2025年HC110110026 网络地址转换

大家好，我是讯享网，很高兴认识大家。

0x00 汇总

汇总链接

0x01 NAT

网络地址转换技术NAT（Network Address Translation）主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时，通过NAT技术可以将其私网地址转换为公网地址，并且多个私网用户可以共用一个公网地址，这样既可保证网络互通，又节省了公网地址。
在这里插入图片描述
讯享网

静态NAT

在这里插入图片描述
静态NAT实现了私有地址和公有地址的一对一映射。
一个公网IP只会分配给唯一且固定的内网主机。

动态NAT

在这里插入图片描述
动态NAT基于地址池来实现私有地址和公有地址的转换。

NAPT

在这里插入图片描述
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。

EASY IP

在这里插入图片描述
Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。

NAT Server

在这里插入图片描述
NAT在使内网用户访问公网的同时，也屏蔽了公网用户访问私网主机的需求。当一个私网需要向公网用户提供Web和SFTP服务时，私网中的服务器必须随时可供公网用户访问。

上面写了好几种NAT，其实归纳一下上述NAT其实就分为两大类，静态/动态以及端口复用与否。即：

静态NAT
静态PAT
动态NAT
动态PAT。

由于公网的地址的限制，生活当中大多数的使用都是PAT，静态PAT一般用于将内网服务器进行对外发布，而动态PAT用于内网地址访问公网。对应华为PPT上来说，用的比较多的即为NAT Server、NAPT、EASY IP。其中NAPT和EASY IP基本是一个意思，只是NAPT借助地址池来实现，而EASY IP利用的是接口IP，没太大区别。

0x02 配置

在这里插入图片描述
要求：
ISP-AR4为公网地址，其余均为私网地址，不可路由直接互通
1.PC2和PC3都可以访问ISP-AR4后的loopback100
2.ISP-AR4可以访问AR-PC3的telnel功能。

底层配置：
LSW1

//配置VLAN及接口 [LSW1]vlan batch 10 20 30 [LSW1]int g0/0/1 [LSW1-GigabitEthernet0/0/1]port link-type access [LSW1-GigabitEthernet0/0/1]port default vlan 30 [LSW1-GigabitEthernet0/0/1]int g0/0/2 [LSW1-GigabitEthernet0/0/2] port link-type access [LSW1-GigabitEthernet0/0/2] port default vlan 10 [LSW1-GigabitEthernet0/0/2]interface g0/0/3 [LSW1-GigabitEthernet0/0/3] port link-type access [LSW1-GigabitEthernet0/0/3] port default vlan 20 //配置三层IP [LSW1-Vlanif10]interface Vlanif10 [LSW1-Vlanif10] ip address 192.168.10.1 255.255.255.0 [LSW1-Vlanif20]interface Vlanif20 [LSW1-Vlanif20] ip address 192.168.20.1 255.255.255.0 [LSW1-Vlanif30]interface Vlanif30 [LSW1-Vlanif30] ip address 192.168.30.1 255.255.255.0 //配置动态路由协议OSPF [LSW1]ospf 10 router-id 11.11.11.11 [LSW1-ospf-10]area 0 [LSW1-ospf-10-area-0.0.0.0]network 192.168.10.0 0.0.0.255 [LSW1-ospf-10-area-0.0.0.0]network 192.168.20.0 0.0.0.255 [LSW1-ospf-10-area-0.0.0.0]network 192.168.30.0 0.0.0.255

讯享网

GW-AR1

讯享网//配置IP地址 [GW-AR1]int g0/0/1 [GW-AR1-GigabitEthernet0/0/1]ip add 192.168.30.254 24 [GW-AR1-GigabitEthernet0/0/1]int g0/0/0 [GW-AR1-GigabitEthernet0/0/0]ip add 100.1.1.1 24 //配置静态路由访问ISP [GW-AR1]ip route-static 0.0.0.0 0 100.1.1.4 //配置动态路由协议OSPF互联内网 [GW-AR1]ospf 10 router-id 1.1.1.1 [GW-AR1-ospf-10]default-route-advertise always //下放缺省路由，容易忘 [GW-AR1-ospf-10-area-0.0.0.0]network 192.168.30.0 0.0.0.255

AR-PC2

//配置IP地址及网关 [AR-PC2]int g0/0/0 [AR-PC2-GigabitEthernet0/0/0]ip add 192.168.10.2 24 [AR-PC2]ip route-static 0.0.0.0 0 192.168.10.1

AR-PC3

讯享网[AR-PC3]int g0/0/0 [AR-PC3-GigabitEthernet0/0/0]ip add 192.168.20.3 24 [AR-PC3]ip route-static 0.0.0.0 0 192.168.20.1

ISP-AR4

//配置IP地址 [ISP-AR4]int g0/0/0 [ISP-AR4-GigabitEthernet0/0/0]ip add 100.1.1.4 24 [ISP-AR4]interface LoopBack 100 [ISP-AR4-LoopBack100]ip add 100.100.100.100 32

使用EASY IP使内网可以访问ISP
GW-AR1

讯享网//配置ACL匹配被允许转换地址(内网地址) [GW-AR1]acl number 2000 [GW-AR1-acl-basic-2000] rule 5 permit source 192.168.10.0 0.0.0.255 [GW-AR1-acl-basic-2000] rule 10 permit source 192.168.20.0 0.0.0.255 //配置EASY IP [GW-AR1]int g0/0/0 [GW-AR1-GigabitEthernet0/0/0]nat outbound 2000

测试效果

[AR-PC2]ping 100.100.100.100 PING 100.100.100.100: 56 data bytes, press CTRL_C to break Request time out Reply from 100.100.100.100: bytes=56 Sequence=2 ttl=253 time=60 ms Reply from 100.100.100.100: bytes=56 Sequence=3 ttl=253 time=50 ms Reply from 100.100.100.100: bytes=56 Sequence=4 ttl=253 time=50 ms Reply from 100.100.100.100: bytes=56 Sequence=5 ttl=253 time=50 ms --- 100.100.100.100 ping statistics --- 5 packet(s) transmitted 4 packet(s) received 20.00% packet loss round-trip min/avg/max = 50/52/60 ms PC已经正常访问外网，接着去看网关上的转换记录 [GW-AR1]display nat session all NAT Session Table Information: Protocol : ICMP(1) SrcAddr Vpn : 192.168.10.2 DestAddr Vpn : 100.100.100.100 Type Code IcmpId : 0 8 43983 NAT-Info New SrcAddr : 100.1.1.1 New DestAddr : ---- New IcmpId : 10242 Total : 1 有转换表了，结果OK。

配置NAT SERVER使外网可以访问PC3的TELNET功能
PC3

讯享网//配置TELNET [AR-PC3]user-interface vty 0 4 [AR-PC3-ui-vty0-4]authentication-mode password Please configure the login password (maximum length 16):huawei [AR-PC3-ui-vty0-4]user privilege level 3