私网用户通过NAPT方式访问Internet
（备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。

）
本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。

组网需求
如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图
配置思路
1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。

2.配置安全策略，允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP
地址访问Internet。

4.配置黑洞路由，防止产生路由环路。

操作步骤
1.配置USG9000的接口IP地址，并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view
[USG9000] interface GigabitEthernet 1/0/1
[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24
[USG9000-GigabitEthernet1/0/1] quit
# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2
[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24
[USG9000-GigabitEthernet1/0/2] quit
# 将接口GigabitEthernet 1/0/1加入Trust区域。

[USG9000] firewall zone trust
[USG9000-zone-trust] add interface GigabitEthernet 1/0/1
[USG9000-zone-trust] quit
# 将接口GigabitEthernet 1/0/2加入Untrust区域。

[USG9000] firewall zone untrust
[USG9000-zone-untrust] add interface GigabitEthernet 1/0/2
[USG9000-zone-untrust] quit
2.配置安全策略，允许私网网段10.1.1.0/24的用户访问Internet。

3.[USG9000] policy interzone trust untrust outbound
4.[USG9000-policy-interzone-trust-untrust-outbound] policy 1
5.[USG9000-policy-interzone-trust-untrust-outbound-1] policy source 10.1.1.0
0.0.0.255
6.[USG9000-policy-interzone-trust-untrust-outbound-1] action permit
7.[USG9000-policy-interzone-trust-untrust-outbound-1] quit
[USG9000-policy-interzone-trust-untrust-outbound] quit
8.配置NAT地址池和NAT策略。

# 配置NAT地址池的模式为PAT，即采用NAPT功能复用公网IP地址，并指定可用于NAT转换的公网IP地址。

[USG9000] nat address-group 1
[USG9000-address-group-1] mode pat
[USG9000-address-group-1] section 202.169.1.21 202.169.1.25
[USG9000-address-group-1] quit
（注;有些低版本的防火墙不能这样配置，配置应为：
[USG9000] nat address-group 1 起始地址结束地址
[USG9000-address-group-1]quit
）
# 配置NAT策略，限定只对源地址为10.1.1.0/24网段的流量进行NAT转换，并绑定NAT地址池1。

[USG9000] nat-policy interzone trust untrust outbound
[USG9000-nat-policy-interzone-trust-untrust-outbound] policy 1
[USG9000-nat-policy-interzone-trust-untrust-outbound-1] policy source
10.1.1.0 0.0.0.255
[USG9000-nat-policy-interzone-trust-untrust-outbound-1] action source-nat [USG9000-nat-policy-interzone-trust-untrust-outbound-1] address-group 1 [USG9000-nat-policy-interzone-trust-untrust-outbound-1] quit
[USG9000-nat-policy-interzone-trust-untrust-outbound] quit
9.配置黑洞路由，即指定地址池中的公网IP地址的下一跳为NULL0接口，以防止产生路
由环路。

10.[USG9000] ip route-static 202.169.1.21 32 NULL 0
11.[USG9000] ip route-static 202.169.1.22 32 NULL 0
12.[USG9000] ip route-static 202.169.1.23 32 NULL 0
13.[USG9000] ip route-static 202.169.1.24 32 NULL 0
[USG9000] ip route-static 202.169.1.25 32 NULL 0
14.配置缺省路由，假设USG9000连接Internet的下一跳地址为202.169.1.30。

[USG9000] ip route-static 0.0.0.0 0.0.0.0 202.169.1.30。