h3c路由器双出口nat服务器的典型配置

H3C MSR路由器双出口NAT服务器的典型配置

一、需求：

MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以教育网源地址（）从G5/0访问电信网络，会被电信过滤。该校内网服务器需要对外提供访问，其域名是3c，对应DNS解析结果是。先要求电信主机和校园网内部主机都可以通过域名或正常访问，且要求校园网内部可以通过NAT任意访问电信网络或教育网络。

设备清单：MSR一台

二、拓扑图：

三、配置步骤：

适用设备和版本：MSR系列、Version , Release 1205P01后所有版本。

四、配置关键点：

1) 此案例所实现之功能只在MSR上验证过，不同设备由于内部处理机制差异不能保证能够实现；

2) 策略路由是保证内部服务器返回外网的流量从G5/1出去，如果不使用策略路由会按照普通路由转发从G5/0出去，这样转换后的源地址会被电信给过滤掉，因此必须使用策略路由从G5/1出去；

3) 策略路由的拒绝节点的作用是只要匹配ACL就变成普通路由转发，而不被策略；

4) 在G0/0应用2个NAT的作用是使内网可以通过访问访问内部服务器3c，如果只使用NAT Outbound Static，那么内部主机发送HTTP请求的源、目的地址对< 会变成< 然后发送给内部服务器，那么内部服务器会把HTTP响应以源、目的地址对< 直接返回给内部主机（可以经过内部路由不需要经过MSR到达）因此对于内部主机来说始终没有接收到返回的HTTP响应，因此打开网页失败。解决问题的办法就是让内部服务器返回时经过MSR路由器，让MSR 把HTTP响应< 变成< ，方法就是再做一次NAT，通过NAT Outbound ACL 3000使HTTP请求变成MSR发送的< ，这样HTTP响应就会变成< 发送到MSR，MSR再变成< 返回给内部主机。