一、 原理描述

2019年11月26日，全球43亿个IPv4地址正式耗尽，这意味着没有更多的IPv4地址可以分配给 ISP 和其他大型网络基础设施提供商。IPv6 技术虽然可以从根本上解决地址短缺的问题，但是无法即刻替代成熟的IPv4 网络。人们很早就发现了IPv4设计的不足，为解决地址不足问题，1994年提出了NAT (Network Address Translation，网络地址转换）技术，它不仅能解决卫地址不足的问题，还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。
NAT 通常部署在一个组织的网络出口位置，通过将内部网络的私有IP地址替换为出口的公共I地址，来提供公网可达性和上层协议的连接能力。图8-1所示为NAT示意图。

NAT 的实现方式有3种：静态NAT、动态NAT以及网络地址端口转换NAPT。
（1）静态NAT。实现了私有地址和公有地址的一对一转换，一个公网地址对应一个私网地址。
（2）动态NAT。基于地址池来实现私有地址和公有地址的转换，转换是随机的,私有I地址与公有IP地址是多对一的。
（3）网络地址端口转换NAPT。NAT 实现的是私有IP地址和NAT公共地址之间的转换，因此内网中能够同时与公共网进行通信的主机数量就受到NAT的公共I地址数量的限制。为了克服这种限制，NAT 被进一步扩展到使用卫地址和端口（Port）共同参与IP 地址转换，这就是NAPT（Network Address Port Translation）技术。

二、 实验目的

1.理解NAT的应用场景。
2.掌握静态NAT的配置。
3.掌握动态NAT的配置。
4.掌握NAT Easy-IP的配置。

三、 实验内容

1.实验场景

某学院建立了内部的局域网，使用私网IP 地址。R1为学院的出口网关路由器，学院某教研室通过交换机连接在R1上，R2 模拟为外网设备与R1相连。为了实现该教研室能够访问外网，同时服务器可以供外网用户访问，网络管理员需在路由器R1上配置NAT。

2.实验要求

根据实例说明，建立一个网络拓扑，分别使用静态NAT、动态NAT 和网络地址端口转换NAPT的配置，使部分教职员工可以访问外网。

四、 实验配置

1.实验拓扑
S3700交换机1台，AR1220路由器2台，PC3台，NAT配置拓扑结构如图8-2所示。

2.设备编址
设备编址如表8-1所示。

五、 实验步骤

1.基本配置
根据编址对主机PC1和PC2进行基本I地址配置，同时更改R1、R2名称并配置相应接口地址。其中，R2作为模拟外网，在这里要设置一个环回路由接口LoopBack0，它是应用较为广泛的一种虚接口，在路由器上配置LoopBack0地址，起到本地回环接口作用。
所有配置完成后注意及时使用save命令保存。
R1的配置

[Huawei] sysname R1
[R1]interface GigabitEthernet 0/0/0
[Rl-GigabitEthernet0/0/0]ip address 172.10.0.254 24
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 26.28.10.1 24
<Rl>save

R2的配置

[Huawei] sysname R2
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 26.28.10.2 24
[R2]interface LoopBack 0
[R2-LoopBackO] ip address 26.28.20.1 24
<R2>save

配置完成后，对直连链路进行连通性测试。以R1和PC2的连通为例。

2.静态NAT配置

在网关路由器R1上配置学院访问外网的默认路由，地址要指向R2与R1相连的接口。

[R1]ip route-static 0.0.0.0 0.0.0.0 26.28.10.2

学院内部使用的都是私有地址，相互之间可以连通，但是无法直接访问外网。此时需要在网关路由器R1上进行配置，使用NAT地址转换，从而将私网地址转换为公网地址。
PC1是该学院网络管理员，由于其工作特殊性，需要外网也可以访问到它，因此需要为其分配一个公网地址26.28.10.3给PC1用作静态NAT地址转换。进入R1对外的接口,本例中是GE0/0/1，对其使用nat static 命令来进行配置静态NAT地址转换：

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat static global 26.28.10.3 inside 172.10.0.1

其中，global 表示公网未被分配的地址，inside 表示内网需要进行地址转换的私有IP地址，save后配置生效。
配置完成后，在R1上查看NAT静态配置信息：

使用ping命令测试与外网（这里为环回路由接口地址LoopBack0）的连通性。

此时可以看到，PC1通过静态NAT 地址转换，可以成功访问外网。我们可以通过抓包来进行查看，首先在PC1上持续发包，然后在路由器R1的对外接口处进行抓包，如图8-3所示。

PC>ping 26.28.10.2 -t

图8-3路由器R1的抓包结果

从图中可以看到，R1已经成功地将 PC1的ICMP 报文源地址转换为公网地址26.28.10.3。
同样，再测试一下外网是否可以访问PC1，这里将R2的环回路由口LoopBack0模拟为外网用户来访问PC1对外的接口地址26.28.10.3。在PC1的Ethernet 0/0/1接口上进行抓包分析，如图8-4所示，同时，在R2上执行以下命令。

<R2>ping -a 26.28.20.1 26.28.10.3

图8-4 PC1的抓包结果

可以看到，外网用户也可以主动访问内网用户，且数据在经过R1进入内网时，R1将目的IP地址转换为与公网地址26.28.10.3对应的内网地址172.10.0.1，并将数据转交。

3.NAT Outbound配置

学院的教职员工都有访问外网进行办公的需求，现进行动态NAT的配置。
某教研室使用的私网地址为172.10.0.0/24网段，管理员使用公网地址池26.28.10.10-26.28.10.20为该教研室教职员工进行NAT转换。
首先在R1上使用nat address-group命令配置NAT公网地址池，起始地址和结束地址分别为26.28.10.10、26.28.10.20。

[R1]nat address-group 1 26.28.10.10 26.28.10.20

访问控制列表（Access Control List，ACL）是路由器和交换机接口的指令列表，用来控制端口进出的数据包。当ACL应用在设备接口入方向时，若接口收到数据包，则先根据应用在接口上的ACL条件进行匹配，如果允许就根据路由表进行转发，如果拒绝直接丢弃。ACL应用在设备接口出方向时，报文先经过路由表路由后转至出接口，根据接口上应用的出方向ACL条件进行匹配，是允许permit 还是拒绝deny，如果是允许，就根据路由表转发数据，如果是拒绝，就直接将数据包丢弃了。命名ACL用字母数字字符串（名称）标识IP 标准ACL 和扩展ACL，其中，标准编号IPv4列表（1-1999，1300-1999）只可以根据源地址设置IP报文过滤条件；扩展编号IPv4列表（100-199，2000-2699）可以根据源目地址、TCP/IP 协议号和TCP/UDP源目的端口条件设置IP报文过滤条件。
rule-id：指定IPv4高级 ACL规则的编号，取值范围为0~65534。若未指定本参数,则系统将按照步长从0开始，自动分配一个大于现有最大编号的最小编号。譬如现有规则的最大编号为28，步长为5，那么自动分配的新编号将是30。
在这里创建基本的ACL2000，匹配172.10.0.0/24地址段。

[Rl]acl 2000
[Rl-acl-basic-2000]rule 5 permit source 172.10.0.0 0.0.0.255

在里，ACL的子网掩码用反向子网掩码。
在R1对外网接口GE0/0/1上使用nat outbound命令，将ACL2000与地址池相关联,使得ACL中规定的地址可以使用地址池进行地址转换。

[R1]interface GigabitEthernet 0/0/1
[Rl-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

outbound 表示在接口出方向上使用动态NAT，no-pat表示不做PAT端口复用。
配置完成后，使用命令display nat outbound在R1上查看NATOutbound信息。
使用PC2测试与外网的连通性，并在R1的GE 0/0/1接口上进行抓包，查看地址转换情况，如图8-5所示。


图8-5 R1的抓包结果

可以看到，PC2可以成功访间外网，而且来自该主机的ICMP 数据包在R1的GE0/0/1接口上，源地址被替换为外网地址池中的地址。

4.NAT Easy-IP配置

根据当前新冠肺炎疫情管控需要，学生上网课成为主要授课方式，上外网需求急剧上升。目前路由器 R1的公网地址数不足，为了方便学生使用外网，网络管理员使用多对一的Easy-IP转换方式来实现学生上外网的需求。
Easy-IP 是NAPT的一种方式，直接借用路由器出接口I地址作为公网地址，使多个内网地址可以映射到同一个公网地址的不同端口号上，从而实现多对一的地址转换。此时，需要网络管理员将路由器对外接口设置为Easy-IP接口。
我们仍在原有的拓扑结构上来完成。要设置新的接口类型，需要将原有配置删除。使用undo nat outbound命令删除上一步的配置。使用nat outbound命令，配置动态NAT在出接口上使用PAT端口复用，且直接使用接口IP地址作为NAT转换后的地址。

[Rl]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat
[Rl-GigabitEthernet0/0/1]nat outbound 2000

配置完成后，在PC2上使用UDP发包工具发送UDP数据包到公网地址26.28.20.1。
双击 PC2，选择“UDP发包工具”选项卡，将目的IP地址和端口号、源IP地址和端口号填写完整，并在数据框中填写测试数据，单击“发送”按钮。同样，为PC3也进行配置，如图8-6和图8-7所示。

图8-6 PC2配置界面

图8-7 PC3配置界面

display nat session 命令用来查看NAT映射表项。在数据发送后，在R1上使用display nat session protocol udp verbose 命令查看NAT Session的详细信息。

从结果可以看到，PC2和PC3均使用了同一个R1公网地址与外网连通，但是使用的端口号不同。这种方式不需要建立地址池，大大节省了地址空间。

注：此为记录笔记，如有不足，还望海涵，可留言斧正