組網要求：某企業的内網用戶通過AR1路由器和Internet相連，且均有訪問外網Internet的需求。内網用戶希望使用外網地址池中（2.2.2.100～2.2.2.200）的地址和公司内部主機的地址（網段為192.168.10.0/24）進行一對一轉換後，訪問Internet。

一、主要知識點：

nat（Network Address Translation）是一種ip地址共享的技術，即可以實現多用戶共享少量公網IPv4地址訪問外部網絡。用戶訪問外部網絡時，NAT設備會将用戶私有IPv4地址轉換為公網的IPv4地址，暫時性記錄這種映射關系。

随着Internet的發展和網絡應用的增多，IPv4地址枯竭已成為制約網絡發展的瓶頸。盡管IPv6可以從根本上解決IPv4地址空間不足問題，但目前網絡設備和網絡應用大多是基于IPv4的，因此在IPv6廣泛應用之前，一些過渡技術的使用是解決這個問題最主要的技術手段。作為一種過渡方案，NAT通過地址重用的方法來滿足IP地址的需要，可以在一定程度上緩解IPv4地址空間枯竭的壓力，從而保證IPv4的用戶和業務能平穩過渡到IPv6。

NAT除了解決IP地址短缺的問題，還帶來了兩個好處：

· 有效避免來自外網的攻擊，可以很大程度上提高網絡安全性。

· 控制内網主機訪問外網，同時也可以控制外網主機訪問内網，解決了内網和外網不能互通的問題。

二、IP設置：

1、PC1：192.168.10.1/24，vlan10

PC2：192.168.10.2/24,vlan10

2、Switch:vlanif10:192.168.10.254/24

3、AR1：192.168.10.253/24 ,2.2.2.1/24

4、AR2:2.2.2.2/24

三、Switch的主要配置文件：

#

sysname Switch

#

vlan batch 10

#

interface Vlanif10

ip address 192.168.10.254 255.255.255.0

#

interface MEth0/0/1

#

interface GigabitEthernet0/0/1

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/2

port link-type access

port default vlan 10

#

interface GigabitEthernet0/0/3

port link-type access

port default vlan 10

#

ip route-static 0.0.0.0 0.0.0.0 192.168.10.253

#

user-interface con 0

user-interface vty 0 4

#

Return

四、AR1的主要配置文件：

#

sysname AR1

#

acl number 2000 //配置允許進行NAT轉換的内網地址段

rule 5 permit source 192.168.10.0 0.0.0.255

#

nat address-group 1 2.2.2.100 2.2.2.200 //配置NAT地址池

#

interface GigabitEthernet0/0/0

ip address 192.168.10.253 255.255.255.0

#

interface GigabitEthernet0/0/1

ip address 2.2.2.1 255.255.255.0

nat outbound 2000 address-group 1 //在出接口上配置NAT Outbound

#

interface NULL0

#

ip route-static 0.0.0.0 0.0.0.0 2.2.2.2 //配置到外網的默認路由

ip route-static 192.168.10.0 255.255.255.0 192.168.10.254 //配置到内網的路由

#

return

五、AR2的主要配置文件：

#

sysname AR2

#

interface GigabitEthernet0/0/0

ip address 2.2.2.2 255.255.255.0

#

return

六、驗證配置結果：

1、PC1 ping 2.2.2.2是通的。

PC>ping 2.2.2.2 -t

Ping 2.2.2.2: 32 data bytes, Press Ctrl_C to break

From 2.2.2.2: bytes=32 seq=1 ttl=254 time=93 ms

From 2.2.2.2: bytes=32 seq=2 ttl=254 time=46 ms

From 2.2.2.2: bytes=32 seq=3 ttl=254 time=47 ms

2、用PC1 ping 外網地址2.2.2.2時，執行命令display nat session，查看設備上的NAT映射表項。發現内網地址192.168.10.1通過NAT地址池轉換為2.2.2.149來訪問外網了。

[AR1]display nat session all

NAT Session Table Information:

Protocol : ICMP(1)

SrcAddr Vpn : 192.168.10.1

DestAddr Vpn : 2.2.2.2

Type Code IcmpId : 0 8 58971

NAT-Info

New SrcAddr : 2.2.2.149

New DestAddr : ----

New IcmpId : 10411

本實驗是通過華為模拟器eNSP1.3.00.100版（最新版）完成。該軟件還包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的設備IOS，可完成複雜網絡測試，需要該模拟器的朋友，可以轉發此文關注小編，私信小編【666】即可獲得。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!