在华三(H3C)防火墙中,nat outbound 2000 是一条配置命令,用于将匹配 ACL 2000 的流量进行 源地址转换(NAT Outbound)。以下是详细解释:
核心作用:
- 对匹配 ACL 2000 的流量实施 NAT,将内部私有 IP 转换为公网 IP,使其能够访问外部网络(如互联网)。
- 默认启用?PAT(端口地址转换),允许多个内网 IP 共享一个公网 IP(通过端口区分会话)。
配置逻辑:
ACL 2000:
- 是一条基本访问控制列表(范围 2000-2999),用于匹配需要 NAT 的源 IP 地址或网段。
- 例如:<PLAINTEXT>
acl basic 2000 rule permit source 192.168.1.0 0.0.0.255 //允许 192.168.1.0/24 网段触发 NAT
NAT Outbound:
- 在接口视图(通常是外网接口,如?interface GigabitEthernet0/1)下应用此命令。
- 自动使用该接口的 IP 作为转换后的公网 IP(也可通过地址池指定其他 IP)。
典型场景:
<PLAINTEXT>
interface GigabitEthernet0/1 //外网接口 nat outbound 2000 //对 ACL 2000 的流量做 NAT
- 内网主机(192.168.1.10)访问外网:
- 流量到达防火墙外网接口时,匹配 ACL 2000。
- 源 IP 被转换为接口的公网 IP(如 203.0.113.1),并记录端口映射。
- 外部服务器看到请求来自 203.0.113.1,响应返回到该 IP 和端口,防火墙再将数据转发回内网主机。
扩展选项:
- 指定地址池:<PLAINTEXT>
nat outbound 2000 address-group 1 //使用地址池 1 中的公网 IP - 禁用 PAT(仅 IP 转换,需足够公网 IP):<PLAINTEXT>
nat outbound 2000 no-pat
总结:
- nat outbound 2000?= 将 ACL 2000 允许的内网流量,通过外网接口 IP 进行源地址转换(默认启用 PAT)。
- 关键依赖:确保 ACL 2000 正确定义了需要 NAT 的内网网段。
