h3c交换机配置nat_完全解析H3C路由器动态NAT配置步骤

以下内容摘自刚刚上市，史上最全面、最系统的的四本大型(每本平均近900页)网络设备新书之一《H3C路由器配置与管理完全手册》(第二版)，其它三本分别是：《Cisco交换机配置与管理完全手册》(第二版)、《Cisco路由器配置与管理完全手册》(第二版)和

在互动出版网上同时购买这四本新书，7折并赠送一个8G云U盘(另送15G云空间)，点击查看：http://www.china-pub.com/STATIC/zt_mb/zt_huodong_2013_1.asp?filename=2013_slwd_0801

7.3配置动态NAT地址转换

在本章前面已说了，H3C路由器所支持的动态NAT地址转换主要包括：NAPT、NOPAT、EASY IP这三种模式。一般情况下，通过在接口上配置所需关联的ACL和内部全局地址池(当采用EASY IP进行配置时不用配置址池)即可实现动态地址转换，让内部网络用户根据ACL(可选配置)所配置的策略动态选择地址池中可用的IP地址进行转换。但要注意：有些H3C设备还支持仅仅通过判断流出接口报文的源地址，而不使用ACL的方式来实现出接口报文的动态地址转换。

NOPAT和NAPT的区别就是根据是否同时使用端口信息来进行动态地址转换：NOPAT为不使用TCP/UDP端口信息实现的多对多地址转换是纯IP地址的转换；NAPT为使用TCP/UDP端口信息实现的多对一地址转换，可以是仅IP地址或端口，或者端口与IP地址同时进行的转换。若直接使用NAT路由器外部网络接口的IP地址作为转换后的内部全局IP地址，则就是EASY IP这种动态NAT地址转换模式了。

在H3C路由器中，NAT地址转换关联一般在NAT路由器的外部网络接口(出接口)上配置，但是当某内网主机需要通过多个出接口访问外网时，就需要在多个出接口上配置地址转换关联，配置过程就比较复杂了，所以H3C路由器又提供了内部网络接口(入接口)地址关联的配置方案。这样当NAT路由器作为×××间互访的工具时，在出接口较多的情况下，通过在接入各私网的入接口上配置地址转换关联达到简化配置的目的。这两种配置方式的特点如下(目前主要还是在出接口上关联)：

l    若配置NAT路由器外部网络接口地址关联，那么从外部网络接口发送的首个数据包会首先由ACL(或报文源地址)进行判定是否允许进行地址转换，然后根据关联找到与之对应的地址池(或接口地址)进行源地址转换，并建立地址转换表项，后续数据包直接根据地址转换表项进行转换。

l    如果配置NAT路由器内部网络接口地址关联，那么从内部网络接口接收的符合指定ACL的数据包首先会被重定向到NAT业务板，然后再做与外部网络接口地址转换类似的源地址转换处理。但该方式下地址转换不支持EASY IP特性，因为这时出口地址有多个。

【注意】NAT路由器内部网络接口地址关联的支持情况与设备的型号有关，请以设备的实际情况为准。在同时配置了入接口和出接口地址关联的情况下，若报文同时匹配了入接口和出接口的地址转换关联规则，则以出接口规则优先，即只按照出接口地址转换关联进行转换。

7.2.1配置NOPAT

NOPAT动态地址转换模式是通过配置ACL和地址池的关联，将与ACL匹配的报文的源IP地址转换为内部全局地址池中的一个IP地址，但不进行端口转换。NOPAT的具体配置步骤如表7-3所示(因为目前主要支持在出接口上关联NAT地址池，故在此仅以出接口关联进行介绍，下同)。

表7-3  NOPAT的配置步骤步骤命令说明

Step 1system-view</