h3c路由器nat上网配置
假设拓扑如下:
接口 GigabitEthernet 0/0(简称 GE0/0)连接外网,属于 10.33.1.0/24 网段(例如该路由器 IP 为 10.33.1.249/24,上行防火墙网关为 10.33.1.253)。
接口 GigabitEthernet 0/1(简称 GE0/1)连接内网,IP 为 10.33.100.1/23。
内网主机默认网关指向 10.33.100.1。
需求:外网接口获取互联网访问权(静态 IP 配置 + 默认路由),内网通过 PAT(端口地址转换,也称 Easy IP)访问互联网,使用外网接口 IP 进行源地址转换。
配置步骤(命令行模式)
进入系统视图
<H3C> system-view
2.配置外网接口 GE0/0(WAN口)
[H3C] interface GigabitEthernet 0/0
[H3C-GigabitEthernet0/0] ip address 10.33.1.249 255.255.255.0 // 根据实际外网 IP 修改
[H3C-GigabitEthernet0/0] undo shutdown
[H3C-GigabitEthernet0/0] quit
3.配置内网接口 GE0/1(LAN口)
[H3C] interface GigabitEthernet 0/1
[H3C-GigabitEthernet0/1] ip address 10.33.100.1 255.255.254.0
[H3C-GigabitEthernet0/1] undo shutdown
[H3C-GigabitEthernet0/1] quit
4.配置默认路由(指向外网上行网关,实现互联网访问)
[H3C] ip route-static 0.0.0.0 0.0.0.0 10.33.1.253 // 上行网关 IP,根据实际修改
5.配置 ACL 匹配内网源地址(允许 NAT 的流量)
[H3C] acl number 2000
[H3C-acl-basic-2000] rule 0 permit source 10.33.100.0 0.0.1.255 // 通配符掩码对应 /23
[H3C-acl-basic-2000] quit
6.在外网接口上配置 PAT(Easy IP)NAT 转换
[H3C] interface GigabitEthernet 0/0
[H3C-GigabitEthernet0/0] nat outbound 2000
[H3C-GigabitEthernet0/0] quit
此命令启用 Easy IP:内网访问外网时,源地址自动转换为 GE0/0 的 IP(支持端口复用,多主机共享一个公网 IP)。
8.保存配置
[H3C] save f
9.验证命令
查看 NAT 配置:display nat all
查看 NAT 会话:display nat session
查看路由表:display ip routing-table
查看接口状态:display interface brief
从内网主机 ping 外网(如 8.8.8.8)测试互联网连通性。
10.重要补充:扩展 NAT ACL 以包含新网段
您之前的 NAT 只匹配了 10.33.100.0/24,现在多了 10.33.110.0/23 网段,必须把 ACL 扩大,否则该网段流量不会被 NAT,无法上网。
修改 ACL 2000:
text
[H3C] acl number 2000
[H3C-acl-basic-2000] undo rule 1 // 先删除旧规则(如果有)
[H3C-acl-basic-2000] rule 1 permit source 10.33.100.0 0.0.0.255
[H3C-acl-basic-2000] rule 2 permit source 10.33.110.0 0.0.1.255 // 通配符掩码对应 /23
[H3C-acl-basic-2000] quit或者更简洁:创建一个更大的 ACL 包含两个网段(如果后续还有其他内网段也可继续添加)。
验证命令(路由器上)
text
display ip routing-table // 查看是否出现 10.33.110.0/23 的静态路由
display acl 2000 // 查看 ACL 是否包含新网段
display nat session // 上网后查看是否有该网段的 NAT 会话