动态nat如何访问内网地址（配置内网用户通过）

组网要求：某企业的内网用户通过AR1路由器和Internet相连，且均有访问外网Internet的需求。内网用户希望使用外网地址池中（2.2.2.100～2.2.2.200）的地址和公司内部主机的地址（网段为192.168.10.0/24）进行一对一转换后，访问Internet。

一、主要知识点：

NAT介绍

nat（Network Address Translation）是一种ip地址共享的技术，即可以实现多用户共享少量公网IPv4地址访问外部网络。用户访问外部网络时，NAT设备会将用户私有IPv4地址转换为公网的IPv4地址，暂时性记录这种映射关系。

随着Internet的发展和网络应用的增多，IPv4地址枯竭已成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足问题，但目前网络设备和网络应用大多是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术的使用是解决这个问题最主要的技术手段。作为一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IPv4地址空间枯竭的压力，从而保证IPv4的用户和业务能平稳过渡到IPv6。

NAT除了解决IP地址短缺的问题，还带来了两个好处：

· 有效避免来自外网的攻击，可以很大程度上提高网络安全性。

· 控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。

二、IP设置：

1、PC1：192.168.10.1/24，vlan10

PC2：192.168.10.2/24,vlan10

2、Switch:vlanif10:192.168.10.254/24

3、AR1：192.168.10.253/24 ,2.2.2.1/24

4、AR2:2.2.2.2/24

三、Switch的主要配置文件：

#

sysname Switch

#

vlan batch 10

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10

#

ip route-static 0.0.0.0 0.0.0.0 192.168.10.253

#

user-interface con 0

user-interface vty 0 4

#

Return

四、AR1的主要配置文件：

#

sysname AR1

#

acl number 2000 //配置允许进行NAT转换的内网地址段

rule 5 permit source 192.168.10.0 0.0.0.255

#

nat address-group 1 2.2.2.100 2.2.2.200 //配置NAT地址池

#

interface GigabitEthernet0/0/0

ip address 192.168.10.253 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 2.2.2.1 255.255.255.0

nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 2.2.2.2 //配置到外网的默认路由

ip route-static 192.168.10.0 255.255.255.0 192.168.10.254 //配置到内网的路由

#

return

五、AR2的主要配置文件：

#

sysname AR2

#

interface GigabitEthernet0/0/0

ip address 2.2.2.2 255.255.255.0

#

return

六、验证配置结果：

1、PC1 ping 2.2.2.2是通的。

PC>ping 2.2.2.2 -t

Ping 2.2.2.2: 32 data bytes, Press Ctrl_C to break

From 2.2.2.2: bytes=32 seq=1 ttl=254 time=93 ms

From 2.2.2.2: bytes=32 seq=2 ttl=254 time=46 ms

From 2.2.2.2: bytes=32 seq=3 ttl=254 time=47 ms

2、用PC1 ping 外网地址2.2.2.2时，执行命令display nat session，查看设备上的NAT映射表项。发现内网地址192.168.10.1通过NAT地址池转换为2.2.2.149来访问外网了。

[AR1]display nat session all

NAT Session Table Information:

Protocol : ICMP(1)

SrcAddr Vpn : 192.168.10.1

DestAddr Vpn : 2.2.2.2

Type Code IcmpId : 0 8 58971

NAT-Info

New SrcAddr : 2.2.2.149

New DestAddr : ----

New IcmpId : 10411

本实验是通过华为模拟器eNSP1.3.00.100版（最新版）完成。该软件还包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的设备IOS，可完成复杂网络测试，需要该模拟器的朋友，可以转发此文关注小编，私信小编【666】即可获得。

,