zzz
NAT网络地址转换
2026-02-08
网络
00
ENSP
请注意,本文编写于 55 天前,最后修改于 5 天前,其中某些信息可能已经过时。

目录

概述
工作原理
NAT类型
静态NAT
静态NAT配置
方式一、接口视图下配置静态NAT
方式二、系统视图下配置静态NAT
动态NAT
动态NAT配置
1.创建地址池
2.配置地址转换的ACL规则
3. 接口视图下配置带地址池的NAT Outbound
例子
NAPT
例子
Easy-IP
例子
NAT Server
例子

概述

​ NAT网络地址转换能实现在私有网络和公有网络之间相互访问。它通过将私有网络的IP地址转换成公有网络中的IP地址,从而允许私有网络中的设备能够访问外部网络,同时保护私有网络不被外部网络直接访问。

工作原理

内网到外网的转换

​ 数据包从内网发向外网,经过网络边界设备(如路由器、防火墙)时,NAT会将数据包的源IP地址从私有地址转换成公有地址

外网到内网的转换

​ 响应的数据包从外网发向内网,经过网络边界设备(如路由器、防火墙)时,NAT会将数据包的源IP地址从公有地址转换回私有地址

NAT类型

​ NAT类型主要分别有:静态NAT、动态NAT、NAPT、Easy-IP、NAT Server等

静态NAT

​ 静态NAT是一种将内部网络中的私有IP地址一对一地映射到外部网络上的公有IP地址的技术

适用于需要对外提供服务的服务器,如Web服务器、邮件服务器等是网络安全控制,通过映射特定内部主机到公有IP地址来控制访问。(几乎不会用!)

静态NAT配置

方式一、接口视图下配置静态NAT

展开代码
[Huawei-GigabitEthernet0/0/0] nat static global { global- address} inside {host address }

global参数用于配置外部公有地址,inside参数用于配置内部私有地址

方式二、系统视图下配置静态NAT

展开代码
[Huawei] nat static global { global-address} inside {host- address }

配置命令相同,视图为系统视图,之后在具体接口下开始静态NAT

展开代码
[Huawei-GigabitEthernet0/0/0] nat static enable

在接口下使能nat static功能

动态NAT

​ 动态NAT允许内部网络中的多个主机动态地共享一组外部网络上的公有IP地址。(多对一转换,但不能同时用)

适用于内部网络中有大量主机需要访问外部网络,但公有IP地址资源有限是需要动态管理IP地址分配的场景。(现在基本也不会用)

动态NAT配置

1.创建地址池

展开代码
[Huawei] nat address-group group-index start-address end-address

配置公有地址范围,其中group-index为地址池编号, start-address、end- address分别为地址池起始地址、结束地址

2.配置地址转换的ACL规则

展开代码
[Huawei] acl number
[Huawei-acl-basic-number] rule permit source source-address source -wildcard

配置基础ACL ,匹配需要进行动态转换的源地址范围

3. 接口视图下配置带地址池的NAT Outbound

展开代码
[Huawei-GigabitEthernet0/0/0] nat outbound acl-number address-group group-index [ no-pat ]

接口下关联ACL与地址池进行动态地址转换, no-pat参数指定不进行端口转换。

例子

展开代码
[R1]nat address group 1 122.1.2.1 122.1.2.3
[R1]acl 2000
[R1-acl-basic 2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic 2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernetO/0/1]nat outbound 2000 address-group 1 no-pat

NAPT

​ NAPT是一种更高级的NAT技术,它通过将内部私有IP地址和端口号组合映射到外部公有IP地址和端口号上,实现多个内部主机共享一个外部公有IP地址。多对一转换且能同时用)

  • 端口复用:不同的内部主机可以通过不同的端口号映射到同一个外部公有IP地址上。
  • 资源高效:极大地提高了外部公有IP地址的利用率。
  • 转换复杂:需要同时处理IP地址和端口号的转换。
  • 适用于家庭网络、小型办公室网络等公有IP地址资源有限的场景需要实现网络负载均衡、透明代理等高级功能的场景。(主流)

例子

展开代码
[R1]nat address-group 1 122.1.2.1 122.1.2.1
[R1]acl 2000
[R1-acl-basic 2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic 2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernetO/0/1]nat outbound 2000 address-group 1

Easy-IP

​ Easy-IP是一种简化的NAT技术,它类似于NAPT,但通常不需要配置地址池,直接使用接口地址进行转换。

  • 配置简单:适用于DHCP或PPPoE等动态获取公网IP地址的场景
  • 直接使用接口地址:不需要额外的地址池配置
  • 适用于动态获取公网IP地址的网络环境,如拨号上网、移动宽带等

例子

展开代码
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000

NAT Server

​ NAT Server是一种特殊的NAT应用,它通常用于将内部网络中的特定服务器映射到外部网络的公有IP地址上,并提供额外的负载均衡、安全控制等功能。

  • 负载均衡:可以将外部访问请求分散到内部网络中的多台服务器上
  • 安全控制:可以配置访问控制列表(ACL)来限制对内部服务器的访问
  • 高性能:通常部署在高性能的网络设备上,以处理大量的访问请求
  • 适用于需要对外提供高可用性、高性能服务的场景,如大型网站、电子商务平台等

例子

展开代码
[R1]interface GigbitEthernet0/0/1
[R1-GigbitEthernet0/0/1] ip address 122.1.2.1 24
[R1-GigbitEthernet0/0/1]nat server protocol tcp global 202.10.20.1 www inside 192.168.1.1 8080

本文作者:zzz

本文链接:

版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!