华三nat实验(包含静态NAT,动态NAT，NAPT和Easy IP)

乐悲蔚蓝湖

已于 2025-04-17 15:29:57 修改

阅读量633

点赞数 3

文章标签： tcp/ip 网络服务器

于 2025-02-28 14:34:59 首次发布

本文链接：https://blog.csdn.net/lebeiweilanhu/article/details/145928339

版权

一、技术简介

NAT（Network Address Translation，网络地址转换）是一种将私有IP地址转换为公网IP地址的技术。在实际应用中，由于企业内网大多使用私网地址，NAT就可以用于实现私有网络访问公共网络的功能。这种通过使用少量的公网IP地址代表较多的私网IP地址的方式，将有助于减缓可用IP地址空间的枯竭，也增加了企业内网的安全和私密性。

二、基础知识：

静态NAT：私网ip地址一对一映射公网ip地址。绑定死的，一个公网ip固定给一个私网地址用。对于解决公网ip不够的问题来说，屁用没有。

动态NAT：多个私网ip地址映射多个公网ip地址，你用完了公网ip，可以腾出来再给别人用，但本质上还是一对一的关系。也无法解决公网ip不够用的根本问题

NAPT（又叫PAT，源地址转换，代理上网）：内部电脑主动出去，多个源ip带着源端口号映射成多个公网ip带随机的端口号。一个电脑大约占用10个端口后，一个公网ip可提供65535个端口号，一个公网ip能带动6000多个电脑同时上网。出包时转换私网源ip和源端口为公网源ip和源端口，数据回包将公网目的ip和目的端口还原为私网目的ip和目的端口。

NAT Server（端口映射）：将私网的一个服务器发布到互联网，都是客户端主动访问服务器，将公网ip带端口固定映射给一个私网ip带端口。进包时转换公网目的ip和目的端口为私网目的ip和目的端口，数据回包时将公网源ip和源端口还原为源ip和源端口。

Easy IP:原理跟NAPT一样，当公网ip不固定的时候使用，自动读取端口的IP，并将端口的公网ip和端口映射给私网ip和端口。可以算是NAPT的一种特例即不配公网地址池的NAPT，不配公网地址原因有两个：1是公网ip不固定，2是公网ip就一个。

三、实验部分及检验

1.实验拓扑

2.配置步骤

(1). 基础配置

企业出口：

[Exit]int g0/0/0        //进入链接内网的接口
 
[Exit-GigabitEthernet0/0/0]ip add 192.168.1.254 24        //配置内网PC的网关
 
[Exit]int g0/0/1        //进入链接公网的接口
 
[Exit-GigabitEthernet0/0/1]ip add 100.1.1.1 24        //配置公网接口IP
 
[Exit]ip route-static 0.0.0.0 0 100.1.1.100        //配置指向公网设备的默认路由

PC：

互联网：

[Internet]int g0/0        //进入接口
 
[Internet-GigabitEthernet0/0]ip add 100.1.1.100 24        //配置接口IP
 
[Internet]int g0/1        //进入接口
 
[Internet-GigabitEthernet0/1]ip add 200.1.1.1 30        //配置服务器网关

公网服务器：

(2). NAT配置

当前使用PC去ping公网的服务器是不通的，因为数据包在互联网设备进行回包时，查不到去往192.168.1.0/24的网段，所以数据包就被丢弃了。但此时我们做NAT，将192.168.1.0/24的网段转为企业出口设备的网段IP，这样互联网设备在回包时就知道应该发给企业出口设备，再由出口设备将IP还原为192.168.1.0/24的网段IP，从而发给PC。

①. 静态NAT

全局NAT的优先级高于接口NAT。若同时存在全局NAT策略和接口NAT的配置，当流量与全局NAT策略中任意一条过滤规则匹配，那么接口NAT中的源地址转换和目的转换的配置均不生效。建议不要同时配置接口NAT和全局NAT

防火墙的静态有两种：

第一种：
全局模式下设置静态NAT
[R1]nạt static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1 外网口
[R1-GigabitEthernet0/0/1]nat static enable 在网口上启动 nat static enable 功能

第二种：直接在接口上声明nat static
[R1]int g0/0/1 外网口
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]dis nat static 查看NAT静态配置信息

路由器只有接口下静态nat，静态地址转换是指手工配置外部网络和内部网络之间的地址映射关系，该方式适用于内部网络与外部网络之间存在固定访问需求的组网环境。静态地址转换支持双向互访：内网用户可以主动访问外网，外网用户也可以主动访问内网。

[Exit]nat static outbound 192.168.1.1 100.1.1.1        //配置静态nat，将192.168.1.1映射为100.1.1.1
 
[Exit]int g0/0/1        //进入公网接口
 
[Exit-GigabitEthernet0/0/1]nat static enable         //使能静态nat功能

测试：

当外网想主动访问内网的server时，也可以使用静态nat进行转换：

[Exit]nat static outbound 192.168.1.1 100.1.1.88        //将内网192.168.1.1映射到公网的100.1.1.88
 
[Exit]int g0/0/1        //进入公网接口
 
[Exit-GigabitEthernet0/0/1]nat sta enable        //使能静态nat

测试：

当外网想主动访问内网的server时，最好是用NAT Server

[Exit -GigabitEthernet0/0/1]nat server protocol tcp global 100.1.1.88 20 21 inside 192.168.1.1 20 21

②. 动态NAT

[Exit]acl basic 2000        //创建acl 2000
 
[Exit-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255       //匹配内网IP的范围
 
[Exit]nat address-group 1        //创建地址转换组1
 
[Exit-address-group-1]address 100.1.1.1 100.1.1.10        //设置可以转换的公网IP范围
 
[Exit]int g0/0/1        //进入公网出口
 
[Exit-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat        //配置地址转换

测试：

③. NAPT

[Exit]acl basic 2000        //创建acl 2000
 
[Exit-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255        //匹配内网要转换的IP
 
[Exit]nat address-group 1        //创建nat地址转换组1
 
[Exit-address-group-1]address 100.1.1.1 100.1.1.1        //设置转换的公网地址
 
[Exit]int g0/0/1        //进入公网接口
 
[Exit-GigabitEthernet0/0/1]nat outbound 2000 address-group 1        //配置nat转换，没有no-pat表示使用端口转换，公网地址与私网地址一对多进行转换

测试

④. Easy IP：Easy IP 方式的实现原理与NAPT 转换原理类似，可以算是NAPT的一种特例即不配公网地址池的NAPT，不同的是Easy IP 方式可以实现自动根据路由器上WAN 接口的一个随机公网IP 地址与多个私网IP 地址之间的映射（因为公网一直变化IP且就一个ip，所以无法创建公网地址池）。

[Exit]acl basic 2000        //创建acl 2000
 
[Exit-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255        //匹配内网IP范围
 
[Exit]int g0/0/1        //进入公网接口地址
 
[Exit-GigabitEthernet0/0/1]nat outbound 2000        //出接口配置easy ip转化

easy ip 甚至连ACL也可以不配，nat outbound 后边不跟ACL 编号时候，默认将所有经过该接口转发的数据包全部做地址转换。