某公司内网使用的IP地址为192.168.0.0/16，该公司拥有202.38.1.2和202.38.1.3两个外网IP地址。公司要求内部网络中192.168.1.0/24网段的用户可以访问Internet，其它网段的用户不能访问Internet。下面我们通过NAT技术满足客户需求。

配置步骤如下：

# 按照组网图配置各接口的IP地址，具体配置过程略。

# 配置地址组0，包含两个外网地址202.38.1.2和202.38.1.3。

<Router> system-view

[Router] nat address-group 0

[Router-address-group-0] address 202.38.1.2 202.38.1.3

[Router-address-group-0] quit

# 配置ACL 2000，仅允许对内部网络中192.168.1.0/24网段的用户报文进行地址转换。

[Router] acl basic 2000

[Router-acl-ipv4-basic-2000] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-ipv4-basic-2000] quit

# 在接口GigabitEthernet3/1/2上配置出方向动态地址转换，允许使用地址组0中的地址对匹配ACL 2000的报文进行源地址转换，并在转换过程中使用端口信息。

[Router] interface gigabitethernet 3/1/2

[Router-GigabitEthernet3/1/2] nat outbound 2000 address-group 0

# 指定3号单板为提供NAT服务的业务板。

[Router-GigabitEthernet3/1/2] nat service slot 3

[Router-GigabitEthernet3/1/2] quit

# 配置重定向报文的访问控制列表2001。由于本例中重定向到提供NAT服务的业务板的报文为需要地址转换的报文，因此ACL 2001中定义的ACL规则与ACL 2000相同，但也可以根据实际组网需求定义不同的规则。

[Router] acl basic 2001

[Router-acl-ipv4-basic-2001] rule permit source 192.168.1.0 0.0.0.255

[Router-acl-ipv4-basic-2001] quit

# 配置QoS策略将报文重定向到3号槽位的单板。

[Router] traffic classifier 1

[Router-classifier-1] if-match acl 2001

[Router-classifier-1] quit

[Router] traffic behavior 1

[Router-behavior-1] redirect slot 3

[Router-behavior-1] quit

[Router] qos policy 1

[Router-qospolicy-1] classifier 1 behavior 1

[Router-qospolicy-1] quit

[Router] interface Gigabitethernet 3/1/1

[Router-GigabitEthernet3/1/1] qos apply policy 1 inbound

[Router-GigabitEthernet3/1/1] quit

验证配置是否正确

# 以上配置完成后，Host A能够访问www server，Host B和Host C无法访问www server。通过查看如下显示信息，可以验证以上配置成功。

[Router] display nat all

NAT address group information:

Totally 1 NAT address groups.

Address group 0:

Port range: 1-65535

Address information:

Start address End address

202.38.1.2 202.38.1.3

NAT outbound information:

Totally 1 NAT outbound rules.

Interface: GigabitEthernet3/1/2

ACL: 2000 Address group: 0 Port-preserved: N

NO-PAT: N Reversible: N

Service card: slot 3

Config status: Active

NAT logging:

Log enable : Disabled

Flow-begin : Disabled

Flow-end : Disabled

Flow-active : Disabled

Port-block-assign : Disabled

Port-block-withdraw : Disabled

Port-alloc-fail : Enabled

Port-block-alloc-fail : Disabled

Port-usage : Disabled

Port-block-usage : Enabled(Threshold: 40%)

NAT mapping behavior:

Mapping mode : Connection-dependent

NAT ALG:

DNS : Disabled

FTP : Enabled

H323 : Disabled

ICMP-ERROR : Enabled

ILS : Disabled

MGCP : Disabled

NBT : Disabled

PPTP : Disabled

RTSP : Enabled

RSH : Disabled

SCCP : Disabled

SIP : Disabled

SQLNET : Disabled

TFTP : Disabled

XDMCP : Disabled

# 通过以下显示命令，可以看到Host A访问www server时生成NAT会话信息。

[Router] display nat session verbose

Initiator:

Source IP/port: 192.168.1.10/52992

Destination IP/port: 200.1.1.10/2048

DS-Lite tunnel peer: -

VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: ICMP(1)

Inbound interface: GigabitEthernet3/1/1

Responder:

Source IP/port: 200.1.1.10/4

Destination IP/port: 202.38.1.3/0

DS-Lite tunnel peer: -

VPN instance/VLAN ID/VLL ID: -/-/-

Protocol: ICMP(1)

Inbound interface: GigabitEthernet3/1/2

State: ICMP_REPLY

Application: INVALID

Role: -

Failover group ID: -

Start time: 2012-08-15 14:53:29 TTL: 12s

Initiator->Responder: 1 packets 84 bytes

Responder->Initiator: 1 packets 84 bytes

Total sessions found: 1

以上就是通过NAT技术解决了内部网络不同网段对外网访问的需求，但愿对您有用。