NAT典型配置举例

NAT配置事例（来源：港湾网络作者：）一、测试环境：软件版本：1.3以上路由器：NetHammerM/G系列路由器二、配置事例1、共享一公网IP如图所示，某公司内部网络通过一个公网IP访问INTERNET具体配置：Router1(config-if-bri1/0)# ip address negotiatedRouter1(config-if-bri1/0)# ip nat outsideRouter1(config-if-bri1/0)# encapsulation pppRouter1(config-if-bri1/0)# ppp pap sent-username 169 password 169Router1(config-if-bri1/0)# ppp multilinkRouter1(config-if-bri1/0)# dialer load-threshold 60Router1(config-if-bri1/0)# dialer in-bandRouter1(config-if-bri1/0)# dialer-group 1Router1(config-if-bri1/0)# dialer string 169Router1(config-if-bri1/0)# exit!Router1(config)# dialer-list 1 protocol ip permitRouter1(config)# access-list 1 permit anyRouter1(config)# ip route 0.0.0.0/0 interface bri2/0Router1(config)# ip nat onRouter1(config)# ip nat inside source list 1 interface bri 2/0!Router1(config)# interface eth 0/0Router1(config-if-eth0/0)# ip address 192.168.0.1/24Router1(config-if-eth0/0)# ip nat inside2、负载均衡如图所示路由器上有两个接口：以太网接口E0/0与内部网相连，使用私有地址192.168.0.1；以太网接口E0/1与因特网相连，地址为61.20.12.4；使用三台PC服务器来提供WEB服务，它们使用私有地址。

地址转换NAT实验1. 局域网内部计算机通过地址转换后访问校园网(1)组网需求校园网络网络地址为192.168.0，子网掩码为255.255.255.0，校园网的网关地址为192.168.0.254，DNS地址为：202.101.208.3。

现在建立实验局域网10.100.1，实验室内部计算机通过路由器连入校园网。

在路由器上建立地址映射10.100.1.*→（192.168.0.111～192.168.0.120），并测试网络连通性。

局域网计算机的网关设置为192.168.1.1，DNS地址为：202.101.208.3(2)组网图图1 NAT实验连线图(3)配置步骤#首先配置好计算机的IP地址和子网掩码，计算机的网关地址设置为10.100.1.1 ，DNS地址为：202.101.208.3，路由器的接口LAN1 和LAN0地址按图配置。

#配置路由器Router#配置路由器接口IP[Router] interface Ethernet0[Router- Ethernet0]ip address 10.100.1.1 255.255.255.0 [Router- Ethernet0]quit[Router] interface Ethernet 1[Router-Ethernet1]ip address 192.168.0.110 255.255.255.0 [Router-Ethernet1]quit#配置缺省路由[Router]ip route-static 0.0.0.0 0.0.0.0 192.168.0.254 preference 60#建立访问控制列表[Router]acl 101 match-order auto#设置访问规则#只允许网络地址为10.100.1.0的IP进行地址转换[Router-acl-101]rule normal permit ip source 192.168.0.0 0.0.0.255 destination any[Router-acl-101]rule normal permit ip source 10.100.1.0 0.0.0.255 destination any[Router-acl-101]rule normal deny ip source any destination any[Router-acl-101] quit#建立地址池pool1[Router]nat address-group 192.168.0.111 192.168.0.120 pool1//注意每组实验地址池不要重复#将接口和地址池及其访问控制列表相关联[Router]interface Ethernet 1[Router-Ethernet1] firewall packet-filter 101 outbound[Router-Ethernet1]nat outbound 101 address-group pool1＃使用Ping命令查看映射建立情况[Router]ping 192.168.0.254PING 192.168.0.254: 56 data bytes, press CTRL_C to breakReply from 192.168.0.254: bytes=56 Sequence=0 ttl=255 time = 2 ms Reply from 192.168.0.254: bytes=56 Sequence=1 ttl=255 time = 2 ms Reply from 192.168.0.254: bytes=56 Sequence=2 ttl=255 time = 2 ms Reply from 192.168.0.254: bytes=56 Sequence=3 ttl=255 time = 26 ms Reply from 192.168.0.254: bytes=56 Sequence=4 ttl=255 time = 3 ms --- 192.168.0.254 ping statistics ---5 packets transmitted5 packets received0.00% packet lossround-trip min/avg/max = 2/7/26 ms。

ＮＡＴ　配置示例本节提供了以下配置配置例子： １、动态内部源地址转换示例 ２、内部全局地址复用示例 ３、重叠地址转换示例 ４、ｔｃｐ负载均衡示例 ５、ｎａｔ多个ｏｕｔｓｉｄｅ口负载均衡示例 （１）动态内部源地址转换示例 在以下配置中，本地全局地址从ｎａｔ地址池ｎｅｔ２００中分配，该地址池定义了地址范围为２００．１６８．１２．２￣２００．１６８．１２．１００。

只有内部源地址匹配访问列表１的数据包才会建立ｎａｔ转换记录。

！ ｉｎｔｅｒｆａｃｅ　ｆａｓｔｅｔｈｅｒｎｅｔ　０／０ ｉｐ　ａｄｄｒｅｓｓ　１９２．１６８．１２．１　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｉｎｓｉｄｅ ！ ｉｎｔｅｒｆａｃｅ　ｆａｓｔｅｔｈｅｒｎｅｔ　１／０ ｉｐ　ａｄｄｒｅｓｓ　２００．１６８．１２．１　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｏｕｔｓｉｄｅ ！ ｉｐ　ｎａｔ　ｐｏｏｌ　ｎｅｔ２００　２００．１６８．１２．２　２００．１６８．１２．１００　ｎｅｔｍａｓｋ　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｉｎｓｉｄｅ　ｓｏｕｒｃｅ　ｌｉｓｔ　１　ｐｏｏｌ　ｎｅｔ２００ ！ ａｃｃｅｓｓ－ｌｉｓｔ　１　ｐｅｒｍｉｔ　１９２．１６８．１２．０　０．０．０．２５５ （２）内部全局地址复用示例 内部全局地址复用，其实就是ｎａｐｔ。

ｒｇｎｏｓ８．１以上版本的软件对于动态ｎａｔ自动实现ｎａｐｔ。

在以下配置中，本地全局地址从ｎａｔ地址池ｎｅｔ２００中分配，该地址池只定义２００．１６８．１２．２００一个ｉｐ地址，但允许复用。

只有内部源地址匹配访问列表１的数据包才会建立该类型ｎａｔ转换记录。

！ ｉｎｔｅｒｆａｃｅ　ｆａｓｔｅｔｈｅｒｎｅｔ　０／０ ｉｐ　ａｄｄｒｅｓｓ　１９２．１６８．１２．１　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｉｎｓｉｄｅ ！ ｉｎｔｅｒｆａｃｅ　ｆａｓｔｅｔｈｅｒｎｅｔ　１／０ ｉｐ　ａｄｄｒｅｓｓ　２００．１６８．１２．２００　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｏｕｔｓｉｄｅ ！ ｉｐ　ｎａｔ　ｐｏｏｌ　ｎｅｔ２００　２００．１６８．１２．２００　２００．１６８．１２．２００　ｎｅｔｍａｓｋ　２５５．２５５．２５５．０ ｉｐ　ｎａｔ　ｉｎｓｉｄｅ　ｓｏｕｒｃｅ　ｌｉｓｔ　１　ｐｏｏｌ　ｎｅｔ２００ ａｃｃｅｓｓ－ｌｉｓｔ　１　ｐｅｒｍｉｔ　１９２．１６８．１２．０　０．０．０．２５５ 通过显示ｎａｔ　映射表，可以看到是否能够正确建立转换记录： ｒｅｄ－ｇｉａｎｔ＃ｓｈｏｗ　ｉｐ　ｎａｔ　ｔｒａｎｓｌａｔｉｏｎｓ ｐｒｏ　ｉｎｓｉｄｅ　ｇｌｏｂａｌ　ｉｎｓｉｄｅ　ｌｏｃａｌ　ｏｕｔｓｉｄｅ　ｌｏｃａｌ　ｏｕｔｓｉｄｅ　ｇｌｏｂａｌ ｔｃｐ　２００．１６８．１２．２００：２０６３　１９２．１６８．１２．６５：２０６３　１６８．１６８．１２．１：２３　１６８．１６８．１２．１：２３ （３）内部源地址静态ｎａｐｔ示例 静态ｎａｐｔ　可以用于构建虚拟服务器。

H3C路由器NAT典型配置案列（史上最详细）神马CCIE，H3CIE,HCIE等网络工程师日常实施运维必备，你懂的。

1.11 NAT典型配置举例1.11.1 内网用户通过NAT地址访问外网（静态地址转换）1. 组网需求内部网络用户10.110.10.8/24使用外网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置内网IP地址10.110.10.8到外网地址202.38.1.100之间的一对一静态地址转换映射。

<Router> system-view[Router] nat static outbound 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet1/2上生效。

[Router] interface gigabitethernet 1/2[Router-GigabitEthernet1/2] nat static enable[Router-GigabitEthernet1/2] quit4. 验证配置# 以上配置完成后，内网主机可以访问外网服务器。

通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat staticStatic NAT mappings:There are 1 outbound static NAT mappings.IP-to-IP:Local IP : 10.110.10.8Global IP : 202.38.1.100Interfaces enabled with static NAT:There are 1 interfaces enabled with static NAT.Interface: GigabitEthernet1/2# 通过以下显示命令，可以看到Host访问某外网服务器时生成NAT会话信息。

NAT的3种实现方式配置示范NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。

静态 NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP 地址的不同端口上。

根据不同的需要，选择相应的NAT技术类型。

一般我们实际工作中都使用复用NAT，即复用端口NAT，也叫PNAT。

一、静态NAT配置步骤：首先，配置各接口的IP地址。

内网使用私有IP.外网使用公网IP.并指定其属于内外接口。

其次，定义静态建立IP地址之间的静态映射。

实例：Router>en （进入特权模式）Router#config t （进入全局配置模式）Router(config)#ho R3 （命名为R3）R3(config)#no ip domain-lo （关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他）R3(config)#line c 0 （进入线路CONSOLE接口0下）R3(config-line)#logg syn （启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#logg syn （exec-t 0 0 （防止超时，0 0 为永不超时）R3(config-line)#exitR3(config)#int e0 （进入以太网接口下）R3(config-if)#ip add 192.168.1.1 255.255.255.0 （设置IP地址）R3(config-if)#ip nat inside （设置为内部接口）R3(config-if)#no shutR3(config-if)#exitR3(config)#int ser1 （进入串口下）R3(config-if)#ip add 100.0.0.1 255.255.255.0R3(config-if)#no shutR3(config-if)#ip nat outside （设置为外部接口）R3(config-if)#exitR3(config)#ip nat inside source static 192.168.1.1 100.0.0.1R3(config)#ip nat inside source static 192.168.1.2 100.0.0.2（设置静态转换，其中ip nat inside source 为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classlessR3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址) R3(config)#exit[/pre]二、动态NAT配置步骤：首先，配置各需要转换的接口的IP，设置内外网IP等。

nat的配置案例一、网络环境说明。

咱这个办公室有个内部网络，好多电脑啊、打印机啥的都连着呢。

内部网络的IP 地址范围是192.168.1.0/24，这就好比是一个小区，里面住着好多“网络居民”（设备）。

然后呢，我们只有一个公网IP地址，比如说203.0.113.5，这个公网IP就像是这个小区对外的一个大招牌，所有内部设备要和外面的互联网世界打交道，都得靠这个招牌来帮忙。

二、路由器上的NAT配置（假设是基于Cisco路由器的命令行，其他设备原理类似哦）1. 我们要进入路由器的配置模式。

就像你要进入一个魔法房间，去施展网络魔法一样。

在路由器的命令行界面输入：enable.configure terminal.这就好比是先敲敲门（enable），然后走进房间（configure terminal）准备开始配置。

2. 接下来，我们要定义一下内部网络的接口，也就是那些连着内部设备的接口。

比如说这个接口是FastEthernet 0/0（这是接口名字，不同路由器可能会有不同的接口命名方式），我们就输入：interface FastEthernet 0/0.ip address 192.168.1.1 255.255.255.0.no shutdown.这里的“ip address”就是给这个接口设置内部网络的IP地址和子网掩码，“no shutdown”呢，就像是打开这个接口的开关，让它开始工作，不然这个接口就像睡着了一样，没法传递数据。

3. 然后，我们要定义外部网络的接口，这个接口连接着公网。

假设是FastEthernet 0/1，输入：interface FastEthernet 0/1.ip address 203.0.113.5 255.255.255.248.no shutdown.同样的，给这个接口设置公网的IP地址和子网掩码，再把开关打开。

4. 现在，重点来了，配置NAT。

我们要让内部网络的设备能够通过这个公网IP出去访问互联网。

一、网络安全实践教学案例：1、案例名称：**煤电集团网络出口NAT建设2、背景描述：**煤电集团在互联网出口建设了防火墙，现公司内部人员需要访问公司外网，公司外网分别与电信和联通两个运营商相连，在防火墙上需实现NAT以保证内部员工访问外网，在公司内部提供FTP和WWW服务器，以供外部人员访问。

3、需求分析（针对案例的明确应用）：需求1：要求该公司只有Trust安全区域的10.110.10.0/24网段用户可以访问Internet，该安全区域其它网段的用户不能访问。

提供的访问外部网络的公网IP地址范围为202.169.10.3～202.169.10.6。

由于公有地址不多，需要使用NAPT（NetworkAddress Port Translation）功能进行地址复用。

分析1 ：由于公有地址不多，需要使用NAPT（Network Address Port Translation）功能进行地址复用。

需求2：提供两个内部服务器供外部网络用户访问。

WWW服务器的内部IP地址为192.168.20.2/24，端口号为8080，FTP服务器的内部IP地址为192.168.20.3/24，端口号为21分析2：需要在出口防火墙上做NAT映射，其中：WWW服务器对外公布的IP地址为202.169.10.1，对外使用的端口号为80，FTP服务器对外公布的IP地址为202.169.10.2，对外使用的端口号为21。

需求3：WWW Server和FTP Server处于DMZ安全区域，所在的网段为192.168.20.0/24，能够被内部员工和外部用户访问。

分析3：提供两个内部服务器供外部网络用户访问。

WWW Server的内部IP地址为192.168.20.2/24，端口为8080，FTP Server的内部IP地址为192.168.20.3/24。

两者对zone_a安全域公布的地址均为202.169.10.10/16，使用的端口号均为缺省值。

NAT NAT配置总结实例配置总结实例配置总结实例Software Version 7.2(3)实验拓扑实验拓扑::具体具体要求要求要求::1.直连初始化，ASA能够ping通所有设备的直连接口2.路由a.In.R2默认路由指向ASA Inside(192.168.1.10)b.Dmz.R3 默认路由指向ASA DMZ (10.1.1.10)c.Out.R1 不能设置任何路由3.打开所有设备(In.R2 Dmz.R3 Out.R1)的Telnet功能4.把内部网络(192.168.1.0)，转换到外部网络两种转换方案a.转换到一个地址池 202.100.1.100 - 202.100.1.200b.复用外部接口地址测试方法：In.R2 Telnet Out.R1a.Telnet到Out.R1后show user能够看到转换后的地址b.ASA上Show Xlate可以看到转换槽位c.ASA上show conn 可以看到连接状态表项d.ASA上show local-host 可以看到每一个内部PC的连接状态5.让内部用户192.168.1.1能够ping通202.100.1.1可以通过两种方法来实现1.通过ACL放行流量2.通过inspect icmp来实现6.让内部用户能够正常访问DMZ测试方法：In.R2 Telnet Dmz.R3a.Telnet到DMZ后show user能够看到自己真实的地址b.ASA上show conn 可以看到连接状态表项c.ASA上show local-host 可以看到每一个内部PC的连接状态7.把DMZ的服务器(10.1.1.1)转换到外部一个地址(202.100.1.201)，并且允许任何外部用户访问这个地址的telnet测试方法：Out.R1 Telnet 202.100.1.201——————————————————————————————————————————————————————————————————————————————各要求具体配置步骤各要求具体配置步骤：：1. 初始化配置拓扑中的设备初始化配置拓扑中的设备初始化配置拓扑中的设备，，使得使得ASA ASA ASA能够能够能够ping ping ping通所有设备的直连接口通所有设备的直连接口通所有设备的直连接口实现命令:配置Out.R1R1.OUT(config)#int e0/0R1.OUT(config-if)#ip add 202.100.1.1 255.255.255.0R1.OUT(config-if)#no sh配置IN.R2IN.R2(config)#int e0/0IN.R2(config-if)#ip add 192.168.1.1 255.255.255.0IN.R2(config-if)#no sh配置Dmz.R3DMZ.R3(config)#int e0/0DMZ.R3(config-if)#ip add 10.1.1.1 255.255.255.0DMZ.R3(config-if)#no sh配置ASAciscoasa(config)# host ASAASA(config)# int e0/0ASA(config-if)# no shASA(config-if)# int e0/1ASA(config-if)# no shASA(config-if)# int e0/2ASA(config-if)# no shASA(config-if)# exitASA(config)# interface Ethernet0/0ASA(config-if)# nameif outsideINFO: Security level for "outside" set to 0 by default.ASA(config-if)# security-level 0ASA(config-if)# ip address 202.100.1.10 255.255.255.0ASA(config-if)#ASA(config-if)# interface Ethernet0/1ASA(config-if)# nameif insideINFO: Security level for "inside" set to 100 by default.ASA(config-if)# security-level 100ASA(config-if)# ip address 192.168.1.10 255.255.255.0ASA(config-if)#ASA(config-if)# interface Ethernet0/2ASA(config-if)# nameif dmzINFO: Security level for "dmz" set to 0 by default.ASA(config-if)# security-level 50ASA(config-if)# ip address 10.1.1.10 255.255.255.0在ASA上测试直连连通性:ping 202.100.1.1ASA# ping 202.100.1.1ping 202.100.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/10 ms ping 192.168.1.1ASA# ping 192.168.1.1ping 192.168.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 192.168.1.1, timeout is 2 seconds: !!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ping 10.1.1.1ASA# ping 10.1.1.1ping 10.1.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASA#路由2.2.路由路由a.In.R2默认路由指向ASA Inside(192.168.1.10)实现命令:IN.R2(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.10b.Dmz.R3默认路由指向ASA Dmz (10.1.1.10)实现命令:DMZ.R3(config)#ip route 0.0.0.0 0.0.0.0 10.1.1.10c.Out.R1 不能设置任何路由d.ASA 默认路由指向202.100.1.1实现命令:ASA(config)# route outside 0.0.0.0 0.0.0.0 202.100.1.13.3.打开打开打开In In In.R2 , Dmz.R3 ,.R2 , Dmz.R3 ,.R2 , Dmz.R3 , Out Out Out.R1.R1.R1的的 Telnet Telnet功能功能功能实现命令:IN.R2(config)#line vty 0 15IN.R2(config-line)#no loginDMZ.R3(config)#line vty 0 15DMZ.R3(config-line)#no loginR1.OUT(config)#line vty 0 15R1.OUT(config-line)#no login4.4.把内部网络把内部网络把内部网络(192.168.1.0)(192.168.1.0)(192.168.1.0)，，转换到外部网络转换到外部网络a.转换到一个地址池 202.100.1.100 - 202.100.1.200实现命令: ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0ASA(config)# global (outside) 1 202.100.1.100-202.100.1.200测试方法：a.Telnet到Outside后show user能够看到转换后的地址实现命令:IN.R2#telnet 202.100.1.1Trying 202.100.1.1 ... OpenR1.OUT>R1.OUT>show userLine User Host(s) Idle Location0 con 0 idle 00:00:55* 66 vty 0 idle 00:00:00 202.100.1.100202.100.1.100Interface User Mode Idle Peer Addressb.ASA上Show Xlate可以看到转换槽位实现命令:ASA(config)# show xlate1 in use, 7 most usedGlobal 202.100.1.10Global 202.100.1.1000 Local 192.168. Local 192.168.1.11.11.1c.ASA上show conn 可以看到连接状态表项实现命令:ASA(config)# show conn1 in use, 3 most usedTCP out 202.100.1.1:23 in 192.168.1.1:11029 idle 0:00:06 bytes 66 flags UIO TCP out 202.100.1.1:23 in 192.168.1.1:11029 idle 0:00:06 bytes 66 flags UIOd.ASA上show local-host 可以看到每一个内部PC的连接状态实现命令: ASA(config)# show local-hostInterface dmz: 0 active, 1 maximum active, 0 deniedInterface inside: 1 active, 1 maximum active, 0 denied local host: <192.168.1.1>,TCP flow count/limit = 1/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimitedUDP flow count/limit = 0/unlimitedXlate:Global 202.100.1.100 Local 192.168.1.1Conn:TCP out 202.100.1.1:23 in 192.168.1.1:11029 idle 0:00:38 bytes 66 flags UIO Interface outside: 1 active, 1 maximum active, 0 deniedlocal host: <202.100.1.1>,TCP flow count/limit = 1/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimitedUDP flow count/limit = 0/unlimitedConn:TCP out 202.100.1.1:23 in 192.168.1.1:11029 idle 0:00:38 bytes 66 flags UIOASA(config)#b.复用外部接口地址先清除步骤a的配置:实现命令:ASA(config)# clear configure natASA(config)# clear configure globalASA(config)# clear xlate复用外部接口地址, 实现命令:ASA(config)# nat (inside) 1 192.168.1.0 255.255.255.0ASA(config)# global (outside) 1 interfaceINFO: outside interface address added to PAT pool测试方法：a.Telnet到Outside后show user能够看到转换后的地址实现命令:IN.R2#telnet 202.100.1.1Trying 202.100.1.1 ... OpenR1.OUT>show userLine User Host(s) Idle Location0 con 0 idle 00:00:06202.100.1.10 转换后的地址* 66 vty 0 idle 00:00:00 202.100.1.10Interface User Mode Idle Peer AddressR1.OUT>b.ASA上Show Xlate可以看到转换槽位实现命令:ASA(config)# show xlate1 in use, 7 most usedPAT Global 202.100.1.10(1027) Local 192.168.1.1(11031)d.ASA上show local-host 可以看到每一个内部PC的连接状态实现命令:ASA(config)# show local-hostInterface dmz: 0 active, 1 maximum active, 0 deniedInterface inside: 1 active, 1 maximum active, 0 deniedlocal host: <192.168.1.1>,TCP flow count/limit = 1/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimitedXlate:PAT Global 202.100.1.10(1027) Local 192.168.1.1(11031)Conn:TCP out 202.100.1.1:23 in 192.168.1.1:11031 idle 0:00:29 bytes 367 flags UIO Interface outside: 1 active, 1 maximum active, 0 denied local host: <202.100.1.1>,TCP flow count/limit = 1/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimitedConn:TCP out 202.100.1.1:23 in 192.168.1.1:11031 idle 0:00:29 bytes 367 flags UIOc.ASA上show conn 可以看到连接状态表项实现命令:ASA(config)# show conn1 in use, 3 most usedTCP out 202.100.1.1:23 in 192.168.1.1:11031 idle 0:00:25 bytes 367 flags UIO5.5.让内部用户让内部用户让内部用户192.168.1.1192.168.1.1192.168.1.1能够能够能够ping ping ping通通202.100.1.1202.100.1.11.通过ACL放行流量实现命令:ASA(config)# access-list out permit icmp any anyASA(config)# access-group out in interface outside测试pingIN.R2#ping 202.100.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msIN.R2#2.通过inspect icmp来实现先清除步骤1的ACLASA(config)# clear configure access-listASA(config)# clear configure access-group配置inspect icmp实现命令:ASA(config)# policy-map global_policyASA(config-pmap)# class inspection_defaultASA(config-pmap-c)# inspect icmp inspect icmp测试pingIN.R2#ping 202.100.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 202.100.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 4/4/4 msIN.R2#6.6.让内部用户能够正常访问让内部用户能够正常访问让内部用户能够正常访问DMZ DMZ DMZa.Telnet到DMZ后show user能够看到自己真实的地址(NAT 0)(NAT 0)(NAT 0)实现命令：ASA(config)# access-list nonat permit ip 192.168.1.0 255.255.255.0 host 10.1.1$ ASA(config)# nat (inside) 0 access-list nonatIN.R2#telnet 10.1.1.1Trying 10.1.1.1 ... OpenDMZ.R3>show userLine User Host(s) Idle Location0 con 0 idle 00:00:42* 66 vty 0 idle 00:00:00 192.168.1.1 (In.R2的地址) Interface User Mode Idle Peer AddressDMZ.R3>b.ASA上show conn 可以看到连接状态表项实现命令:ASA(config)# show conn1 in use, 10 most usedTCP out 10.1.1.1:23 in 192.168.1.1:11034 idle 0:00:25 bytes 373 flags UIOc.ASA上show local-host 可以看到每一个内部PC的连接状态实现命令： ASA(config)# show local-hostInterface dmz: 1 active, 1 maximum active, 0 deniedlocal host: <10.1.1.1>,TCP flow count/limit = 1/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimitedUDP flow count/limit = 0/unlimitedConn:TCP out 10.1.1.1:23 in 192.168.1.1:11034 idle 0:00:28 bytes 373 flags UIO Interface inside: 1 active, 1 maximum active, 0 deniedlocal host: <192.168.1.1>, TCP flow count/limit = 1/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimitedUDP flow count/limit = 0/unlimitedConn:TCP out 10.1.1.1:23 in 192.168.1.1:11034 idle 0:00:28 bytes 373 flags UIO Interface outside: 0 active, 1 maximum active, 0 deniedASA(config)#7.7.把把DMZ DMZ的服务器的服务器的服务器(10.1.1.1)(10.1.1.1)(10.1.1.1)转换到外部一个地址转换到外部一个地址转换到外部一个地址(202.100.1.201)(202.100.1.201)(202.100.1.201)，，并且允许任何外部用户访问这个地址的户访问这个地址的telnet telnet telnet实验命令：ASA(config)# static (dmz,outside) 202.100.1.201 10.1.1.1ASA(config)# access-list out permit tcp any host 202.100.1.201 eq telnet ASA(config)# access-group out in interface outside测试方法：Out.R1 Telnet 202.100.1.201R1.OUT#telnet 202.100.1.201Trying 202.100.1.201 ... OpenDMZ.R3>show userLine User Host(s) Idle Location0 con 0 idle 00:00:04* 66 vty 0 idle 00:00:00 202.100.1.1Interface User Mode Idle Peer Address。

1 简介本文档介绍使用NAT多实例的配置案例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT多实例的特性。

3 配置举例3.1 组网需求如图1所示，一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网络使用的网段地址网址为10.110.0.0/16。

10.110.10.0/24网段的用户属于私网VPN1，加入安全域Trust1；10.110.11.0/24网段的用户属于私网VPN2，加入安全域Trust2；公网的用户属于VPN3，加入安全域Untrust。

需要实现如下功能：∙  内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。

∙  内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。

∙  公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP 服务。

图1 跨VPN转发典型配置组网图3.2 配置思路为了使内网主机能够访问公网，需要在出接口上配置NAT转换，并使对应的地址池和公网VPN实例相关联。

3.3 使用版本本文档基于U200-S R5135版本进行配置和验证。

3.4 配置步骤3.4.1 通过Web方式配置(1)创建VPN实例目前设备仅支持通过命令行方式创建VPN实例，配置方法请参见“3.4.2 (1)创建VPN 实例”。

(2)接口绑定VPN实例并加入安全域# 接口绑定VPN实例。

目前设备仅支持通过命令行方式配置接口绑定VPN实例，配置方法请参见“3.4.2 (2)接口绑定VPN实例”。

华为路由器配置简单NAT实例session 1 NATNAT网络地址转换，将内网用户私有ip地址转换为公网ip地址实现上网。

简单的配置分为静态NAT、动态NAT、端口PAT、NAT-server发布等，下面以实际配置为例：一、静态NAT转换AR1上配置interface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/0/1ip address 192.168.2.1 255.255.255.0interface GigabitEthernet0/0/2ip address 12.1.1.1 255.255.255.0nat server global 12.1.1.100 inside 192.168.2.10 在接口下将192.168.2.10转换成12.1.1.100地址访问公网nat static enable 启用nat功能（全局或者接口都可以配置）或者全局下也可以配置静态NAT：[Huawei] nat static global 12.1.1.10 inside 192.168.1.10 netmask 255.255.255.255AR2上配置interface GigabitEthernet0/0/0 AR2模拟internet设备，配置公网ip即可ip address 12.1.1.2 255.255.255.0二、动态NAT配置AR1上配置acl number 2000rule 1 permit source 192.168.1.0 0.0.0.3 使用acl匹配需要进行转换的内网ip地址（1.1-1.8这8个ip地址）nat address-group 1 12.1.1.10 12.1.1.18 配置nat转换用的公网地址池1，地址范围12.1.1.10~12.1.1.18interface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/0/1interface GigabitEthernet0/0/2ip address 12.1.1.1 255.255.255.0nat outbound 2000 address-group 1 no-pat 在接口出方向上使用动态NAT，不做PAT端口复用AR2上配置interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0nat static enable三、端口多路复用PAT配置AR1上的配置acl number 2000 使用acl匹配所有ip流量rule 1 permitinterface GigabitEthernet0/0/0ip address 192.168.1.1 255.255.255.0interface GigabitEthernet0/0/2ip address 12.1.1.1 255.255.255.0nat outbound 2000 在出接口上使用PAT端口复用或者可以使用loopback接口（将公网ip配置在loopback接口上）来做PAT接口ip地址，这样当物理接口ip地址没有了也不会影响NAT，提高稳定性：[Huawei-GigabitEthernet0/0/2]nat outbound 2000 interface loopback 0AR2上配置interface GigabitEthernet0/0/0ip address 12.1.1.2 255.255.255.0nat static enable验证可以使用PC2去ping模拟internet的AR2的接口ip：12.1.1.2PC>ping 12.1.1.2Ping 12.1.1.2: 32 data bytes, Press Ctrl_C to breakFrom 12.1.1.2: bytes=32 seq=1 ttl=254 time=47 msFrom 12.1.1.2: bytes=32 seq=2 ttl=254 time=32 msFrom 12.1.1.2: bytes=32 seq=3 ttl=254 time=16 msFrom 12.1.1.2: bytes=32 seq=4 ttl=254 time=31 msFrom 12.1.1.2: bytes=32 seq=5 ttl=254 time=15 ms--- 12.1.1.2 ping statistics ---5 packet(s) transmitted5 packet(s) received0.00% packet lossround-trip min/avg/max = 15/28/47 msPC>四、NAT发布内网服务器到公网，供公网用户访问。

1.8 NAT典型配置举例1.8.1 静态一对一地址转换典型配置举例1. 组网需求内部网络用户10.110.10.8/24使用公网地址202.38.1.100访问Internet。

2. 组网图图1-5 静态地址转换典型配置组网图3. 配置步骤# 配置一对一静态地址转换映射。

<Router> system-view[Router] nat static 10.110.10.8 202.38.1.100# 使配置的静态地址转换在接口GigabitEthernet3/1/2上生效。

[Router] interface gigabitethernet 3/1/2[Router-GigabitEthernet3/1/2] nat outbound static[Router-GigabitEthernet3/1/2] quit1.8.2 普通内部服务器典型配置举例1. 组网需求某公司内部对外提供Web、FTP和SMTP服务，而且提供两台Web服务器。

公司内部网址为10.110.0.0/16。

其中，内部FTP服务器地址为10.110.10.3/16，内部Web服务器1的IP地址为10.110.10.1/16，内部Web服务器2的IP地址为10.110.10.2/16，内部SMTP 服务器IP地址为10.110.10.4/16。

公司具有202.38.1.1/24至202.38.1.3/24三个IP 地址。

需要实现如下功能：外部的主机可以访问内部的服务器。

选用202.38.1.1作为公司对外提供服务的IP地址，Web服务器2对外采用8080端口。

2. 组网图图1-6 普通内部服务器典型配置组网3. 配置步骤# 进入接口GigabitEthernet1/1/2。

<Router> system-view[Router] interface gigabitethernet 1/1/2# 设置内部FTP服务器。

H3C路由NAT地址转换典型配置举例地址转换典型配置举例1. 公司内部服务器通过地址转换后访问Internet(1) 组网需求一个公司通过路由器的地址转换后连接到广域网。

要求该公司能够通过路由器的串口S0 访问Internet，公司内部对外提供WWW、FTP 和SMTP 服务，而且提供两台WWW服务器。

公司内部网址为10.110.0.0/16。

公司有202.38.160.101～202.38.160.103 三个合法的公网IP 地址。

内部FTP 服务器地址为10.110.10.1，使用202.38.160.101 的公网地址，内部WWW服务器1 地址为10.110.10.2；内部WWW服务器2 的地址为10.110.10.3，采用8080 端口，两台WWW 服务器都使用202.38.160.102 的公网地址。

内部SMTP 服务器地址为10.110.10.4，并希望可对外提供统一的服务器的IP 地址，使用202.38.160.103 的公网地址。

公网地址内部10.110.10.0/24 网段的PC 机可访问Internet，其它网段的PC 机则不能访问Internet。

外部PC 机可以访问内部的服务器。

(3) 配置步骤# 配置地址池和地址列表[Router] nat address-group 202.38.160.101 202.38.160.103 pool1[Router] acl 2000[Router-acl-2000]rule permit source 10.110.10.0 0.0.0.255 # 允许10.110.10.0/24 的网段进行地址转换[Router-Serial0] nat outbound 2000 address-group pool# 设置内部FTP 服务器[Router-Serial0] nat server global 202.38.160.101 inside 10.110.10.1 ftp tcp# 设置内部WWW服务器1[Router-Serial0] nat server global 202.38.160.102 inside 10.110.10.2 www tcp# 设置内部WWW服务器2[Router-Serial0] nat server global 202.38.160.102 8080 inside 10.110.10.3 wwwtcp# 设置内部SMTP 服务器[Router-Serial0] nat server global 202.38.160.103 inside 10.110.10.4 smtp udp内部局域网通过地址转换后拨号访问Internet(1) 组网需求一个公司的内部局域网能通过路由器的地址转换后，经串口S0 拨号访问Internet(3) 配置步骤# 配置地址访问控制列表和dialer-list[Router] acl 2000[Router-acl-2000] rule permit source 10.110.10.0 0.0.0.255[Router] dialer-rule 1 acl 2000# 配置接口拨号属性[Router-Serial0] physical-mode async[Router-Serial0] link-protocol ppp[Router-Serial0] ip address ppp-negotiate[Router-Serial0] ppp pap local-user 169 password simple 169[Router-Serial0] modem[Router-Serial0] dialer enable-circular[Router-Serial0] dialer-group 1[Router-Serial0] dialer number 169# 将地址转换列表与接口关联[Router-Serial0] nat outbound 2000 interface# 配置一条到Serial 0 的缺省路由[Router] ip route-static 0.0.0.0 0.0.0.0 serial 0。

NAT典型配置举例关键词：NAT、ALG、PAT、No-PAT摘要：本文描述了H3C S12500 NAT特性的产品基础、典型配置方法和注意点。

缩略语：目录1特性简介 (4)1.1 NAT和NAPT (4)1.2源NAT/NAPT和目的NAT/NAPT (4)1.3动态NAT/NAPT和静态NAT/NAPT (4)1.4内网和外网 (4)1.5内网地址和外网地址 (5)1.6 EASY IP (5)1.7 NAT ALG处理 (5)1.8内部服务器 (5)1.9静态NAT和内部服务器区别 (6)2应用场合 (6)2.1支持企业网中少量用户上网 (6)3注意事项 (6)4基础配置举例 (6)4.1 NAPT方式/NOPAT方式/EASYIP方式配置举例 (6)4.1.1组网需求 (6)4.1.2配置思路 (7)4.1.3使用版本 (7)4.1.4配置步骤 (7)4.1.5验证结果 (9)4.2静态地址转换配置举例 (9)4.2.1组网需求 (9)4.2.2配置思路 (9)4.2.3使用版本 (9)4.2.4配置步骤 (9)4.2.5验证结果 (10)4.3 NAT连接限制配置举例 (11)4.3.1组网需求 (11)4.3.2配置思路 (11)4.3.3使用版本 (11)4.3.4配置步骤 (11)NAT典型配置举例4.3.5验证结果 (12)4.4 ALG配置举例 (12)4.4.1组网需求 (12)4.4.2配置思路 (13)4.4.3使用版本 (13)4.4.4配置步骤 (13)4.4.5验证结果 (13)4.5 NAT SERVER配置举例 (14)4.5.1组网需求 (14)4.5.2配置思路 (14)4.5.3使用版本 (14)4.5.4配置步骤 (14)4.5.5验证结果 (15)4.6 NAT日志配置举例 (15)4.6.1组网需求 (15)4.6.2配置思路 (16)4.6.3使用版本 (16)4.6.4配置步骤 (16)4.6.5验证结果 (17)5典型应用配置举例 (17)5.1私网访问公网典型配置举例 (17)5.1.1组网需求 (17)5.1.2配置思路 (18)5.1.3使用版本 (18)5.1.4配置步骤 (18)5.1.5验证结果 (19)6相关协议和标准 (19)7其它相关资料 (19)NAT典型配置举例1特性简介H3C S12500支持软件NAT（Network Address Translation，网络地址转换），不需要特殊的业务板，只需普通的业务板即可使用，本文介绍软件NAT的典型配置及注意事项。

NAT的3种实现方式配置示范网络地址转换（NAT）是一种网络协议，用于将私有IP地址转换为公共IP地址，以实现多台设备共享一个公共IP地址的功能。

NAT有三种实现方式：静态NAT、动态NAT和PAT（端口地址转换）。

1.静态NAT静态NAT是将一个私有IP地址映射到一个公共IP地址，实现一对一的映射关系。

静态NAT适用于需要固定映射关系的情况，如将内部服务器映射到公共IP地址，以便外部用户可以访问该服务器。

示范配置：1.配置内部接口的IP地址和子网掩码。

2.配置外部接口的IP地址和子网掩码，该接口将使用公共IP地址。

3.创建一个静态NAT转换规则，将内部服务器的IP地址映射到外部接口的公共IP地址。

例如，假设内部服务器的IP地址为192.168.1.10，外部接口的公共IP地址为203.0.113.10，配置如下：```interface fastethernet0/0ip address 192.168.1.1 255.255.255.0interface fastethernet0/1ip address 203.0.113.1 255.255.255.0ip nat inside source static 192.168.1.10 203.0.113.10```2.动态NAT动态NAT是将内部设备的私有IP地址动态映射到可用的公共IP地址，实现一对多的映射关系。

动态NAT适用于多个内部设备共享有限的公共IP地址的情况。

示范配置：1.配置内部接口的IP地址和子网掩码。

2.配置外部接口的IP地址和子网掩码，该接口将使用公共IP地址。

3.配置一个动态NAT池，指定可用的公共IP地址范围。

4.创建一个动态NAT转换规则，将内部设备的IP地址映射到动态NAT池中的公共IP地址。

例如，假设内部子网的IP地址范围为192.168.1.0/24，外部接口的公共IP地址为203.0.113.1，配置如下：```interface fastethernet0/0ip address 192.168.1.1 255.255.255.0interface fastethernet0/1ip address 203.0.113.1 255.255.255.0ip nat pool dynamic-nat-pool 203.0.113.10 203.0.113.20 netmask 255.255.255.0ip nat inside source list 1 pool dynamic-nat-pool overload access-list 1 permit 192.168.1.0 0.0.0.255```3.PAT（端口地址转换）PAT是一种特殊的动态NAT方法，它除了将内部设备的IP地址映射到公共IP地址外，还使用端口号来区分不同的连接。

NAT的3种实现方式配置示范网络地址转换（NAT）是一种用于将私有IP地址转换为公共IP地址的技术，以实现局域网内多个设备共享一个公共IP地址的目的。

以下是NAT的三种实现方式的配置示范。

1. 静态NAT（Static NAT）静态NAT是将一个私有IP地址映射到一个公共IP地址的一对一映射。

这个公共IP地址可以用于让外部网络访问内部网络中的特定设备。

以下是一个静态NAT的配置示例：首先，假设我们有一个私有网络，其IP地址范围是192.168.1.0/24，而我们有一个公共IP地址203.0.113.10。

1.在NAT设备上配置一个静态NAT规则：configure terminalip nat inside source static 192.168.1.5 203.0.113.102.配置内部接口和外部接口：interface GigabitEthernet0/0ip nat insideinterface GigabitEthernet0/1ip nat outside3.验证配置：show ip nat translations这个配置会将该私有网络中的设备192.168.1.5映射到公共IP地址203.0.113.10上，使其可以从外部访问该设备。

2. 动态NAT（Dynamic NAT）动态NAT是一种将私有IP地址动态映射到公共IP地址的方式，根据内部网络设备的需要，由NAT设备动态分配公共IP地址。

以下是一个动态NAT的配置示例：配置一个全局IP地址池：configure terminalip nat pool NAT-POOL 203.0.113.10 203.0.113.20 netmask 255.255.255.0配置NAT规则：ip nat inside source list 1 pool NAT-POOL overload配置访问控制列表（ACL）以指定内部网络：access-list 1 permit 192.168.1.0 0.0.0.255配置内部接口和外部接口：interface GigabitEthernet0/0ip nat insideinterface GigabitEthernet0/1ip nat outside这个配置会将内部网络192.168.1.0/24中的设备动态映射到IP地址池中的公共IP地址，可以实现内部网络中的多个设备共享有限数量的公共IP地址。

H3C路由器NAT配置实例H3C路由器NAT配置实例NAT的基本原理是仅在私网主机需要访问Internet时才会分配到合法的公网地址，而在内部互联时则使用私网地址。

当访问Internet 的报文经过NAT网关时，NAT网关会用一个合法的公网地址替换原报文中的源IP地址，并对这种转换进行记录;之后，当报文从Internet侧返回时，NAT网关查找原有的记录，将报文的'目的地址再替换回原来的私网地址，并送回发出请求的主机。

这样，在私网侧或公网侧设备看来，这个过程与普通的网络访问并没有任何的区别。

H3C NAT配置：1、配置静态地址转换：一对一静态地址转换：[system] nat static ip-addr1 ip-addr2静态网段地址转换：[system] nat static net-to-net inside-start-address inside-end-address global global-address mask 应用到接口： [interface]nat outbound static2、多对多地址转换：[interface]nat outbound acl-number address-group group-number no-pat3、配置NAPT：[interface]nat outbound acl-number [ address-group group-number ]两个特殊的NAPT：Easy IP： [interface]nat outbound acl-number (转化为接口地址)Lookback：[interface]nat outbound acl-number interface loopback interface-number (转化为loopback地址)4、双向地址转换：[system]nat overlapaddress number overlappool-startaddress temppool-startaddress { pool-length pool-length | address-mask mask } (需要结合outbound命令)5、配置内部服务器：[interface]nat server6、地址转换应用层网关：[system]nat alg (专门针对ftp之类对NAT敏感的协议)。

NAT配置实例一、网络拓扑说明：用作NAT的路由器不能用不带型号的路由器，本实例用的是AR1220。

二、配置目标：在R1上配置NAT，使得192.168.2.0/24及192.168.3.0/24的PC机，可以通过将私网地址转换为公网地址（220.173.141.1-3/29）而访问ISP的lo1假设PC3的IP地址为192.168.2.253，通过NAT将该地址静态绑定到220.173.141.5，使lo1以通过220.173.141.5这个IP地址访问到PC3。

三、配置步骤(1) 划分vlan 2，并将e0/0/1划分到vlan 2。

相关配置命令如下：<Huawei>sys[Huawei]vlan 2[Huawei-vlan2]int e0/0/1[Huawei-Ethernet0/0/1]port link-type access[Huawei-Ethernet0/0/1]port default vlan 2(2)划分vlan3，并将e0/0/2、e0/0/2划分到vlan3。

相关配置命令同上。

(3) 配置g0/0/1，将其设为trunk类型，并允许Vlan2和Vlan3通过。

[Huawei]int g0/0/1[Huawei-GigabitEthernet0/0/1]port link-type trunk[Huawei-GigabitEthernet0/0/1]port trunk allow-pass vlan 2 33、配置路由器R1，实现Vlan2与Vlan3之间的通信。

相关命令如下（子接口编号与VLAN号没有关系）：<Huawei>system-view[Huawei]sysname R1[R1]int g0/0/0.2[R1-GigabitEthernet0/0/0.2]ip address 192.168.2.254 24[R1-GigabitEthernet0/0/0.2]dot1q termination vid 2[R1-GigabitEthernet0/0/0.2]arp broadcast enable[R1]int g0/0/0.3[R1-GigabitEthernet0/0/0.2]ip address 192.168.3.254 24[R1-GigabitEthernet0/0/0.2]dot1q termination vid 3[R1-GigabitEthernet0/0/0.2]arp broadcast enable经过以上配置，Vlan2与Vlan3之间的PC机应该可以相互Ping通。