企业网络管理宝典 NAT设置入门篇

典型案例分析

企业A因业务需要和企业B拉设市区SDH专线，以便访问企业B后端的服务器C，而企业A的总公司D（企业A和总公司D通过SDH专线进行跨省网络连接，这也是目前绝大部分全国性企事业单位的网络连接方式）的后台服务器也要和服务器C进行数据校验确认，企业A和企业B按照各自的安全等级保护标准，都对SDH两端设置了比较严密的安全措施，均不想让对方了解自己公司内部的拓扑和IP地址。企业B提供了一个已经经过源地址NAT后的IP地址（196.1.1.10）供企业A远程调用，企业A和B网络连接如图2：

图2

看上去这样的需求似乎很简单，企业A的信息技术人员在本方路由器上进行路由的设定，将去往196.1.1.10的数据包甩给下一跳网关10.1.1.2，总公司端也设置了到196.1.1.10的路由条目以供数据校验，测试数据一切正常。

在正常使用了一段时间以后，企业B的信息技术人员发现还有其它合作企业采用了和企业A一样的内网IP段，这样他们在写回程路由时就无法指定下一条。比如企业E也有和企业A一样的内网架构和IP地址规划，而且也是采用同样的网络接口配置和企业B互联，就会出现这种情况：有一个源地址同为9.9.12.10的数据包分别从企业A和企业E送往服务器C，而企业B在往回送数据包的时候不知道该把这个包回给企业A还是E。为了解决这个问题，企业B给与其有SDH专线业务的单位A和E（也许更多）发了一个通知，声明他们只会把数据包扔给SDH专线互联的另一端，即接口地址（以企业A为例，即是图3中的10.1.1.1），要求对方自行进行NAT设置。

 
图3注：为了讲解方便，拓扑中略去了一些网络设备（如防火墙，IDS，交换机等）。

于是企业A的信息技术人员在本端路由器的S2/0口上进行了如下设置（CLI命令行以H3C的设备为例，仅供参考），

interface Serial2/0

link-protocol ppp

fe1 unframed

ip address 10.1.1.1 255.255.255.252

nat outbound 2000

在S2/0接口上设定了一个ACL列表，ACL列表的号为2000，要将这个ACL列表中的所有地址进行NAT转换（ACL列表的配置略去，ACL列表中即为所有需要访问对方的源IP地址），应用在此接口的意思就是NAT后的源地址为此接口地址，这样就符合企业B提出的要求了。