地址转换NAT

概念

为了解决IPv4地址短缺的问题，通过内网到外网出口的NAT路由器(有NAT功能的路由器), 将许多的内网IP地址映射为少数的几个外网IP地址，使得内网只有私有地址的计算机也能上网。

过程

1. 内网PC向外网PC发送请求，途径某出口NAT路由器
2. 该路由器先查看它自己是公网地址池，取出一条可用的公网地址，将“转换前的源地址和源端口号、转换后的源地址和源端口号”插入地址转换表中，便于外网PC响应时可以原路返回找到那台内网的PC
3. NAT路由器用新的源地址和源端口号，而目的地址和端口号不变，重新封装报文，再将报文发送出去
4. 外网PC收到报文后发回应答报文，源地址和源端口号是刚才那条请求报文的目的地址和端口号，目的地址和端口号是NAT路由器封装后的源地址/端口号
5. NAT收到应答报文，再根据应答报文的目的地址和端口查找地址转换表，再将报文的目的地址和端口改过来，才发送到内网。
6. 由于应答报文中的目的地址是内网的地址，因此内网中的那台PC能顺利收到应答报文
   

H3C设置指令

# 建立编号为2001的IPV4基本访问控制列表(Access Control Lists)[R1]acl basic 2001# 建立允许源地址为10.0.0.*(0.0.0.255为反掩码)的转换规则0[R1-acl-2001]rule 0 permit source 10.0.0.0 0.0.0.255 # 建立拒绝其他源地址的转换规则1[R1-acl-2001]rule 1 deny source any# 配置地址池1[R1]nat address-group 1# 为地址池1添加公网地址192.168.5.5-9[R1-address-group-1]address 192.168.5.5 192.168.5.9 # 进入e0/1接口[R1]inter GigabitEthernet 0/1# 配置出接口e0/1使用访问控制表2001和地址池1[R1-GigabitEthernet0/1]nat outbound 2001 address-group 1[R1-GigabitEthernet0/1]quit# 配置默认网关，参数分别是目的地址，子网掩码，下一条地址，# 如果目的地址和子网掩码都是0表示这是一条默认路由，# 下一条指向网关[R1]ip route-static 0.0.0.0 0.0.0.0 192.168.5.1

ACL编号的取值范围及其代表的ACL类型如下：
100～199：表示WLAN ACL；
2000～2999：表示IPv4基本ACL；
3000～3999：表示IPv4高级ACL；
4000～4999：表示二层ACL。