模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)01026.1任務(wù)19：路由器NAT配置6.2任務(wù)20：路由器PAT配置目錄Contents模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)為了解決可分配的IPv4地址越來(lái)越少的問(wèn)題，20世紀(jì)90年代提出了NAT和PAT技術(shù)。NAT和PAT被廣泛應(yīng)用于各種類型Internet接入方式和各種類型的網(wǎng)絡(luò)中，不僅完美解決了IP地址不足的問(wèn)題，而且還能夠有效地避免來(lái)自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的主機(jī)和設(shè)備。本模塊設(shè)置了NAT配置和PAT配置兩個(gè)任務(wù)，講解NAT和PAT的工作原理和配置方法，解決網(wǎng)絡(luò)內(nèi)外網(wǎng)互相訪問(wèn)的問(wèn)題。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)【知識(shí)目標(biāo)】了解NAT和PAT的概念和基本工作原理；掌握NAT和PAT的配置方法；掌握路由器配置、維護(hù)NAT和PAT的基本命令?！炯寄苣繕?biāo)】會(huì)根據(jù)組網(wǎng)需求規(guī)劃NAT和PAT數(shù)據(jù)；會(huì)配置NAT和PAT數(shù)據(jù)；模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)6.1任務(wù)19：路由器NAT配置總體任務(wù)的6-1中，要求學(xué)校內(nèi)的網(wǎng)絡(luò)能給訪問(wèn)外網(wǎng)，除了在路由器上配置訪問(wèn)外部網(wǎng)的路由之外，還需要配置NAT將內(nèi)網(wǎng)的IP地址轉(zhuǎn)變?yōu)楣W(wǎng)IP。本任務(wù)要求完成：1．NAT數(shù)據(jù)規(guī)劃；2．路由器的NAT配置；3．驗(yàn)證電腦能否上網(wǎng)；4．輸出過(guò)程文檔。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)6.1.1知識(shí)準(zhǔn)備：NAT認(rèn)知1．NAT概述NAT（NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換）是一種地址轉(zhuǎn)換技術(shù)，將內(nèi)部網(wǎng)絡(luò)的IP地址轉(zhuǎn)變?yōu)楣W(wǎng)的IP地址，來(lái)實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問(wèn)公網(wǎng)。NAT技術(shù)通過(guò)將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址，可以較好地解決IPv4的網(wǎng)絡(luò)地址匱乏問(wèn)題；NAT技術(shù)可以有效地將私網(wǎng)地址對(duì)外隱藏，減少來(lái)自Internet上的網(wǎng)絡(luò)攻擊；NAT技術(shù)還可以在兩個(gè)重復(fù)使用相同私網(wǎng)地址的網(wǎng)絡(luò)間進(jìn)行轉(zhuǎn)換，使兩個(gè)私網(wǎng)網(wǎng)絡(luò)能互相訪問(wèn)；在IPv6的過(guò)渡初期，可解決保持IPv4的后向兼容性問(wèn)題，使用戶能夠在IPv6的接入環(huán)境中使用IPv4的應(yīng)用與服務(wù)。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)2．NAT工作過(guò)程N(yùn)AT地址轉(zhuǎn)換基本過(guò)程如6-1所示。圖6-1

NAT工作過(guò)程示意圖模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)內(nèi)部網(wǎng)絡(luò)使用私有地址的主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)，NAT設(shè)備將該內(nèi)部主機(jī)的私有地址轉(zhuǎn)換為外部網(wǎng)絡(luò)唯一可識(shí)別的公網(wǎng)IP地址。NAT設(shè)備將外部網(wǎng)絡(luò)返回給內(nèi)部主機(jī)的公網(wǎng)地址映射回該主機(jī)在內(nèi)部網(wǎng)絡(luò)中的私有地址，內(nèi)部主機(jī)通過(guò)NAT轉(zhuǎn)換和外部主機(jī)進(jìn)行正常通信。在圖6-1中，路由器的內(nèi)部接口稱為InsideDomain（內(nèi)部域），而路由器的外部接口稱為OutsideDomain（外部域）。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)3．NAT的分類NAT功能根據(jù)不同的地址映射關(guān)系分為靜態(tài)NAT、動(dòng)態(tài)NAT和PAT。在定義NAT時(shí)，經(jīng)常使用4種地址來(lái)描述：內(nèi)部局部地址、外部局部地址、內(nèi)部全局地址、外部全局地址。內(nèi)部或外部反映了報(bào)文的來(lái)源，內(nèi)部局部地址和內(nèi)部全局地址表明報(bào)文是來(lái)自于內(nèi)部網(wǎng)路的。局部或全部表明地址的可見(jiàn)范圍，局部地址是內(nèi)部網(wǎng)絡(luò)中可見(jiàn)的，全局地址則在外部網(wǎng)絡(luò)上可見(jiàn)。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)內(nèi)部局部地址是內(nèi)網(wǎng)中設(shè)備所使用的IP地址；內(nèi)部全局地址對(duì)于外部網(wǎng)絡(luò)來(lái)說(shuō)，局域網(wǎng)內(nèi)部主機(jī)所表現(xiàn)的IP地址；外部局部地址是外部網(wǎng)絡(luò)主機(jī)的真實(shí)地址；外部全局地址對(duì)于內(nèi)部網(wǎng)絡(luò)來(lái)說(shuō)，外部網(wǎng)絡(luò)主機(jī)所表現(xiàn)的IP地址，外網(wǎng)設(shè)備所使用的真正的地址。圖6-2中對(duì)四種地址進(jìn)行了區(qū)分。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)1）靜態(tài)NAT靜態(tài)NAT在內(nèi)網(wǎng)私有地址和外網(wǎng)公有地址之間建立一對(duì)一的映射關(guān)系，當(dāng)一個(gè)內(nèi)部主機(jī)必須被作為一個(gè)固定的外部地址訪問(wèn)時(shí)，通過(guò)靜態(tài)NAT實(shí)現(xiàn)。2）動(dòng)態(tài)網(wǎng)絡(luò)地址轉(zhuǎn)換（動(dòng)態(tài)NAT）動(dòng)態(tài)NAT在一個(gè)內(nèi)部局部地址和一個(gè)全局地址之間建立動(dòng)態(tài)可復(fù)用的映射關(guān)系，該模式下使用外部公用IP地址池技術(shù)。當(dāng)有一個(gè)內(nèi)部主機(jī)需要訪問(wèn)外部網(wǎng)絡(luò)時(shí)，從公用IP地址池中獲取一個(gè)可用的外部地址分配給該主機(jī)使用。當(dāng)通信完成之后，所獲取的公用IP地址也被釋放回地址池中。外部公用IP地址在被分配給一個(gè)內(nèi)部主機(jī)通信使用時(shí)，該地址不能被再次分配給其它內(nèi)部主機(jī)使用。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)如圖6-3描述了網(wǎng)絡(luò)地址轉(zhuǎn)換過(guò)程：模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)第一步：內(nèi)部主機(jī)1.1.1.1的用戶，請(qǐng)求建立到外部主機(jī)B的一個(gè)連接。第二步：NAT設(shè)備（路由器）接收到來(lái)自主機(jī)1.1.1.1的數(shù)據(jù)包后，檢查自身的NAT表。如果已配置了一個(gè)靜態(tài)NAT，轉(zhuǎn)到步驟三。如果沒(méi)有配置靜態(tài)NAT，則選擇動(dòng)態(tài)轉(zhuǎn)換，NAT設(shè)備從動(dòng)態(tài)地址池選擇一個(gè)合法的、安全的地址進(jìn)行地址轉(zhuǎn)換。第三步：NAT設(shè)備使用全局地址2.2.2.2替換主機(jī)1.1.1.1的內(nèi)部局部源地址，并且轉(zhuǎn)發(fā)數(shù)據(jù)包。第四步：主機(jī)B接收到源地址為2.2.2.2的數(shù)據(jù)包后，以2.2.2.2為目的地址發(fā)送響應(yīng)數(shù)據(jù)包。第五步：NAT設(shè)備接收到目的地址為2.2.2.2的響應(yīng)數(shù)據(jù)包后，查看NAT表將目的地址轉(zhuǎn)換為內(nèi)部局部地址1.1.1.1并發(fā)送響應(yīng)數(shù)據(jù)包給主機(jī)1.1.1.1。主機(jī)1.1.1.1接收到響應(yīng)數(shù)據(jù)包后，實(shí)現(xiàn)與主機(jī)B間的通信。NAT設(shè)備為每一個(gè)信息包執(zhí)行上述步驟二~步驟五。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)6.1.2參考案例：路由器NAT配置【案例說(shuō)明】電腦上配置私網(wǎng)地址，通過(guò)ZXR101800-2S路由器進(jìn)行靜態(tài)NAT轉(zhuǎn)換訪問(wèn)Internet，如圖6-4。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)序號(hào)命令功能1ZXR10(config)#cgn進(jìn)入NAT配置模式2ZXR10(config-cgn)#cgn-pool

<pool-name>poolid<pool-id>

modenat配置NAT地址池Mode：模式，有NAT和PAT兩種3ZXR10(config-cgn-natpool)#section

<section-num>{start-ip

[<end-ip>]|

IP/mask}配置地址池中地址范圍，格式：開(kāi)始地址到結(jié)束地址4ZXR10(config-cgn)#domain

<domain-name><domain-id>

type

{standalone

|

sr

|

bras

}{ipv6-issued

|

ipv4-issued}創(chuàng)建并進(jìn)入域配置模式，standalone：獨(dú)立模式sr:全業(yè)務(wù)模式bras:接入模式5ZXR10(config-cgn-domain)#staticsourcerule-id

<rule-id>{softwire<cpe-ipv6-address><aftr-ipv6-address><local-ip>|vrf<vrf-name><local-ip>|public<local-ip>|cpe-ipv6-address<cpe-ipv6-address>nat64-prefix<nat64-prefix-address>}{<local-port><global-ip><global-port>{tcp

|

udp}|<global-ip>}[time-range<time-range-name>]配置靜態(tài)映射規(guī)則<rule-id>：靜態(tài)NAT規(guī)則標(biāo)識(shí)號(hào)，取值范圍1~2000local-ip：私網(wǎng)源IPv4地址<global-ip>：做NAT轉(zhuǎn)換后的公網(wǎng)IPv4地址，此地址需為地址池里的地址<local-port>：私網(wǎng)源端口號(hào)，若選擇端口號(hào)則為PAT映射方式，否則為NAT方式，取值范圍1~65535<global-port>：做NAT后的公網(wǎng)端口號(hào)，若選擇端口號(hào)則為PAT映射方式，否則為NAT方式，取值范圍1~655356ZXR10(config-cgn-domain)#dynamicsourcerule-id

<rule-id>{ipv4-list

|

ipv6-list}<aclname>{deny

|

drop

|(permitpool<pool-name>[<interface-name>])}配置動(dòng)態(tài)映射規(guī)則7ZXR10(config-cgn)#subscriberipv4

{public

|vrf<vrf-name>}subscriber-id<

subscriber-id>nat-domain<nat-domain-id>配置VRF用戶，并進(jìn)入用戶配置模式8ZXR10(config-cgn-sub)#interface

<interface-name>在VRF用戶下綁定接入接口9ZXR10#showcgntranslationsall-sessions顯示所有NAT條目信息案例實(shí)施】1．掌握基本的NAT配置和維護(hù)命令。基本的NAT配置和維護(hù)的主要命令如表6-1。

表6-1NAT命令列表模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)2．配置思路只有一臺(tái)電腦訪問(wèn)網(wǎng)絡(luò)，所以可以使用靜態(tài)NAT方式：配置內(nèi)外部接口地址；配置NAT地址池；配置域并在域中配置靜態(tài)映射規(guī)則；配置用戶，將NAT域綁定在和電腦相連的接口上；配置路由。。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)序號(hào)設(shè)備接口IP地址網(wǎng)關(guān)1PC100.0.0.2/24100.0.0.12R1gei-2/110.0.0.1/243R1gei-2/2200.0.0.1/244因特網(wǎng)網(wǎng)關(guān)設(shè)備200.0.0.2/243．?dāng)?shù)據(jù)規(guī)劃根據(jù)案例要求實(shí)現(xiàn)的功能，數(shù)據(jù)規(guī)劃如下表6-2。表6-2靜態(tài)NAT配置數(shù)據(jù)規(guī)劃表模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)4．配置步驟ZXR101800-2s上的配置如下：ZXR10（config）#interfacegei-2/1ZXR10（config-if-gei-2/1）#ipaddress100.0.0.1255.255.255.0ZXR10（config-if-gei-2/1）#noshutdownZXR10（config-if-gei-2/1）#exitZXR10（config）#interfacegei-2/2ZXR10（config-if-gei-2/2）#ipaddress200.0.0.1255.255.255.0ZXR10（config-if-gei-2/2）#noshutdownZXR10（config-if-gei-2/2）#exitZXR10（config）#ipv4-access-listtestZXR10（config-ipv4-acl）#rulepermitanyZXR10（config-ipv4-acl）#exitZXR10（config）#cgnZXR10（config-cgn）#cgn-pooltestpoolid1modenat/*配置地址池*/ZXR10（config-cgn-natpool）#section11.2.3.11.2.3.10ZXR10（config-cgn-natpool）#exitZXR10（config-cgn）#domain11typesripv4-issuedZXR10（config-cgn-domain）#staticsourcerule-id1public100.0.0.21.2.3.1/*配置靜態(tài)規(guī)則*/ZXR10（config-cgn-domain）#exitZXR10（config-cgn）#subscriberipv4publicsubscriber-id1nat-domain1ZXR10（config-cgn-sub）#interfacegei-0/1ZXR10（config-cgn-sub）#exitZXR10（config-cgn）#exitZXR10（config）#iproute0.0.0.00.0.0.0200.0.0.2模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)5．案例驗(yàn)證在路由器上輸入“showcgntranslationsall-sessions”查詢NAT配置如下圖6-5，可以看到NAT的Type（類型）是static，內(nèi)部局部地址是100.0.0.2，內(nèi)部全局地址是1.2.3.1。圖6-5NAT配置在電腦上使用瀏覽器驗(yàn)證是否能夠正常訪問(wèn)Internet。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)任務(wù)路由器NAT配置序號(hào)子任務(wù)輸出評(píng)估方法和標(biāo)準(zhǔn)標(biāo)準(zhǔn)1NAT數(shù)據(jù)規(guī)劃NAT規(guī)劃數(shù)據(jù)表數(shù)據(jù)規(guī)劃正確完備2配置數(shù)據(jù)輸出配置腳本腳本正確3配置驗(yàn)證：showcgntranslationsall-sessions輸出結(jié)果截圖截圖展示內(nèi)容正確4電腦上網(wǎng)上網(wǎng)截圖電腦可以正常上網(wǎng)任務(wù)實(shí)施：路由器NAT配置操作按照下表6-3實(shí)施任務(wù)。表6-3任務(wù)實(shí)施列表模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)6.2任務(wù)20：路由器PAT配置總體任務(wù)7-1中，要求外網(wǎng)能夠訪問(wèn)校園網(wǎng)的服務(wù)器，此需求可以通過(guò)在中心機(jī)房路由器上將外網(wǎng)地址和端口映射成內(nèi)部的服務(wù)器的IP和端口號(hào)。本任務(wù)要求完成：1．PAT數(shù)據(jù)規(guī)劃；2．路由器PAT數(shù)據(jù)配置；3．在外網(wǎng)訪問(wèn)學(xué)校服務(wù)器驗(yàn)證數(shù)據(jù)配置是否正確；4．輸出過(guò)程文檔。。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)6.2.1知識(shí)準(zhǔn)備：PAT認(rèn)知PAT（PortAddressTranslation，端口地址轉(zhuǎn)換）又稱為地址重載，通過(guò)地址與端口號(hào)綁定，在多個(gè)內(nèi)部局部地址和一個(gè)全局地址之間建立映射關(guān)系。多個(gè)內(nèi)部局部地址轉(zhuǎn)換后可以對(duì)應(yīng)同一個(gè)全局地址，但是使用的端口號(hào)不同。如圖6-6所示，多個(gè)內(nèi)部私有地址映射到同一個(gè)外部全局地址，通過(guò)TCP端口號(hào)來(lái)區(qū)分。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)PAT的工作過(guò)程如下：第一步：內(nèi)部主機(jī)1.1.1.1的用戶，請(qǐng)求建立到外部主機(jī)B的一個(gè)連接。第二步：NAT設(shè)備（路由器）接收到來(lái)自主機(jī)1.1.1.1的數(shù)據(jù)包后，檢查自身的NAT表。如果NAT表中沒(méi)有源地址1.1.1.1的轉(zhuǎn)換條目存在，NAT設(shè)備將新建一條內(nèi)部局部地址1.1.1.1到全局地址的映射條目。如果NAT表中已有源地址1.1.1.1的轉(zhuǎn)換條目存在，NAT設(shè)備將重新針對(duì)當(dāng)前的“源地址”進(jìn)行PAT轉(zhuǎn)換，產(chǎn)生一條映射條目。重新轉(zhuǎn)換是指針對(duì)當(dāng)前使用的“源地址+端口號(hào)”進(jìn)行轉(zhuǎn)換，這個(gè)轉(zhuǎn)換條目之前是不存在的。已存在的轉(zhuǎn)換條目（“源地址+已轉(zhuǎn)換的端口號(hào)”）會(huì)同步到底層轉(zhuǎn)發(fā)層面，數(shù)據(jù)不會(huì)上送到NAT協(xié)議進(jìn)行查找處理。第三步：NAT設(shè)備使用全局地址2.2.2.2替換主機(jī)1.1.1.1的內(nèi)部局部源地址，并且轉(zhuǎn)發(fā)數(shù)據(jù)包。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)第四步：主機(jī)B接收到源地址為2.2.2.2的數(shù)據(jù)包后，以2.2.2.2為目的地址發(fā)送響應(yīng)數(shù)據(jù)包。第五步：NAT設(shè)備接收到目的地址為2.2.2.2的響應(yīng)數(shù)據(jù)包后，使用協(xié)議、“全局地址+端口”、“外部地址+端口”等信息作為索引檢查NAT表。檢查發(fā)現(xiàn)該數(shù)據(jù)包響應(yīng)的是主機(jī)1.1.1.1發(fā)送的源數(shù)據(jù)包后，NAT設(shè)備將響應(yīng)數(shù)據(jù)包的目的地址轉(zhuǎn)換為內(nèi)部局部地址1.1.1.1并發(fā)送響應(yīng)數(shù)據(jù)包給主機(jī)1.1.1.1。主機(jī)1.1.1.1接收到響應(yīng)數(shù)據(jù)包后，實(shí)現(xiàn)與主機(jī)B間的通信。NAT設(shè)備為每一個(gè)信息包執(zhí)行上述步驟二~步驟五。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)6.2.2參考案例：路由器PAT配置【參考案例】如圖6-7所示，電腦上配置私網(wǎng)地址，通過(guò)ZXR101800-2S進(jìn)行動(dòng)態(tài)PAT轉(zhuǎn)換后，可以訪問(wèn)Internet。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)序號(hào)命令功能1ZXR10(config)#cgn進(jìn)入NAT配置模式2ZXR10(config-cgn)#cgn-pool

<pool-name>poolid<pool-id>

modepat配置PAT地址池3ZXR10(config-cgn-natpool)#section

<section-num>{start-ip

[<end-ip>]|

IP/mask}配置地址池中地址范圍4ZXR10(config-cgn-patpool)#max-ports-per-address

<value>配置一個(gè)公網(wǎng)地址可以使用的端口地址轉(zhuǎn)換數(shù)，取值范圍1~65535，默認(rèn)值655355ZXR10(config-cgn-patpool)#port-allowed-range

<start-port><end-port>配置允許使用的端口范圍【案例實(shí)施】1．掌握基本的PAT配置和維護(hù)命令基本的PAT配置和維護(hù)命令如下表6-4。表6-4PAT配置和維護(hù)命令模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)2．配置思路1）配置接口地址；2）配置PAT地址池；3）配置域并在域中配置動(dòng)態(tài)映射規(guī)則；4）配置用戶，將NAT域綁定在和PC相連的接口上。模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)序號(hào)設(shè)備接口IP地址網(wǎng)關(guān)1PC10.0.0.2/2410.10.0.12R1Gei-2/110.0.0.1/243Gei-2/2200.0.0.1/244因特網(wǎng)網(wǎng)關(guān)設(shè)備200.0.0.2/243．?dāng)?shù)據(jù)規(guī)劃數(shù)據(jù)規(guī)劃如下表6-5。表6-5動(dòng)態(tài)PAT配置數(shù)據(jù)規(guī)劃表模塊6：NAT和PAT實(shí)現(xiàn)內(nèi)外網(wǎng)互相訪問(wèn)4．配置腳本如下：ZXR101800-2s上的配置如下：ZXR10（config）#interfacegei-2/1ZXR10（config-if-gei-2/1）#ipaddress100.0.0.1255.255.255.0ZXR10（config-if-gei-2/1）#noshutdownZXR10（config-if-gei-2/1）#exitZXR10（config）#interfacegei-2/2ZXR10（config-if-gei-2/2）#ipaddress200.0.0.1255.255.255.0ZXR10（config-if-gei-2/2）#noshutdownZXR10（config-if-gei-2/2）#exitZXR10（config）#ipv4-access-listtestZXR10（config-ipv4-acl）#rulepermitanyZXR10（config-ipv4-acl）#exitZXR10（config）#cgnZXR10（config-cgn）#cgn-pooltestpoolid1modepat/*配置地址池*/ZXR10（config-cgn-patpool）#section11.2.3.11.2.3.10ZXR10（config-cgn-patpool）#exitZXR10（config-cgn）#domain11typesripv4-issuedZXR10（config-cgn-domain）#dynamicsourcerule-id1ipv4-listtestpermitpooltest/*這里配置的是動(dòng)態(tài)ACL規(guī)則，也可以配置靜態(tài)規(guī)則*/ZXR10（config-cgn-domain）#exitZXR10（config-cgn）#subscriberipv4publicsubscr