讀過《三國演義》的小夥伴們都知道“荊州争奪”的故事。每次荊州談判，東吳孫權都安排魯肅向蜀國讨說法，然而每次談判，魯肅都被蜀國軍師諸葛亮“精湛的演技”所說服。兩國關于荊州之争，由使者間接傳達君主的指令，同樣，在兩個所屬不同的園區網絡中，兩個之間該如何相互通信呢？下面我們以案例的方式，向各位小夥伴總結分享，模拟拓撲圖如下所示。

在模拟拓撲圖中，蜀國區和東吳區的網絡設備啟用OSPF動态路由技術，業務地址段和互聯地址段規劃如下所示。

模拟軟件：采用“H3C網絡設備模拟器V3.0.1”。

蜀國區（172.16.13.254）與東吳區（192.168.14.254）之間可實現相互通信；

采用“地址轉換”的技術方案。

關于ospf的配置，在此不做陳述，重點講解F1060_5防火牆地址轉換配置；

針對蜀國區（172.16.13.254）通過地址轉換訪問東吳區（192.168.14.254）需求；

F1060_5防火牆配置如下：

#路由配置

ip route-static 172.16.13.254 32 10.100.11.1

ip route-static 192.168.14.254 32 10.200.12.1

#地址轉換配置——定義nat地址池

nat address-group 2 name dongwu

address 10.200.12.3 10.200.12.3

#地址轉換配置——目的地址轉換

interface GigabitEthernet1/0/1

port link-mode route

ip address 10.100.11.2 255.255.255.240

nat server global 10.100.11.4 inside 192.168.14.254

#地址轉換配置——源地址轉換

interface GigabitEthernet1/0/2

port link-mode route

ip address 10.200.12.2 255.255.255.240

nat outbound address-group 2

針對東吳區（192.168.14.254）通過地址轉換訪問蜀國區（172.16.13.254）需求；

F1060_5防火牆配置如下：

#地址轉換配置——定義nat地址池

nat address-group 1 name shuguo

address 10.100.11.3 10.100.11.3

#地址轉換配置——目的地址轉換

interface GigabitEthernet1/0/2

port link-mode route

ip address 10.200.12.2 255.255.255.240

nat server global 10.200.12.4 inside 172.16.13.254

#地址轉換配置——源地址轉換

interface GigabitEthernet1/0/1

port link-mode route

ip address 10.100.11.2 255.255.255.240

nat outbound address-group 1

模拟環境測試；

在SW_3上telnet訪問10.100.11.4；

在F1060_5防火牆查看nat地址轉換session；

從地址轉換session，可得知，請求方(Initiator)進行目的地址轉換，回應方（Responder）進行源地址轉換；

目的地址轉換，請求方

172.16.13.254與10.100.11.4，路由可通；

源地址轉換，回應方

192.168.14.254與10.200.12.3，路由可通；

10.200.12.3與10.100.11.4，路由可通；

在SW_4上telnet訪問10.200.12.4；

在F1060_5防火牆查看nat地址轉換session；

通過“地址轉換”技術來實現蜀吳通信的需求，不但不需求在各自的園區網中引入路由，而且可通過防火牆中的明細路由和防火牆安全策略控制訪問資源範圍；

地址轉換，一方面依賴三層路由可通，另一方面需分析業務訪問方向并合理選擇地址轉換的方式（源地址轉換OR目的地址轉換）。