双运营商

起一个nat地址池，包包含第一个公网口的网关地址，公网口做一个nat intbound  address-group x，另一个公网口是一样的，先起一个地址组包含公网网关，做nat in

NAT命令 -- NAT配置命令 -- nat inbound

nat inbound命令用来配置入方向动态地址转换。

undo nat inbound命令用来删除指定的入方向动态地址转换。

【命令】

nat inbound acl-number address-group group-number [ vpn-instance vpn-instance-name ] [ no-pat [ reversible ] [ add-route ] ]

undo nat inbound acl-number

【缺省情况】

不存在入方向动态地址转换配置。

【视图】

接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

acl-number：ACL编号，取值范围为2000～3999。

address-group group-number：指定地址转换使用的地址组。group-number为地址组编号，取值范围与设备的型号有关，请以设备的实际情况为准。

vpn-instance vpn-instance-name：指定地址组中的地址所属的VPN。vpn-instance-name表示MPLS L3VPN的VPN实例名称，为1～31个字符的字符串，区分大小写。如果未指定本参数，则表示地址组中的地址不属于任何一个VPN。

no-pat：表示使用NO-PAT方式进行转换，即转换时不使用报文的端口信息。如果未指定本参数，则表示使用PAT方式进行转换，即转换时使用报文的端口信息。PAT方式仅支持TCP、UDP和ICMP查询报文，由于ICMP报文没有端口的概念，我们将ICMP ID作为ICMP报文的源端口。

reversible：表示允许反向地址转换。即，在外网用户主动向内网发起连接并成功触发建立地址转换表项的情况下，允许内网向该外网用户发起的连接使用已建立的地址转换表项进行目的地址转换。

add-route：为转换后的地址添加路由表，其目的地址是转换后的地址，出接口为进行地址转换的接口，下一跳为该报文转换前的源地址。

【使用指导】

从配置了入方向地址转换的接口接收到的符合ACL permit规则的报文，会使用地址组group-number中的地址进行源地址转换。

入方向地址转换有两种转换方式：

·              PAT方式：对于从外网到内网的报文，如果符合ACL，则使用地址组中的地址进行源地址转换，同时转换源端口（IP1/port1转换为IP2/port2）。

·              NO-PAT方式：对于从外网到内网的报文，如果符合ACL，则使用地址组中的地址进行源地址转换，不转换源端口（IP1转换为IP2）；如果用户配置了reversible，则允许内网通过IP2主动访问外网，对于此类访问报文，需要进行ACL反向匹配（提取报文的源地址/端口和目的地址/端口，并将目的地址转换为IP1，然后将源地址/端口和目的地址/端口互换去匹配ACL），只有反向匹配ACL的报文才能进行转换（将目的地址IP2转换为IP1），否则不予转换。

nat inbound命令通常与nat outbound、nat server或nat static配合使用，用于支持在外网侧口上对报文同时进行源和目的转换，即双向NAT。

需要注意的是：

·              一个地址组被nat inbound配置引用后，就不能再被nat outbound配置引用。

·              一个地址组被PAT方式的nat inbound配置引用后，不能再被NO-PAT方式的nat inbound配置引用，反之亦然。

·              在一个接口下，一个ACL只能被一个nat inbound引用。

·              add-route参数不能应用在内网与外网地址重叠的组网场景中。

·              如果指定了add-route参数，则有报文命中该配置时，设备会自动添加路由表项：目的地址为本次地址转换使用的地址组中的地址，出接口为本配置所在接口，下一跳地址为报文的源地址；如果没有指定add-route参数，则用户需要在设备上手工添加路由。由于自动添加路由表项速度较慢，通常建议手工添加路由。

·              一个接口下可同时配置多条入方向地址转换。

【举例】

#  配置地址组1，并添加地址组成员：202.110.10.10、202.110.10.11、202.110.10.12。

[Sysname] nat address-group 1

[Sysname-address-group-1] address 202.110.10.10 202.110.10.12

[Sysname-address-group-1] quit

# 在接口GigabitEthernet1/0/1上配置入方向动态地址转换，使用地址组1中的地址进行地址转换，在转换的时候不使用TCP/UDP的端口信息，且需要添加路由。

[Sysname] interface gigabitethernet 1/0/1

[Sysname-GigabitEthernet1/0/1] nat inbound 2001 address-group 1