H3C路由器双出口NAT服务器的典型配置

H3CMSR路由器双出口NAT服务器的典型配置一、需求：MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。该校内网服务器192.168.34.55需要对外提供访问，其域名是test.h3c.edu.cn，对应DNS解析结果是211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。设备清单：MSR一台二、拓扑图：三、配置步骤：适用设备和版本：MSR系列、Version5.20,Release1205P01后所有版本。MSR关键配置(路由部分配置略)#//地址池0用于访问电信的NATnataddress-group0202.2.2.50202.2.2.100//地址池1用于访问教育网的NATnataddress-group1211.1.1.50211.1.1.100//静态NAT用于外部访问内部服务器test.h3c.edu.cnnatstatic192.168.34.55211.1.1.4#//ACL2000用于内网访问教育网和电信的NAT，允许192.168.0.0/0的源aclnumber2000descriptionNATrule10permitsource192.168.0.00.0.255.255//ACL2222用于策略路由的允许节点，即内部服务器往外发的HTTP从G5/1出去aclnumber2222descriptionpolicy-based-routepermitnoderule0permitsource192.168.34.550#//用于内部主机访问211.1.1.4的NAT映射aclnumber3000description192.168.0.0/24access211.1.1.4rule0permitipsource192.168.0.00.0.255.255destination192.168.34.550//ACL3333用于策略路由拒绝节点，即内部服务器返回内部主机的不需要被策略aclnumber3333descriptionpolicy-based-routedenynoderule0permitipsource192.168.34.550destination192.168.0.00.0.255.255#interfaceGigabitEthernet0/0portlink-moderoute//内部主机访问211.1.1.4时，将211.1.1.4替换成192.168.34.55natoutboundstatic//内部主机访问211.1.1.4时，将内部主机地址转换成192.168.86.2natoutbound3000descriptiontoneibu-Lanipaddress192.168.86.2255.255.255.252//策略路由，内部服务器返回内部的不被策略，返回外部的从G5/1出去ippolicy-based-routeaaa#interfaceGigabitEthernet5/0portlink-moderoute//内部访问电信时需要NATnatoutbound2000address-group0descriptionconnecttoChinaNetipaddress202.2.2.2255.255.255.0tcpmss1420#interfaceGigabitEthernet5/1portlink-moderoute//外部访问内部服务器211.1.1.4时静态转换成192.168.34.55natoutboundstatic//内部访问教育网时需要NATnatoutbound2000address-group1descriptionconnecttoCernetipaddress211.1.1.2255.255.255.0tcpmss1420#//策略路由aaa拒绝节点序号3policy-based-routeaaadenynode3//匹配条件ACL3333，即内部服务器返回内部的流量不需要被策略if-matchacl3333//策略路由aaa允许节点5policy-based-routeaaapermitnode5//匹配ACL2222，即内部服务器发出的流量if-matchacl2222//应用下一跳211.1.1.1，即从G5/1出去applyip-addressnext-hop211.1.1.1#四、配置关键点：1)此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；2)策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址211.1.1.4会被电信给过滤掉，因此必须使用策略路由从G5/1出去；3)策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略；4)在G0/0应用2个NAT的作用是使内网可以通过访问211.1.1.4访问内部服务器test.h3c.edu.cn，如果只使用NATOutboundStatic，那么内部主机192.168.1.199发送HTTP请求的源、目的地址对192.168.1.199,211.1.1.4会变成192.168.1.199,192.168.34.55然后发送给内部服务器，那么内部服务器会把HTTP响应以源、目的地址对192.168.34.55,192.168.1.199直接返回给内部主机（192.168.1.199可以经过内部路由不需要经过MSR到达）因此对于内部主机来说始终没有接收到211.1.1.4返回的HTTP响应，因此打开网页失败。解决问题的办法就是让内部服务器返回时经过MSR路由器，让MSR把HTTP响应192.168.34.55,192.168.1.199变成211.1.1.4,192.168.1.199，方法就是再做一次NAT，通过NATOutboundACL3000使HTTP请求变成MSR发送的192.168.86.2,192.168.34.55，这样HTTP响应就会变成192.168.34.55,192.168.86.2发送到MSR，MSR再变成211.1.1.4,192.168.1.199返回给内部主机。