NE80/NE40/S8016产品VRP3.1/3.3版本NAT网络地址转换功能的配置

NE80/NE40/S8016产品VRP3.1/3.3版本NAT网络地址转换功能的配置

一、  组网需求：

对8011上从E3/0/15接口进入的源地址网段为10.0.0.0/8，目的地址网段为20.0.0.0/8的数据流进行NAT网络地址转换，转换后的地址为公网地址20.0.0.5～20.0.0.10/24

二、  组网图：

RTA和RTB可以为任意路由器或三层交换机，8011为需要实现NAT网络地址转换功能的NE80/NE40/S8016设备。8011上VRP软件版本为3.1或3.3

三、  配置步骤：

1.      按上图组网，配置好各端口IP地址，在RTA上配置到公网地址网段20.0.0.0/8的静态路由，下一跳指向直连的8011的接口地址10.0.1.1

2.      在8011上配置NAT，对从E3/0/15端口进入的源地址网段为10.0.0.0/8，目的地址网段为20.0.0.0/8的数据流进行NAT地址转换。配置过程如下：

1)             创建NAT地址池

[8011]nat address-group NAT1 20.0.0.5 20.0.0.10 mask 255.255.255.0 slot 4

2)             创建需要进行NAT网络地址转换的流分类rule-nat

[8011]rule-map intervlan rule-nat ip 10.0.0.0 0.255.255.255 20.0.0.0 0.255.255.255

3)             激活指向NAT地址池的NULL0路由

[8011]nat enable address-group NAT1

4)             定义NAT服务级别和连接数

[8011]nat service-class 4 connections 0

5)             创建NAT流行为act-nat

[8011]flow-action act-nat nat address-group NAT1 service-class 4

6)             定义EACL，将需要进行NAT的流分类和NAT流行为绑定

[8011]eacl eacl-nat rule-nat act-nat

7)             进入公网接口，让公网口回应针对NAT地址池的各地址的ARP（如果NAT地址池与公网接口地址在同一个网段就一定需要这一配置步骤，如果不在同一网段则不需要这一配置步骤）

[8011]interface Ethernet 3/0/0

[8011-Ethernet3/0/0] nat match-host NAT1

8)             如果私网接口是二层接口，进入接口视图并在此端口应用EACL

[8011]interface Ethernet 3/0/15

[8011-Ethernet3/0/15]access-group switch eacl eacl-nat

9)             如果私网接口是三层接口，进入接口视图并在此端口应用EACL

[8011]interface Ethernet 3/0/15

[8011-Ethernet3/0/15]access-group router eacl eacl-nat

注：步骤8）和9）只用选择其一，如果要实现访问控制的接口是二层接口则选择步骤8），如果是三层接口则选择步骤9）

3.      从RTA上ping路由器RTB的接口20.0.0.1，结果可以ping通

四、  配置关键点：

配置过程一共分5步：首先创建NAT地址池，并用nat enable address-group ...命令激活NAT地址池指向NULL0的静态路由；接着定义需要进行NAT的流分类；再定义一个NAT流动作；然后在EACL中将需要NAT的流分类和NAT流行为绑定；最后把EACL在相应端口应用。

特别需要注意的是配置过程中需要激活地址池的所有地址指向NULL0的静态路由；另外如果NAT地址池与公网接口在同一网段，需要在公网接口上配置nat match-host ...命令，让公网接口能自行回应针对NAT地址池中各地址的ARP请求。

创建NAT地址池时后面可以跟关键字no-pat，如果没有此关键字的话地址转换方式是地址+端口转换，如果有此关键字则为纯粹的地址转换。