NAT 不用出接口地址做轉換地址 怎麼配

使用同一個地址

2.15.2  內網用戶通過NAT地址訪問外網配置舉例（地址不重疊）

1. 組網需求

·     某公司內網使用的IP地址為192.168.0.0/16。

·     該公司擁有202.38.1.2和202.38.1.3兩個外網IP地址。

·     需要實現，內部網絡中192.168.1.0/24網段的用戶可以訪問Internet，其它網段的用戶不能訪問Internet。使用的外網地址為202.38.1.2和202.38.1.3。

2. 組網圖

圖2-4 內網用戶通過NAT訪問外網配置組網圖（地址不重疊）

‌

3. 配置步驟

(1)     配置接口IP地址

# 根據組網圖中規劃的信息，配置各接口的IP地址，具體配置步驟如下。

<Device> system-view

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 192.168.1.1 16

[Device-GigabitEthernet1/0/1] quit

請參考以上步驟配置其他接口的IP地址，具體配置步驟略。

(2)     將接口加入安全域

# 請根據組網圖中規劃的信息，將接口加入對應的安全域，具體配置步驟如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/2

[Device-security-zone-Untrust] quit

(3)     配置靜態路由

本舉例僅以靜態路由方式配置路由信息。實際組網中，請根據具體情況選擇相應的路由配置方式。

# 請根據組網圖中規劃的信息，配置靜態路由，本舉例假設到達Server所在網絡的下一跳IP地址為202.38.1.20，實際使用中請以具體組網情況為準，具體配置步驟如下。

[Device] ip route-static 200.1.1.0 24 202.38.1.20

(4)     配置安全策略

# 配置名稱為trust-untrust的安全策略，保證Trust安全域內的Host可以訪問Untrust安全域中的Server，具體配置步驟如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-1-trust-untrust] source-zone trust

[Device-security-policy-ip-1-trust-untrust] destination-zone untrust

[Device-security-policy-ip-1-trust-untrust] source-ip-subnet 192.168.1.0 24

[Device-security-policy-ip-1-trust-untrust] destination-ip-host 200.1.1.10

[Device-security-policy-ip-1-trust-untrust] action pass

[Device-security-policy-ip-1-trust-untrust] quit

[Device-security-policy-ip] quit

(5)     配置NAT功能

# 配置地址組0，包含兩個外網地址202.38.1.2和202.38.1.3。

[Device] nat address-group 0

[Device-address-group-0] address 202.38.1.2 202.38.1.3

[Device-address-group-0] quit

# 配置地址對象組obj1，僅允許對內部網絡中192.168.1.0/24網段的用戶報文進行地址轉換。

[Device] object-group ip address obj1

[Device-obj-grp-ip-obj1] network subnet 192.168.1.0 24

[Device-obj-grp-ip-obj1] quit

# 配置全局NAT規則，允許使用地址組0中的地址對匹配的對象組obj1的報文進行源地址轉換，並在轉換過程中使用端口信息。

[Device] nat global-policy

[Device-nat-global-policy] rule name rule1

[Device-nat-global-policy-rule-rule1] source-ip obj1

[Device-nat-global-policy-rule-rule1] action snat address-group 0