H3C 交换机配置NAT

H3C 交换机配置 NAT

一般来讲 H3C 交换机无论型号和规格都是不支持 NAT 的,但有些型号交换机可以加载无线 feature 包(UWW 融合AC特性包)以支持无线控制器功能;使用此种方式可以变相支持 NAT,而且也无需授权(Licence)。

设备型号和固件版本如下;使用交换机做 NAT 性能很差,只适合临时救急不适合长期使用。

H3C Comware Software, Version 7.1.070, Release 6820
Copyright (c) 2004-2025 New H3C Technologies Co., Ltd. All rights reserved.
H3C S6520X-54QC-EI uptime is 2 weeks, 3 days, 6 hours, 13 minutes
Last reboot reason : User reboot

Boot image: flash:/s6520x-cmw710-boot-r6820.bin
Boot image version: 7.1.070, Release 6820
  Compiled Jun 11 2025 16:00:00
System image: flash:/s6520x-cmw710-system-r6820.bin
System image version: 7.1.070, Release 6820
  Compiled Jun 11 2025 16:00:00
Feature image(s) list:
  flash:/s6520x-cmw710-packet-capture-r6820.bin, version: 7.1.070, Release 6820
    Compiled Jun 11 2025 16:00:00
  flash:/S6520X-CMW710-UWW-R5476P01.bin, version: 7.1.064, Release 5476P01
    Compiled May 13 2024 16:00:00

安装交换机 UWW Feature 包本文略过,下载对应版本的 UWW 包之后,安装方法可以参见之前文章

拓扑如下:
img

#经过测试直接在三层出接口(int vlan20)上配置nat outbound并不能生效;
#猜测原因是交换机三层转发已经被转发芯片接管
#数据并没有进入 CPU 进行 NAT 转换;
#这里使用 Qos 方式强行将流量重定向至 CPU 触发 NAT 转换;
acl advanced 3000
 rule 0 permit ip
#
traffic classifier class_test operator and
 if-match acl 3000
#
traffic behavior behavior_test
 redirect cpu
#
qos policy policy_test
 classifier class_test behavior behavior_test
#
interface Ten-GigabitEthernet1/0/21
 port link-mode bridge
 port access vlan 10
 qos apply policy policy_test inbound
 qos apply policy policy_test outbound
#
interface Ten-GigabitEthernet1/0/23
 port link-mode bridge
 port access vlan 20
#
interface Vlan-interface10
 ip address 192.168.10.254 255.255.255.0
#
interface Vlan-interface20
 ip address 192.168.20.254 255.255.255.0
 nat outbound
#
#

PC1网络设置:(网卡ens224为带外管理用,忽略即可)
img
PC1 路由:
img
PC2网络设置:(网卡ens224为带外管理用)
img
PC2 路由,PC2 无 PC1 的路由,只能通过NAT访问。
img
测速:
img
NAT 会话表:
img

调整至路由模式,删除 NAT 相关配置,再次测速:

interface Ten-GigabitEthernet1/0/21
 port link-mode bridge
 port access vlan 10
#
interface Ten-GigabitEthernet1/0/23
 port link-mode bridge
 port access vlan 20
#
interface Vlan-interface10
 ip address 192.168.10.254 255.255.255.0
#
interface Vlan-interface20
 ip address 192.168.20.254 255.255.255.0
#

增加PC2至PC1的路由:
img
再次测速几乎是满速,对比可以看出交换机开启 NAT 性能很差,原因猜测是没有硬件 NAT 加速,只能使用 CPU 处理 NAT。
img

posted @ 2025-11-07 16:24  bfhyqy  阅读(3)  评论(0)    收藏  举报