nat outbound acl-number address-group group-index 概念及题目
我们来详细解析华为/H3C设备中的 nat outbound acl-number address-group group-index 命令,包括详细概念和完整实验。
第一部分:详细概念解析
-
命令概述
nat outbound acl-number address-group group-index 是动态NAT的核心配置命令,用于在接口出方向对匹配指定ACL的流量使用地址组进行源地址转换。 -
命令完整语法
nat outbound acl-number address-group group-index [ no-pat [ reversible ] | pat ] -
参数详解
nat outbound:配置出方向NAT
acl-number:基本ACL编号(2000-2999),定义需要NAT转换的流量
address-group:指定使用的NAT地址组
group-index:地址组索引号(0-31)
no-pat:不使用端口转换(一对一NAT)
reversible:允许反向NAT转换
pat:启用端口地址转换(多对一NAT)
- 工作原理
数据包处理流程:
[内网主机] → [数据包进入路由器] → [路由查询] → [出接口检查] → [NAT转换] → [互联网]
| | |
源IP: 私网IP 匹配ACL规则 使用地址组转换
↓ ↓
ACL 2000 地址组1(200.1.1.10-200.1.1.20) - NAT模式对比
模式 命令参数 转换方式 适用场景
动态NAT 无参数 多对多,无端口转换 企业多用户
NAPT pat 多对多,带端口转换 通用场景
一对一NAT no-pat 一对一IP映射 服务器映射
第二部分:详细实验
实验目标
通过多个场景掌握 nat outbound acl-number address-group group-index 的配置和应用。
实验拓扑
[内部网络] = (GE0/0/1) [路由器 R1] (GE0/0/0) = [互联网]
192.168.1.0/24 192.168.1.1 200.1.1.1/24
↓
PC1: 192.168.1.10
PC2: 192.168.1.20
PC3: 192.168.1.30
实验一:基础动态NAT配置
第1步:基础网络配置
system-view
[R1] sysname NAT-Gateway
配置内网接口
[NAT-Gateway] interface GigabitEthernet 0/0/1
[NAT-Gateway-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.0
[NAT-Gateway-GigabitEthernet0/0/1] quit
配置外网接口
[NAT-Gateway] interface GigabitEthernet 0/0/0
[NAT-Gateway-GigabitEthernet0/0/0] ip address 200.1.1.1 255.255.255.0
[NAT-Gateway-GigabitEthernet0/0/0] quit
第2步:创建NAT地址组
创建地址组1
[NAT-Gateway] nat address-group 1
[NAT-Gateway-address-group-1] address 200.1.1.10 200.1.1.20 mask 255.255.255.0
[NAT-Gateway-address-group-1] quit
创建地址组2(用于测试)[NAT-Gateway] nat address-group 2
[NAT-Gateway-address-group-2] address 200.1.1.21 200.1.1.30 mask 255.255.255.0
[NAT-Gateway-address-group-2] quit
第3步:配置ACL规则
ACL 2000 - 允许192.168.1.0/24网段NAT转换
[NAT-Gateway] acl number 2000
[NAT-Gateway-acl-b