二、一步步教你配置NAT（華為3COM篇）

上一篇我們講解了如何使用WINDOWS操作系統建立NAT（一步步教你配置NAT服務器篇），成功的將內網計算機隱藏在NAT服務器之下，一方面提高了網絡的安全性，另一方面解決了公網絡IP地址不夠用的問題。我們還可以通過在路由器上做配置，讓路由器在路由數據包的同時起到NAT的作用。今天就將詳細配置指令教給大家。

1.網絡環境：

內網用戶IP地址為10.83.91.0/255.255.254.0，也就是說IP地址為兩個C類地址，涵蓋范圍為10.83.91.0到10.83.92.255。路由器使用的是華為公司出品的2621產品，該產品有兩個以太網口供我們使用。網口一連接外網，IP地址為公網地址；網口二連接內 網，IP地址為私網地址。

2.配置過程：

公司希望在路由器上配置NAT功能，讓內網中的用戶使用NAT訪問外網。2621路由器上已經配置了外網接口IP為61.51.3.103(公網IP地址），內網接口IP地址為10.83.91.254。NAT配置命令如下，筆者將一一做詳細注釋。

“acl 1”

命令解釋：設置一個訪問控制列表，列表號為1。

“rule normal permit source 10.83.91.254 0.0.1.255”

命令解釋：為訪問控制列表添加規則，容許10.83.91.254/255.255.254.0這個網段的所有地址通過。注意一點的是命令中使用的是0.0.1.255這樣的反向掩碼形式，實際上他代表子網掩碼為255.255.254.0。

“nat outbound 1 interface”

命令解釋：在NAT出口接口上進行設置，即外網接口，啟用NAT功能。容許NAT的主機為訪問控制列表1中規定的地址。

小提示：華為路由器啟用NAT功能時使用了一種稱作EASYIP的技術，可以讓內網IP映射為路由器的外網接口IP地址，從而讓多個內網IP地址對應一個公網IP，這個技術可以在數量上節省一個公網IP地址。

3.附屬功能：

有的公司可能有專門的WWW服務器或MAIL服務器，對于這些服務器來說不能使用NAT進行映射，因為NAT后如果沒有采用其他諸如端口映射的方法外網用戶是不能正常訪問WWW和MAIL服務器的。這時可以在路由器上使用nat server命令解決這個問題，對主機進行宣告。例如上面的公司如果其WWW服務器的IP地址內網是10.83.91.2，公網發布地址為61.51.3.104的話，可以使用如下命令宣告：“nat server global 61.51.3.104 any inside 10.83.91.2 any ip”。

總結：

筆者在公司的2621上配置了NAT后網絡運行非常穩定，不過配置時要注意以下幾點，一是設置訪問控制列表時一定要設置相應的規則，如果ACL是空或者規則采用permit any都會造成NAT的失效，因為路由器將不知道哪個接口為NAT外網接口，哪個是內網接口。