ip nat inside在华为路由器中怎么配置

地址转换。
因为互联网 IP 地址不允许相同，但 IP 资源又非常有限，已经处于基本耗尽状态。所以网络运营商只能分配给用户有限的 IP 地址，比如一两个，大单位可能有几百个。一般都无法满足用户计算机数量的要求，所以后来开发了基于路由的地址转换服务NAT（Network Address Translation），就是可以将数量很多的内部 IP 地址转换成有限的公网 IP 地址再上互联网。也可以理解为几十、上百，甚至成千上万个内部用户共享一个、几个或几十个公网 IP 地址。
路由器中的 ip nat 就是用来定义NAT服务中内外地址对应关系的命令。
当然，在网络出口采用NAT服务后会导致一个问题，就是外网无法对内部服务器进行访问。如果单位分到的公网 IP 地址不止一个，就可以用其中一个和一个内部服务器地址进行静态映射，此时就要用到 ip nat inside 命令。当然，如果只有一个公网 IP 地址，则可以采用端口映射模式来向外提供服务。

NAT属于接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法公网IP地址的IP地址转换技术，它被广泛应用于各种类型 Internet接入方式和各种类型的网络中。

NAT地址转化技术的出现的重要价值主要体现在改善网络安全和解决IPv4地址不够用。

解决IPv4地址不足问题

这个主要通过动态NAT以及PAT来解决，其中PAT技术可以借助一个合法的公网IP地址使成百上千个内网用户达到访问外网的目标（如果不是PAT技术，IPv4那40多亿地址根本不能够满足地球人手一个可用的IPv4地址使用，更别提现在的物联网时代每个带电的设备都有属于自己的IP地址）

安全

通过地址转换将暴露的在公网的重要或核心服务器的地址映射出去，使映射的代理地址来应对攻击，相当于给受保护的地址披上了一层伪装。这是保护和隐藏重要服务器及核心设备地址不会轻易收到网络攻击的重要手段。

控制

控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。

静态NAT

工作机制

NAT转换时，内部网络主机IP地址与公网IP是一对一静态绑定的，每个公网IP只能给固定的内网主机转换使用；静态NAT转换时只转换IP地址，不涉及端口号。

具体配置（全局配置+接口挂接）

（1）在NAT路由器配置好静态NAT转化映射表。

（2）在公网接口启用静态NAT配置。

（3）上面为全局配置，也可以直接在接口下配置

静态NAPT

工作机制

静态NAPT转换时，内部网络主机IP+端口号与公网IP+端口号进行一对一静态绑定的，每个公网IP只能给固定的内网主机转换使用；

配置

（1）在NAT路由器配置好静态NAPT转化映射表

（2）在公网接口启用静态NAT配置。

动态NAT

Basic NAT

Basic NAT工作时，内部网络主机IP地址在预先设置好的公网IP地址池中的公网IP地址动态建立一对一映射；

Basic NAT工作时，在同一时刻的公网地址只能被一个私网地址所映射；‘’

Basic NAT转换时只转换IP地址，不涉及端口号。

配置

（1）在NAT路由器配置动态公网地址池

（2）用ACL匹配待转换的内网地址

（3）在外网出口配置动态NAT，实现公网地址池和内网地址的挂接，只转换IP地址不进行端口转化。

动态NPAT

工作机制

NAT转换时，内部网络主机IP+端口号与公网IP+端口号实现动态映射，实现多个内网共用一个公网IP地址访问外网。

配置

（1）在NAT路由器配置动态公网地址池

（2）用ACL匹配待转换的内网地址

（3）在外网出口配置动态NAPT，实现公网地址池和内网地址的挂接（默认的动态NAT是动态PAT）

Easy IP

工作机制

Easy IP是动态NAPT的一个特例

Easy IP自动将本设备的外网接口IP+端口和内网IP+端口进行映射；Easy IP无需创建公网地址池。

配置

（1）在NAT路由器通过ACL匹配待转化的内网地址

（2）在公网接口启用挂接匹配到的内网ACL。

端口映射

NAT Server依然是公网IP+端口与内网IP+端口的映射；目的是解决公网IP访问内网IP的问题。

NAT Server依然是公网IP+端口与内网IP+端口的映射；目的是解决公网IP访问内网IP的问题。

NAT Server依然属于端口和IP地址都转换的NAT。

END

这个很简单，AR13作为NAT路由器，AR13与AR11互联就属于公网，AR13到内部服务器属于内网，内网地址对于AR11是不可见的，因此内网地址无需在AR11指定回程路由。 在配置映射的时候，内网地址对应一个公网地址，这个公网地址需要在AR11上指定回程路由，下一跳接口IP地址为AR13的接口地址，AR13配置缺省路由到AR11的接口地址就OK了，希望能够帮助到您

    在以往的实践中，笔者在centos中使用防火墙iptables来配置NAT网络地址转换。VirtualBox中也可以配置NAT网络地址转换。但是最近接触到的云服务器，有私网IP地址和公网IP地址，公网IP提供外部通信，私网IP可以使用云上的各种服务。对于大型的网络来说，通过路由器来进行地址转换可能更加高效。于是笔者在华为的书籍上找了例子来进行配置实践。

     IPV6可用解决地址短缺的问题，但是无法立刻替换现在成熟且广泛应用的IPV4。网络地址转换（NAT）可以延长IPV4的寿命。NAT是将IP数据报文中的头IP地址转换成另一个IP地址的过程，主要用于内部网络(私有IP地址)访问外部网络(共有IP地址)。NAT有三种类型：静态NAT、动态地址NAT以及网路地址端口转换NAT。

    NAT转换设备维护着地址转换表，所有经过NAT转换设备并且需要地址转换的报文，都会通过该表做地址转换。NAT转换设备处于内部和外部网络的连接处，常见的有路由器、防火墙。

    根据图示的信息搭建网络。

    在网关路由器AR1上配置访问外网的默认路由。

    ip route-static 0000 0000 202169102

    查看配置好的静态路由协议。

    由于内网使用的是私有IP地址，员工无法直接访问公网。现需要在网关路由器上配置NAT地址转换，将私网地址转换为公网地址。PC1自身能够访问外网，并且需要外网用户也能够直接访问他，分配一个公网IP地址202169105给PC1做静态NAT地址转换。在R1的G0/0/0接口使用nat static命令配置内部地址到外部地址的一对一转换。

    配置完成后在AR1上查看NAT静态配置信息。

      在PC1上ping命令测试与外网的连通性，可以看到静态NAT已经可以成功访问外网。

    在路由器的G0/0/0接口上抓包查看NAT地址转换，AR1成功把来自PC1的ICMP报文的源地址1721611转换成公网地址202169105 。

    在AR2上使用环回地址loopback0模拟外网访问PC1，测试成功。

        在PC1的E0/0/1接口上抓包观察，PC1的私网地址被转换成唯一的公网地址，外网用户也能访问PC1。且数据包在经过R1进入内网时，R1把目的IP地址转为公网地址202169105对应的私网地址1721611发给PC1。

    PC2 、PC3都需要访问外网，网段为1721710/24 。使用公网地址池2021691050-2021691060 为其做NAT转换

    在AR1上使用nat address-group命令配置NAT地址池，设置起始地址2021691050，终止地址2021691060。

    nat  address-group 1  2021691050   2021691060  

    创建ACL2000。

    在AR1的G0/0/0接口下使用nat outbound 命令将acl200和地址池关联，使得地址池中规定的地址可以使用地址池进行进行地址转换。并在AR1上查看NAT outbound信息。

    在PC2上测试与外网的连通性成功。

    并在AR1的接口G0/0/0上抓包观察地址转换情况。来自PC2的ICMP数据包在AR1的G0/0/0接口上源地址1721712被替换成地址池中的第一个地址202171050 。

        由于PC众多，采用多对多的NAT转换方式就必须增加公网IP地址池的地址数量。为了节约地址，需要配置多对一的Easy-IP转换方式实现访问外网的需求。Easy-IP是NAPT的一种方式，直接借用路由器的接口IP地址作为公网地址，将不同的内部地址映射到同一公网地址的不同端口上，实现多对一地址转换。

    在AR1的G0/0/0接口上删除NAT Outbound配置，并使用nat outbound命令配置Easy-IP特性，直接使用接口IP地址作为NA转换后的地址。

      [AR1]int g0/0/0

      [AR1-GigabitEthernet0/0/0]undo nat outbound  2000 address-group 1 no-pat

      [AR1-GigabitEthernet0/0/0]nat outbound 2000

        配置完成后，在PC2上使用UDP数据包发包工具发送udp数据包到公网地址202169201，配置好目的IP地址和UDP源、目的端口号后，输入字符串后发送。

    PC2的配置如下：

        在AR1上查看nat session的详细信息。可以看到，源地址1721712的UDP数据包被新源地址202169101和新源端口10241替换。AR1借用自身G0/0/0接口的公网地址为所有私网地址做NA转换，使用不同端口号区分不同私网数据。此方式不需要创建地址池，大大节省了地址空间。

    公司内server服务器提供ftp服务供外网用户访问，配置NAT server并使用公网IP地址202169106对外公布服务器地址 ，然后开启nat alg功能。对于封装在ip数据报文中应用层协议报文，正常的NAT转换会导致错误，在开启某应用协议的nat alg功能后，该应用协议报文可以正常进行nat转换，否则该应用协议不能正常工作。

    在AR1的G0/0/0接口使用nat server命令定义内部服务器的映射表，指定通信协议为tcp，配置服务器使用公网ip地址202169106 ，服务器内网地址为1721613，指定端口为21，该常用端口号可以直接使用关键字“ftp”代替。并在AR1上查看nat server信息。

        查看server配置成效，选择根目录并启动ftpserver 。

    设置服务器完成后，在AR2上模拟公网用户访问私网ftp服务器。

---