2024年4月9日发(作者：甄雅容)

H3C MSR路由器双出口NAT服务器的典型配置

一、需求：

MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问

教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都

是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以

教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。该校内网服务器

192.168.34.55需要对外提供访问，其域名是，对应DNS解析结果是

211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且

要求校园网内部可以通过NAT任意访问电信网络或教育网络。

设备清单：MSR一台

二、拓扑图：

三、配置步骤：

适用设备和版本：MSR系列、Version 5.20, Release 1205P01后所有版本。

MSR关键配置(路由部分配置略)

#

//地址池0用于访问电信的NAT

nat address-group 0 202.2.2.50 202.2.2.100

//地址池1用于访问教育网的NAT

nat address-group 1 211.1.1.50 211.1.1.100

//静态NAT用于外部访问内部服务器

nat static 192.168.34.55 211.1.1.4

#

//ACL 2000用于内网访问教育网和电信的NAT，允许192.168.0.0/0的源

acl number 2000

description "NAT"

rule 10 permit source 192.168.0.0 0.0.255.255

//ACL 2222用于策略路由的允许节点，即内部服务器往外发的HTTP从G5/1出去

acl number 2222

description "policy-based-route permit node"

rule 0 permit source 192.168.34.55 0

#

//用于内部主机访问211.1.1.4的NAT映射

acl number 3000

description "192.168.0.0/24 access 211.1.1.4"

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination

192.168.34.55 0

//ACL 3333用于策略路由拒绝节点，即内部服务器返回内部主机的不需要被策略

acl number 3333

description "policy-based-route deny node"

rule 0 permit ip source 192.168.34.55 0 destination 192.168.0.0

0.0.255.255

#

interface GigabitEthernet0/0

port link-mode route

//内部主机访问211.1.1.4时，将211.1.1.4替换成192.168.34.55

nat outbound static

//内部主机访问211.1.1.4时，将内部主机地址转换成192.168.86.2

nat outbound 3000

description to neibu-Lan

ip address 192.168.86.2 255.255.255.252

//策略路由，内部服务器返回内部的不被策略，返回外部的从G5/1出去

ip policy-based-route aaa

#

interface GigabitEthernet5/0

port link-mode route

2024年4月9日发(作者：甄雅容)

H3C MSR路由器双出口NAT服务器的典型配置

一、需求：

MSR的G0/0连接某学校内网，G5/0连接电信出口，G5/1连接教育网出口，路由配置：访问

教育网地址通过G5/1出去，其余通过默认路由通过G5/0出去。电信网络访问教育网地址都

是通过电信和教育网的专用连接互通的，因此电信主机访问该校都是从G5/1进来，如果以

教育网源地址（211.1.1.0/24）从G5/0访问电信网络，会被电信过滤。该校内网服务器

192.168.34.55需要对外提供访问，其域名是，对应DNS解析结果是

211.1.1.4。先要求电信主机和校园网内部主机都可以通过域名或211.1.1.4正常访问，且

要求校园网内部可以通过NAT任意访问电信网络或教育网络。

设备清单：MSR一台

二、拓扑图：

三、配置步骤：

适用设备和版本：MSR系列、Version 5.20, Release 1205P01后所有版本。

MSR关键配置(路由部分配置略)

#

//地址池0用于访问电信的NAT

nat address-group 0 202.2.2.50 202.2.2.100

//地址池1用于访问教育网的NAT

nat address-group 1 211.1.1.50 211.1.1.100

//静态NAT用于外部访问内部服务器

nat static 192.168.34.55 211.1.1.4

#

//ACL 2000用于内网访问教育网和电信的NAT，允许192.168.0.0/0的源

acl number 2000

description "NAT"

rule 10 permit source 192.168.0.0 0.0.255.255

//ACL 2222用于策略路由的允许节点，即内部服务器往外发的HTTP从G5/1出去

acl number 2222

description "policy-based-route permit node"

rule 0 permit source 192.168.34.55 0

#

//用于内部主机访问211.1.1.4的NAT映射

acl number 3000

description "192.168.0.0/24 access 211.1.1.4"

rule 0 permit ip source 192.168.0.0 0.0.255.255 destination

192.168.34.55 0

//ACL 3333用于策略路由拒绝节点，即内部服务器返回内部主机的不需要被策略

acl number 3333

description "policy-based-route deny node"

rule 0 permit ip source 192.168.34.55 0 destination 192.168.0.0

0.0.255.255

#

interface GigabitEthernet0/0

port link-mode route

//内部主机访问211.1.1.4时，将211.1.1.4替换成192.168.34.55

nat outbound static

//内部主机访问211.1.1.4时，将内部主机地址转换成192.168.86.2

nat outbound 3000

description to neibu-Lan

ip address 192.168.86.2 255.255.255.252

//策略路由，内部服务器返回内部的不被策略，返回外部的从G5/1出去

ip policy-based-route aaa

#

interface GigabitEthernet5/0

port link-mode route