源NAT内部IP和外部IP可以互相指定有选择的转换吗?
- 0关注
- 1收藏,777浏览
问题描述:
例如:
有两个同网段的外部出口公网IP(211.141.100.198/25 和 211.141.100.199/25 网关都是 211.141.100.1)
内部有多个网段(192.168.11.0/24 以及其他网段)
如何配置能指定 192.168.11.0/24 这个段与 211.141.100.198/25 这个外部出口IP地址进行NAT上外网,而其他网段全部与 211.141.100.199/25 进行NAT上外网?
(注:上网设备为 H3C UTM SecPath U200-A)
- 2020-08-22提问
- 举报
-
(0)
最佳答案
你可以试试这样操作:
1,建立两个地址组:
nat address-group 1
address 1.1.1.1 1.1.1.1
nat address-group 2
address 1.1.1.2 1.1.1.2
2,建立2个acl,指定源地址,下一步实现对应的源地址走相应的出口出去:
acl basic 2000
rule 1 permit source 192.168.1.0 0.0.0.255
acl basic 2001
rule 1 permit source 192.168.2.0 0.0.0.255
3,wan口下做nat转换:
interface GigabitEthernet0/1
port link-mode route
nat outbound 2000 address-group 1
nat outbound 2001 address-group 2
- 2020-08-22回答
- 评论(2)
- 举报
-
(0)
可以把211.141.100.198加入address-group 0,配置acl 3000 匹配源ip 192.168.11.0/24,在出口配置nat outbound 3000 address-group 0和nat outbound实现
- 2020-08-22回答
- 评论(0)
- 举报
-
(0)
更正一下,打错了,网关都是 211.141.100.129
@寂东
这样做的话,不知道原来的目的NAT会不会因此而失效,比如:
interface GigabitEthernet0/4
port link-mode route
nat outbound 3000
nat server 1 protocol tcp global current-interface 8080 inside 192.168.11.100 8080
ip address 211.141.100.198 255.255.255.128
- 2020-08-22回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
这样做的话,不知原来的目的NAT会不会失效,比如: interface GigabitEthernet0/4 port link-mode route nat outbound 3000 nat server 1 protocol tcp global current-interface 8080 inside 192.168.11.100 8080 ip address 211.141.100.198 255.255.255.128
目的NAT是从外向内访问的,防火墙是根据会话来转发数据的,出去的时候查会话,匹配会话转发数据,你最好规划下,某个地址如果做了端口映射,源NAT也是用目的nat相同的公网地址,