1 简介本文档介绍使用NAT多实例的配置案例。

2 配置前提本文档不严格与具体软、硬件版本对应，如果使用过程中与产品实际情况有差异，请参考相关产品手册，或以设备实际情况为准。

本文档中的配置均是在实验室环境下进行的配置和验证，配置前设备的所有参数均采用出厂时的缺省配置。

如果您已经对设备进行了配置，为了保证配置效果，请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解NAT多实例的特性。

3 配置举例3.1 组网需求如图1所示，一公司拥有202.38.1.1/24至202.38.1.3/24三个公网IP地址，内部网络使用的网段地址网址为10.110.0.0/16。

10.110.10.0/24网段的用户属于私网VPN1，加入安全域Trust1；10.110.11.0/24网段的用户属于私网VPN2，加入安全域Trust2；公网的用户属于VPN3，加入安全域Untrust。

需要实现如下功能：∙  内部网络中10.110.10.0/24网段的LAN 1用户允许任意时间访问公网。

∙  内部网络中10.110.11.0/24网段的LAN 2用户只允许周末时间访问公网。

∙  公网用户可以通过202.38.1.1/24访问公司内部服务器的WWW和FTP 服务。

图1 跨VPN转发典型配置组网图3.2 配置思路为了使内网主机能够访问公网，需要在出接口上配置NAT转换，并使对应的地址池和公网VPN实例相关联。

3.3 使用版本本文档基于U200-S R5135版本进行配置和验证。

3.4 配置步骤3.4.1 通过Web方式配置(1)创建VPN实例目前设备仅支持通过命令行方式创建VPN实例，配置方法请参见“3.4.2 (1)创建VPN 实例”。

(2)接口绑定VPN实例并加入安全域# 接口绑定VPN实例。

目前设备仅支持通过命令行方式配置接口绑定VPN实例，配置方法请参见“3.4.2 (2)接口绑定VPN实例”。

# 新建安全域Trust1。

在左侧导航栏中选择“设备管理> 安全域”，进入下图2所示的安全域显示页面。

图2 安全域显示页面# 单击<新建>按钮，新建一个安全域。

图3 安全域新建页面# 点击<确定>按钮完成操作。

# 同理新建安全域Trust2，完成配置后安全域页面显示如图4所示。

图4 安全域新建后的显示页面# 将接口加入安全域Trust1。

点击Trust1对应的编辑按钮，进入如图5所示的安全域编辑页面。

图5 安全域编辑页面# 勾选GigabitEthernet0/1前面的复选框，点击<确定>按钮完成操作。

# 同理配置将接口GigabitEthernet0/3加入安全域Trust2，接口GigabitEthernet0/2加入安全域Untrust。

# 完成配置后，在左侧导航栏中选择“设备管理> 接口管理”，进入接口列表显示页面，配置结果如图6所示：图6 接口列表显示页面(3)配置绑定VPN实例的NAT Outbound# 在左侧导航栏中选择“防火墙> ACL”，进入如图7所示的ACL列表页面。

配置访问控制列表2001，允许私网VPN1和私网VPN2的用户访问公网。

图7 ACL列表页面# 单击<新建>按钮，新建ACL。

图8 ACL新建页面# 点击<确定>按钮页面自动切换到ACL列表显示页面。

图9 ACL列表页面# 点击ACL 2001对应的按钮，添加规则。

图10 Basic ACL 2001页面# 点击<新建>按钮，进入新建ACL规则页面。

图11 新建ACL规则页面# 勾选源IP地址前的复选框，输入10.110.10.0，源地址通符为0.0.0.255，选择VPN 实例为VPN1，点击<确定>按钮，页面自动切换到基本ACL 2001页面。

图12 Basic ACL 2001页面# 点击<新建>按钮。

图13 新建ACL规则页面# 勾选源IP地址前的复选框，输入10.110.11.0，源地址通符为0.0.0.255，选择VPN 实例为VPN2，点击<确定>按钮，页面切换到基本ACL 2001页面。

图14 Basic ACL 2001页面# 在左侧导航栏中选择“防火墙> NAT > 动态地址转换”，进入如图15所示的动态地址转换页面；配置IP地址池1，包括两个公网地址202.38.1.2和202.38.1.3。

图15 动态地址转换页面# 单击地址池页签里的<新建>按钮，进入新建地址池页面。

图16 新建地址池页面# 点击<确定>按钮完成地址池配置，页面自动切换到如图17所示的地址池显示页面。

图17 地址池显示页面# 点击图17中地址转换关联页签对应的<新建>按钮，进入新建动态NAT页面。

在出接口GigabitEthernet0/2上配置nat outbound并与公网的VPN实例相关联。

图18 新建动态地址转换策略页面# 点击<确定>按钮完成操作。

(4)配置绑定VPN实例的NAT Server# 在左侧导航栏中选择“防火墙> NAT > 内部服务器”，进入如图19所示的内部服务器转换页面。

设置内部FTP服务器并与公网的VPN实例相关联。

图19 内部服务器页面# 单击内部服务器转换页签对应的<新建>按钮。

图20 新建内部服务器页面# 单击<确定>按钮完成操作，页面自动切换到内部服务器转换页面。

图21 内部服务器页面# 点击图21中的<新建>按钮，进入新建内部服务器页面。

设置内部Web服务器并与公网的VPN实例相关联。

图22 新建内部服务器页面# 单击<确定>按钮完成操作，页面自动切换到内部服务器转换页面，配置结果如图23所示。

图23 内部服务器转换页面(5)配置域间策略# 在左侧导航栏中选择“资源管理> 时间段”，进入如图24所示的时间段页面。

配置时间范围周末时间段。

图24 时间段页面# 单击<新建>按钮；图25 新建时间段页面# 单击<确定>按钮完成操作。

# 在左侧导航栏中选择“防火墙> 安全策略> 域间策略”，进入如图26所示的域间策略页面。

配置域间策略，允许私网VPN2中的安全域Trust2的用户在周末时间访问公网。

图26 域间策略页面# 单击<新建>按钮，进入新建域间策略页面；图27 新建域间策略页面# 选择源域为Trust2，目的域为Untrust；# 选择源IP地址为any_address，目的IP地址为any_address，名称为any_service；# 选择过滤动作为Permit；# 选择时间段为weekend；# 选中开启Syslog日志功能后面的复选框；# 单击<确定>按钮，完成一条域间策略配置。

# 选择名称为any_service，选择过滤动作为deny，选中开启Syslog日志功能后面的复选框。

图28 新建域间策略页面# 点击<确定>按钮，完成另一条域间策略配置。

# 同理配置域间策略，允许公网VPN3中的安全域Untrust的用户访问私网VPN1中的安全域Trust1的FTP服务，允许公网VPN3中的安全域Untrust的用户访问私网VPN2中的安全域Trust2的WWW服务，完成所有域间策略配置后，域间策略列表显示如图29所示：图29 域间策略显示页面(6)配置跨VPN实例的静态路由目前设备仅支持通过命令行方式配置跨VPN实例的静态路由，配置方法请参见“3.4.2(7)配置跨VPN实例的静态路由”。

3.4.2 通过命令行方式配置(1)创建VPN实例# 创建VPN实例VPN1，并配置RD和VPN Target属性。

<Firewall> system-view[Firewall] ip vpn-instance VPN1[Firewall-vpn-instance-VPN1] route-distinguisher 100:1[Firewall-vpn-instance-VPN1] vpn-target 100:1[Firewall-vpn-instance-VPN1] quit# 创建VPN实例VPN2，并配置RD和VPN Target属性。

[Firewall] ip vpn-instance VPN2[Firewall-vpn-instance-VPN2] route-distinguisher 200:1[Firewall-vpn-instance-VPN2] vpn-target 200:1[Firewall-vpn-instance-VPN2] quit# 创建VPN实例VPN3，并配置RD和VPN Target属性。

[Firewall] ip vpn-instance VPN3[Firewall-vpn-instance-VPN3] route-distinguisher 300:1[Firewall-vpn-instance-VPN3] vpn-target 300:1[Firewall-vpn-instance-VPN3] quit(2)接口绑定VPN实例# 接口GigabitEthernet0/1绑定VPN实例VPN1，接口GigabitEthernet0/3绑定VPN 实例VPN2，接口GigabitEthernet0/2绑定VPN实例VPN3，并配置各接口的IP地址。

[Firewall] interface GigabitEthernet 0/1[Firewall-GigabitEthernet0/1] ip binding vpn-instance VPN1[Firewall-GigabitEthernet0/1] ip address 10.110.10.1 24[Firewall-GigabitEthernet0/1] quit[Firewall] interface GigabitEthernet 0/3[Firewall-GigabitEthernet0/3] ip binding vpn-instance VPN2[Firewall-GigabitEthernet0/3] ip address 10.110.11.1 24[Firewall-GigabitEthernet0/3] quit[Firewall] interface gigabitethernet 0/2[Firewall-GigabitEthernet0/2] ip binding vpn-instance VPN3[Firewall-GigabitEthernet0/2] ip address 202.38.1.1 24[Firewall-GigabitEthernet0/2] quit(3)创建安全域，并将接口加入安全域# 创建安全域Trust1，将接口GigabitEthernet0/1加入安全域Trust1。