出口同网段IP设置上网

一、组网逻辑梳理
两条运营商线路：
线路 1：中转设备 → 运营商，IP：30.3.3.2/24
线路 2：主出口防火墙 → 运营商，IP：30.3.3.3/24
内网侧：
主出口防火墙与中转设备互联：192.168.249.17/28 ↔ 192.168.249.18/28
主出口防火墙下联内网：192.168.0.5/30 ↔ 192.168.0.6/30 → 终端 10.3.1.1/24
目标：让指定流量（比如要 “变 IP” 的业务）从主出口防火墙 → 中转设备 → 线路 1 上网，其他流量从线路 2 直接上网。
二、核心配置思路
主出口防火墙：静态路由 + 策略路由 + NAT
中转设备：回程静态路由 + NAT
关键注意：同网段出口的路由优先级、NAT 地址池、防环路
三、主出口防火墙配置（H3C SecPath 为例）
1. 接口配置（先确认）
bash
运行
# 上联线路2（主出口）
interface GigabitEthernet 0/1
ip address 30.3.3.3 255.255.255.0
nat outbound 2000 address-group 1

# 上联中转设备
interface GigabitEthernet 0/2
ip address 192.168.249.18 255.255.255.240

# 下联内网
interface GigabitEthernet 0/3
ip address 192.168.0.5 255.255.255.252
2. 基础路由配置
bash
运行
# 主线路默认路由（所有流量默认走线路2）
ip route-static 0.0.0.0 0 30.3.3.1 preference 60

# 中转设备回程路由（让中转设备回来的流量知道回内网）
ip route-static 10.3.1.0 24 192.168.0.6
3. 策略路由（让指定流量走中转设备→线路 1）
bash
运行
# 1. 定义要“变IP”的流量ACL（比如10.3.1.0/24里的部分主机）
acl number 3000
rule permit ip source 10.3.1.1 0

# 2. 创建策略路由
policy-based-route TO_TRANS permit node 10
if-match acl 3000
apply ip next-hop 192.168.249.17 # 指向中转设备的互联IP

# 3. 在内网入接口上应用策略路由
interface GigabitEthernet 0/3
ip policy-based-route TO_TRANS
4. NAT 配置（关键！）
bash
运行
# 线路2 NAT地址池（默认上网用）
nat address-group 1 30.3.3.3 30.3.3.3
acl number 2000
rule permit source 10.3.1.0 24

# 中转设备侧的NAT由中转设备自己处理，主出口只需要保证能把流量转发过去
四、中转设备配置（H3C MSR / 防火墙均可）
1. 接口配置
bash
运行
# 上联线路1（中转出口）
interface GigabitEthernet 0/1
ip address 30.3.3.2 255.255.255.0
nat outbound 2000 address-group 1

# 上联主出口防火墙
interface GigabitEthernet 0/2
ip address 192.168.249.17 255.255.255.240
2. 回程静态路由（核心）
必须让中转设备知道：内网网段要回主出口防火墙
bash
运行
ip route-static 10.3.1.0 24 192.168.249.18
ip route-static 192.168.0.4 30 192.168.249.18
3. NAT 配置（中转侧）
bash
运行
# 中转设备NAT地址池（用线路1的公网IP）
nat address-group 1 30.3.3.2 30.3.3.2
acl number 2000
rule permit source 10.3.1.0 24

# 接口应用NAT
interface GigabitEthernet 0/1
nat outbound 2000 address-group 1
五、关键问题解决 & 优化
1. 同网段出口路由冲突怎么办？
两条线路都是 30.3.3.0/24，如果同时在主出口配置默认路由，会形成等价路由，流量随机走，不符合你 “部分走中转、部分直连” 的需求。
解决：
主出口只配置线路 2的默认路由
线路 1 的流量通过策略路由强制指向中转设备，不直接配置默认路由
2. 防环路
中转设备不能再配置指向主出口的默认路由，否则会出现环路。
中转设备只保留指向内网的静态路由，默认路由只能指向线路 1 的运营商网关。
3. 验证方法
在终端 10.3.1.1 上 ping 公网，同时在主出口和中转设备上看会话表：
bash
运行
display session table source 10.3.1.1
正常情况下，会话会在中转设备上显示 NAT 为30.3.3.2，主出口上显示转发给192.168.249.17。
六、一句话总结
主出口防火墙：配置默认路由走线路 2，用策略路由把指定流量强制转发给中转设备。
中转设备：配置回程静态路由指向主出口，同时用线路 1 的 IP 做 NAT，实现 “变 IP” 上网。

FW到中转做个NAT不就行了

做2次NAT就可以

1. 主出口设备配置（核心）

• 基础路由与接口配置：确保主设备的两个 WAN 口均已配置好运营商提供的同网段 IP，且下一跳均可 Ping 通。
• 定义匹配条件（ACL）：创建高级 ACL，用于匹配那些需要走“中转设备”的内网源 IP 地址或特定业务网段。例如：
  
  

  acl advanced 3000 rule permit ip source <需要变IP的内网网段> 0.0.0.255
• 配置策略路由节点：创建一个策略路由，将上述 ACL 匹配的流量强制指定下一跳为“中转设备”的 LAN 口 IP；同时可以设置一个兜底节点，让其他未匹配的流量走主出口默认网关。
  policy-based-route PBR_VIP permit node 10 if-match acl 3000 apply next-hop <中转设备LAN口IP> policy-based-route PBR_VIP permit node 20 if-match any apply next-hop <主WAN口默认网关>
• 应用策略到内网接口：必须将配置好的策略路由应用到连接内网终端的 VLAN 虚接口或物理接口的入方向（inbound），这样从终端发出的流量才会被拦截并重新选路。
  interface Vlan-interface 10 ip policy-based-route PBR_VIP

2. 中转设备配置

• 接口与路由配置：配置好上下行 IP，并添加指向主 WAN 口网关（或运营商真实网关）的默认路由，确保变 IP 后的数据包有去路。
• NAT 转换（关键）：为了让这部分流量实现“变 IP”，需要在连接主网络的接口上配置源 NAT（SNAT/Easy IP）。可以使用一个独立的 ACL 匹配来自内网的流量，并将其源地址转换为中转设备 WAN 口的 IP。
  # H3C/华为参考命令 acl basic 2000 rule permit source <需要变IP的内网网段> 0.0.0.255 interface GigabitEthernet 1/0/1 (出公网接口) nat outbound 2000
• 安全策略放行：如果中转设备是防火墙或具备区域管理功能的路由器，务必新建安全策略，允许 Trust（内网）区域访问 Untrust（外网）区域的流量，否则数据会被设备自身的安全机制拦截。