双向nat案例配置（王志亮）

　　一、项目背景

　　某公司内网架设mail、web等服务器，公司员工可以通过公网使用公网ip地址直接进行访问，而无法在内网直接通过公网地址进行访问;部分终端不支持设置多个地址，导致用户体验较差。

　　1、组网图：

　　组网说明：该网络出口使用一台U200—A作为出口设备，核心使用H3C S5800-56C，并作为各网段网关，接入交换机全部是二层设备，且用户地址和服务器不在同一网段。

　　2、配置信息

　　U200的公网nat配置：

　　A、 用户地址池配置:

　　nat address-group 10 221.2.102.170 221.2.102.170 level 1

　　acl number 2000

　　description NAT address

　　rule 0 permit source 172.26.98.0 0.0.0.255

　　rule 25 permit source 172.26.96.7 0

　　B、 公网端口配置：

　　interface GigabitEthernet0/0

　　port link-mode route

　　descriptionTO_chinaunicom

　　nat outbound static

　　nat outbound 2000 address-group 10

　　nat server protocol tcp global 221.2.102.170 www inside 172.26.96.7 www

　　nat server protocol tcp global 221.2.102.170 443 inside 172.26.96.7 443

　　ip address 221.2.102.171 255.255.255.248

　　二、现象分析

　　内网用户通过公网地址是不能访问服务器的，数据流程如下：

　　1、内网用户发起请求，请求报文的目的地址为221.2.102.170;

　　2、数据到达U200后，由于路由器上有221.2.102.170的直连路由，进行ARP解析;

　　3、解析时，因为地址本身不存在，必然失败;

　　4、解析失败后，路由器会丢弃数据报文;

　　5、连接无法建立，数据不能传输。

　　三、解决方案

　　U200的私网nat配置：

　　A、 用户地址池配置

　　nat address-group 1 172.26.97.241 172.26.97.241 level 1

　　acl number 2002

　　descriptionTO_server

　　rule 0 permit source 172.26.98.0 0.0.0.255

　　B、 内网端口配置：

　　port link-mode route

　　description TO_DES-IDCCORE-58-1

　　nat outbound 2002 address-group 1

　　nat server protocol tcp global 221.2.102.170 443 inside 172.26.96.7 443

　　nat server protocol tcp global 221.2.102.170 www inside 172.26.96.7 www

　　ip address 172.26.101.4 255.255.255.248

　　四、总结

　　Natserver的优先级高于natoutbound，企业局域网内要实现公网地址直接访问内网服务器。需要在相应的设备上配置nat转换功能，实现双向nat(连接内网端口配置nat server的同时必须配置nat outbound，否则报文将被丢弃)。

2016年01月