G5/1连接教育网出口,路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。

电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络,会被电信过滤。

该校内网服务器192。

168.34.55需要对外提供访问，其域名是test。

h3c。

,对应DNS解析结果是211。

1.1。

4。

先要求电信主机和校园网内部主机都可以通过域名或211。

1。

1。

4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络.设备清单：MSR一台二、拓扑图：三、配置步骤：适用设备和版本：MSR系列、Version 5。

20，Release 1205P01后所有版本。

四、配置关键点:1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211。

1.1。

4会被电信给过滤掉,因此必须使用策略路由从G5/1出去;3）策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略；4）在G0/0应用2个NAT的作用是使内网可以通过访问211.1。

1。

4访问内部服务器test。

cn，如果只使用NAT Outbound Static，那么内部主机192.168。

1。

199发送HTTP请求的源、目的地址对<192。

168。

1.199, 211.1。

1.4〉会变成〈192。

168.1。

199,192.168。

34.55>然后发送给内部服务器，那么内部服务器会把HTTP响应以源、目的地址对<192.168.34。

NAT配置一、实验目的掌握Basic NAT的配置方法掌握NAPT的配置方法掌握Easy IP的配置方法掌握NAT Server的配置方法二、实验描述及组网图网络迅速发展，IPv4地址不敷使用，为了解决IPv4地址短缺的问题，IETF提出了NAT解决方案。

NAT技术主要作用是将私有地址转换成公有地址。

Basic NAT虽然可以实现私有地址和公有地址的转换但不如NAPT普及，NAPT采用端口号更能提高公网IP的利用效率，适用与私网作为客户端访问公网服务器的场合；Easy IP配置最为简单，一般用于拨号接入Internet或动态获得IP地址的场合；NAT Server则用于私网对外提供服务，由公网主动向私网设备发起连接的场合。

实验组网如图所示，实验使用两台主机(PC_A,PC_B)、三台MSR路由器(jiance1, jiance2, jiance3)。

PC_A,PC_B位于私网，网关为jiance1。

jiance2为NAT设备，有一个私网接口S1/0和一个公网接口E1/0,公网接口与公网路由器jiance3互连，地址池范围是：200.1.1.11~200.1.1.11。

公网jiance3上loopback 0是一个公网接口地址，作为公网服务器测试。

三、实验过程实验任务一：配置Basic NAT本实验中，实现私网主机PC_A和PC_B访问公网服务器220.1.1.1，通过在jiance2上配置在Basic NAT，动态的为私网主机分配公网地址。

步骤一：搭建实验环境依照拓扑图搭建实验环境。

步骤二：基本配置为PC_A配置IP地址为192.168.1.100/24，网关为192.168.1.1；配置PC_B的IP 地址为192.168.2.100/24，网关为192.168.2.1；为jiance1，jiance2，jiance3各接口配置IP地址，并且确认各设备间直连网络能相互ping通。

IP地址配完后在jiance1, jiance2静态配置私网内各网段的路由及默认路由，确保PC_A，PC_B能ping通200.1.1.1。