内网是如何访问到互联网（H3C源NAT）

H3C设备NAPT配置

直接打开29篇的拓扑，之前都配置好了

 「模拟器、工具合集」复制整段内容
链接：https://docs.qq.com/sheet/DV0xxTmFDRFVoY1dQ?tab=7ulgil

现在是出口路由器可以直接访问61.128.1.1，下面的终端访问不了，需要做NAPT源NAT转换。

（1）配置

#华三出口路由器配置NAPT[MSR3600]interface  Dialer   1[MSR3600-Dialer1]nat  outbound 
没看错，华三设备它可以不调用ACL规则，nat outbound表示就是任意内网IP都可以在这进行转换

（2）测试ICMP

测试是通的，PC1目前是192.168.10.1

通过display nat session verbose可以查看详细的会话信息，华三的NAT会话表比华为的相对要详细些，这里有一个比较有趣的事，ICMP它是IP层的一个协议，并没有端口号的，但是在网络设备里面，经过NAPT后，设备会给它加上一个端口号，这样的好处是在内网有多个终端去ping同一个地址的时候，返回能够正常的还原。

（3）测试TCP流量（用Telnet模拟）

开启抓包​​​​​​​

互联网设备开启Telnet服务，测试TCP[internet]telnet  server  enable 

#核心上面测试

在核心上面 telnet 互联网设备的地址，现在是登录失败，这个没事，主要看看NAT的会话信息

抓包跟看会话表信息，可以发现华三的模拟器抓包的信息与会话表信息是一致的，转换前的源端口号是7364（抓包也是7364），转换后的源端口号是1024（抓包显示1024），并且华三会比华为更加详细，华三还能显示当前的TCP state为：TCP_TIME_WAIT，Appliation为telnet，这样的状态更加方便我们排错。

有用的查询命​​​​​​​

（1）NAT会话表查询华三：display  nat session查看当前所有会话表信息，加verbose可以查看更详细的，实际中，会用display nat session 跟过滤参数，比如source-ip，destination-ip     在加上verbose，排查与查看非常方便  华为：display nat session all 查看当前所有会话表信息，加verbose可以查看更详细的，实际中，会用display nat session 跟过滤参数，比如source，destination 在加上verbose来定位查看（2）查看NAT会话表的总数量条目，用于判断是否达到了设备的性能阀值华三：display  nat statistics  summary华为：display  nat session  number （3）查看NAPT的配置华三：display  nat outbound 华为：display  nat outbound ，华为后面可以跟接口、ACL参数来顾虑（4）查看ACL以及接口配置 华三华为查看接口配置：display  current-configuration  interface华三查看ACL配置：displa current-configuration configuration acl-ipv4-adv 华为查看ACL配置：display current-configuration configuration acl-adv 华为华三查看ACL列表：display acl all 或者display acl 300