華為3COM路由器上設(shè)置NAT，一方面提高了網(wǎng)絡(luò)的安全性，另一方面解決了公網(wǎng)絡(luò)IP地址不夠用的問題，讓路由器在路由數(shù)據(jù)包的同時(shí)起到NAT的作用。今天就將詳細(xì)配置指令教給大家。

1.網(wǎng)絡(luò)環(huán)境：

華為3COM路由器一部，PC機(jī)內(nèi)網(wǎng)用戶IP地址為10.83.91.0/255.255.254.0，也就是說IP地址為兩個(gè)C類地址，涵蓋范圍為10.83.91.0到 10.83.92.255。路由器使用的是華為公司出品的2621產(chǎn)品，該產(chǎn)品有兩個(gè)以太網(wǎng)口供我們使用。網(wǎng)口一連接外網(wǎng)，IP地址為公網(wǎng)地址；網(wǎng)口二連接內(nèi) 網(wǎng)，IP地址為私網(wǎng)地址。

2.配置過程：

公司希望在路由器上配置NAT功能，讓內(nèi)網(wǎng)中的用戶使用NAT訪問外網(wǎng)。2621路由器上已經(jīng)配置了外網(wǎng)接口IP為61.51.3.103(公網(wǎng)IP地址），內(nèi)網(wǎng)接口IP地址為10.83.91.254。NAT配置命令如下，筆者將一一做詳細(xì)注釋。

“acl 1”
命令解釋：設(shè)置一個(gè)訪問控制列表，列表號(hào)為1。

“rule normal permit source 10.83.91.254 0.0.1.255”
命令解釋：為訪問控制列表添加規(guī)則，容許10.83.91.254/255.255.254.0這個(gè)網(wǎng)段的所有地址通過。注意一點(diǎn)的是命令中使用的是0.0.1.255這樣的反向掩碼形式，實(shí)際上他代表子網(wǎng)掩碼為255.255.254.0。

“nat outbound 1 interface”
命令解釋：在NAT出口接口上進(jìn)行設(shè)置，即外網(wǎng)接口，啟用NAT功能。容許NAT的主機(jī)為訪問控制列表1中規(guī)定的地址。

小提示：華為路由器啟用NAT功能時(shí)使用了一種稱作EASYIP的技術(shù)，可以讓內(nèi)網(wǎng)IP映射為路由器的外網(wǎng)接口IP地址，從而讓多個(gè)內(nèi)網(wǎng)IP地址對(duì)應(yīng)一個(gè)公網(wǎng)IP，這個(gè)技術(shù)可以在數(shù)量上節(jié)省一個(gè)公網(wǎng)IP地址。

3.附屬功能：

有的公司可能有專門的WWW服務(wù)器或MAIL服務(wù)器，對(duì)于這些服務(wù)器來說不能使用NAT進(jìn)行映射，因?yàn)镹AT后如果沒有采用其他諸如端口映射的方法外網(wǎng)用戶是不能正常訪問WWW和MAIL服務(wù)器的。這時(shí)可以在路由器上使用nat server命令解決這個(gè)問題，對(duì)主機(jī)進(jìn)行宣告。例如上面的公司如果其WWW服務(wù)器的IP地址內(nèi)網(wǎng)是10.83.91.2，公網(wǎng)發(fā)布地址為 61.51.3.104的話，可以使用如下命令宣告：“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。

總結(jié)：
筆者在公司的華為3COM上配置了NAT后網(wǎng)絡(luò)運(yùn)行非常穩(wěn)定，不過配置時(shí)要注意以下幾點(diǎn)，一是設(shè)置訪問控制列表時(shí)一定要設(shè)置相應(yīng)的規(guī)則，如果ACL是空或者規(guī)則采用permit any都會(huì)造成NAT的失效，因?yàn)槁酚善鲗⒉恢滥膫€(gè)接口為NAT外網(wǎng)接口，哪個(gè)是內(nèi)網(wǎng)接口。