当前位置：首页 > news >正文

【华为】NAT的分类和实验配置

news 2025/8/23 16:20:34

【华为】NAT的分类和实验配置

NAT产生的技术背景
IP地址分类
NAT技术原理
NAT分类
- 静态NAT
- 动态NAT
- NAPT
- Easy IP（PAT）
- NAT Server
配置
- 拓扑
- - 静态NAT
  - - 测试
    - 抓包
  - 动态NAT
  - - 测试
    - 抓包
  - NAPT
  - - 测试
    - 抓包
  - PAT
  - - 测试
    - 抓包
  - NAT Server
  - - 检测
    - 抓包
  - PC1
  - PC2
  - 服务器

在这里插入图片描述

NAT产生的技术背景

随着互联网用户的增多，IPv4的公有地址资源显得越发短缺。
同时IPV4公有地址资源存在地址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足。
一方面NAT缓解IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全性。

IP地址分类

公有地址：公有地址是互联网上全局唯一且可访问的地址，就是可以直接上网，由Internet NIC（Internet Network Information Center，因特网信息中心）负责分配和管理。
私有地址：私有地址则是一类特殊的IPv4地址，主要用于内部网络（如企业局域网、家庭网络等）之间的通信。这些地址在公共互联网上不被识别和使用，因此不能直接从互联网上进行访问。

A、B、C类地址中格预留一些地址专门作为私有地址：
A类：10.0.0.0 - 10.255.255.255
B类：172.16.0.0 - 172.31.255.255
C类：192.168.0.0 - 192.168.255.255

NAT技术原理

NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。

NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址，出口设备部署NAT，对于“从内到外”的流量，网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址)，而对于“从外到内的”流量，则对数据包的目的地址进行转换。

通过私有地址的使用结合NAT技术，可以有效节约公网IPv4地址。

NAT分类

静态NAT

静态NAT通过建立一对一的地址映射关系来实现内外网之间的通信。
内部主机的私有IP地址被手动配置映射到一个公有IP地址。当内部主机发送数据包时，NAT设备会检查数据包的源IP地址，并在静态NAT转换表中查找与源IP地址匹配的映射规则。
将内接口192.168.10.1 转换成全局接口IP（公有IP地址） 202.101.1.100
在这里插入图片描述

动态NAT

动态NAT使用地址池中的公有IP地址来动态地为内部网络的主机分配地址。
当内部主机需要访问外部网络时，NAT设备会从地址池中选取一个未使用的公有IP地址，并将其与内部主机的私有IP地址建立映射关系。
现网中几乎没有用，当作了解即可
在这里插入图片描述

NAPT

NAPT（Network Address Port Translation，网络地址端口转换）
NAPT是NAT的一种扩展形式，它允许多个内部主机共享一个公有IP地址，NAPT不仅转换IP地址，还转换TCP或UDP端口号。

当内部主机向外部网络发送数据包时，NAPT设备会将源IP地址和源端口号替换为公有IP地址和一个不冲突的端口号，并在转换表中记录这个映射关系。
在这里插入图片描述

Easy IP（PAT）

实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于EasyIP没有地址池的概念,直接用出接口IP地址作为NAT转换的公有地址。

Easy IP适用于不具备固定公网IP地址的场景: 如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换。

NAT Server

NAT Server是一种在NAT设备上实现的特定服务，它允许内部网络中的特定服务器通过公有IP地址暴露给外部网络。

指定[公有地址:端口]与[私有地址:端口]的一对一映射关系，将内网服务器映射到公网
当私有网络中的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。

外部网络的客户端可以通过这些公有IP地址访问内部服务器，而NAT设备会负责将外部请求转发给内部服务器，并将内部服务器的响应返回给外部客户端。
（就是能够从公网访问到我内部服务器）

配置

拓扑

在这里插入图片描述

静态NAT

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

##配置IP地址
[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 1、全局下开启，需要在接口下调用
[AR1]nat static global 202.101.1.100 inside 192.168.10.1[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] nat static enable'## 2、直接在接口下调用
[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0]nat static global 202.101.1.100 inside 192.168.10.1'

测试

在这里插入图片描述

抓包

转换成功
在这里插入图片描述

动态NAT

配置步骤
① 先创建一个地址池
② 配置地址转换的ACL规则（感兴趣流量）
③ 接口视图下部署带地址池的NAT outbound（no-pat）

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 创建NAT地址池 1
[AR1]nat address-group 1 202.101.1.10 202.101.1.12## 创建ACL规则，匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255 
[AR1-acl-basic-2000]quit ## 进入接口视图下部署带地址池的NAT outbound，并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat    
[AR1-GigabitEthernet0/0/0]quit
## no-pat参数指定不进行端口转换[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1

测试

通信虽然成功了，但因为我们NAT地址池中只有三个公有地址，会导致ping包不够用，这个就是动态NAT的缺陷
我们在现网当中，常用的是NAPT和Easy IP，所以这个动态NAT当作一个了解就好
在这里插入图片描述

抓包

在抓到的数据包中会更明显
在这里插入图片描述

NAPT

配置步骤
① 先创建一个地址池
② 配置地址转换的ACL规则（感兴趣流量）
③ 接口视图下部署带地址池的NAT outbound

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 创建NAT地址池 1
[AR1]nat address-group 1 202.101.1.10 202.101.1.12## 创建ACL规则，匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255 
[AR1-acl-basic-2000]quit ## 进入接口视图下部署带地址池的NAT outbound，并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1   ## 默认是端口转换
[AR1-GigabitEthernet0/0/0]quit[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1

测试

这个就已经是5个报文全通了，和上面的动态NAT有区别了
NAPT是用一个公有IP地址的端口来进行转换，而伪端口又有很多个，所以完全够用
在这里插入图片描述

抓包

在这里插入图片描述

PAT

配置步骤
① 配置地址转换的ACL规则（感兴趣流量）
② 接口视图下部署NAT outbound

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 创建ACL规则，匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[AR1-acl-basic-2000]quit ## 进入出接口部署 NAT outbound，并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000
[AR1-GigabitEthernet0/0/0]quit[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1

测试

在这里插入图片描述

抓包

直接将出接口IP地址202.101.1.2 拿来做端口转换
在这里插入图片描述

NAT Server

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

## 将192.168.10.100 端服务器地址端口8080 映射给 公网地址202.101.1.200 的 80 端口上
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]nat server protocol tcp global 202.101.1.200 www insid
e 192.168.10.100 8080

检测

在这里插入图片描述

抓包

能看到我的202.101.1.1 去ping 202.101.1.200 80 端口，就说明这个配置没有问题，只是模拟器的服务器不支持Telnet登入，所以才会导致失败，命令是没有问题的
在这里插入图片描述

PC1

在这里插入图片描述

PC2

在这里插入图片描述

服务器

在这里插入图片描述

【华为】NAT的分类和实验配置

NAT产生的技术背景

IP地址分类

NAT技术原理

NAT分类

静态NAT

动态NAT

NAPT

Easy IP（PAT）

NAT Server

配置

拓扑

静态NAT

测试

抓包

动态NAT

测试

抓包

NAPT

测试

抓包

PAT

测试

抓包

NAT Server

检测

抓包

PC1

PC2

服务器

相关文章：