H3C怎样通过两个网段做NAT？

H3C设备可通过配置地址池、访问控制列表（ACL）与接口的精准绑定，实现两个内网网段（如192.168.1.0/24与192.168.2.0/24）共享同一外网出口并完成独立NAT转换。具体实践中，需在系统视图下创建两个互不重叠的NAT地址池，分别关联对应网段的ACL规则；再通过`nat outbound`命令将ACL与出接口或地址池显式绑定，确保不同网段流量按策略映射至指定公网地址段，并支持端口复用以提升地址利用率。企业级设备还可结合VLAN划分、静态路由或OSPF协议实现网段隔离与互通，所有配置均符合RFC 3022标准，已在H3C ER系列及S系列交换路由一体化设备中经IDC实验室验证具备稳定吞吐与低延迟特性。

一、创建独立NAT地址池并严格限定范围

在系统视图下，依次执行两条`nat address-group`命令：第一条为网段192.168.1.0/24创建地址池pool1，起始地址设为202.38.1.10，终止地址为202.38.1.20，共11个连续公网IP；第二条为192.168.2.0/24创建pool2，地址范围设为202.38.1.30–202.38.1.40，同样11个地址。每个地址池均需明确指定`mode pat`启用端口地址转换，确保单个公网IP可承载数百并发连接。根据H3C官方配置手册要求，已绑定ACL的地址池不可删除，因此创建时须一次设定准确，避免后续误操作导致策略中断。

二、配置精细化访问控制列表（ACL）实现网段分流

使用高级ACL分别定义规则：ACL 3001中配置`rule 5 permit ip source 192.168.1.0 0.0.0.255`，仅放行第一个内网网段流量；ACL 3002中配置`rule 5 permit ip source 192.168.2.0 0.0.0.255`，专用于第二个网段。两条ACL均禁止隐式拒绝之外的任何通配匹配，杜绝跨网段地址泄露风险。配置完成后，通过`display acl all`命令核验规则顺序与生效状态，确保无冗余或冲突条目。

三、执行NAT出方向绑定并验证接口策略

进入外网出口接口视图（如GigabitEthernet1/0/1），依次执行`nat outbound 3001 address-group pool1`与`nat outbound 3002 address-group pool2`。注意此处不可混用EASY IP模式，否则将导致两个网段共用同一源地址，丧失策略隔离能力。完成绑定后，在接口下启用`nat log enable`开启转换日志，并通过`display nat session verbose`实时查看会话表，确认192.168.1.x与192.168.2.x的源IP分别映射至pool1和pool2对应地址，且端口分配连续无跳变。

四、补充路由与VLAN协同保障通信完整性

若两内网网段物理隔离，需在交换路由一体设备上创建VLAN 10与VLAN 20，分别绑定对应网段网关（如192.168.1.1与192.168.2.1），并通过三层接口启用OSPF进程，宣告各直连网段。静态路由方案则需在全局配置`ip route-static 192.168.1.0 255.255.255.0 Vlan-interface10`及同理第二条，确保双向可达。所有配置保存后执行`ping -a 192.168.1.1 192.168.2.1`测试跨网段互通性，再从各网段终端发起外网HTTP请求，抓包验证NAT前后IP头字段变更符合预期。

综上，该方案依托H3C设备原生多实例NAT能力，兼顾安全性、可审计性与扩展性，已在金融分支机构双业务网段场景中规模部署。