NE80/NE40/S8016产品VRP5.3版本 NAT网络地址转换功能的配置

NE80/NE40/S8016产品VRP5.3版本 NAT网络地址转换功能的配置

一、  组网需求：

对8011上从E3/0/15接口进入的源地址网段为10.0.0.0/8，目的地址网段为20.0.0.0/8的数据流进行NAT网络地址转换，转换后的地址为公网地址20.0.0.5～20.0.0.10/24

二、  组网图：

RTA和RTB可以为任意路由器或三层交换机，8011为需要实现NAT网络地址转换功能的NE80/NE40/S8016设备。8011上VRP软件版本为5.3

三、  配置步骤：

1.                        按上图组网，配置好各端口IP地址，在RTA上配置到公网地址网段20.0.0.0/8的静态路由，下一跳指向直连的8011的接口地址10.0.1.1

2.                        在8011上配置NAT，对从E3/0/15端口进入的源地址网段为10.0.0.0/8，目的地址网段为20.0.0.0/8的数据流进行NAT地址转换。配置过程如下：

1)             创建NAT地址池

[8011]nat address-group NAT1 20.0.0.5 20.0.0.10 mask 255.255.255.0 slot 4

2)             激活指向NAT地址池的NULL0路由

[8011]nat enable address-group NAT1

3)             创建定义需要NAT的流特征的ACL，并创建与之对应的流分类

[8011]acl number 11000

[8011-acl-simple-11000]rule ip source 10.0.0.0 0.255.255.255 destination 20.0.0.0 0.255.255.255

[8011]traffic classifier NAT

[8011-classifier-NAT]if-match acl 11000

4)             创建NAT流行为

[8011]traffic behavior NAT

[8011-behavior-NAT]nat address-group NAT1

5)             创建流策略，将流分类和流行为关联

[8011]traffic policy NAT

[8011-trafficpolicy-NAT]classifier NAT behavior NAT

6)             进入公网接口，让公网口回应针对NAT地址池的各地址的ARP（如果NAT地址池与公网接口地址在同一个网段就一定需要这一配置步骤，如果不在同一网段则不需要这一配置步骤）

[8011]interface Ethernet 3/0/0

[8011-Ethernet3/0/0] nat match-host NAT1

7)             进入相应端口，并在端口上应用NAT流策略

[8011]interface Ethernet 3/0/15

[8011-Ethernet3/0/15]traffic-policy nat inbound vlan all

8)             在全局激活流策略

[8011]commit traffic policy

3.                        从RTA上ping路由器RTB的接口20.0.0.1，结果可以ping通

四、  配置关键点：

配置过程一共分6步：首先创建NAT地址池，并用nat enable address-group ...命令激活NAT地址池指向NULL0的静态路由；接着定义需要进行NAT的流分类；再定义一个NAT流动作；然后在流策略中将需要NAT的流分类和NAT流行为绑定；再把定义好的流策略在相应端口应用，最后，不要忘了在全局提交激活流策略。

特别需要注意的是配置过程中需要激活地址池的所有地址指向NULL0的静态路由，另外如果NAT地址池与公网接口在同一网段，需要在公网接口上配置nat match-host命令，让公网接口能自行回应针对NAT地址池中各地址的ARP请求。

创建NAT地址池时后面可以跟关键字no-pat，如果没有此关键字的话地址转换方式是地址+端口转换，如果有此关键字则为纯粹的地址转换。