NAT 转换配置实战指南
在网络工程中,NAT(网络地址转换)是解决 IPv4 地址短缺的关键技术。根据实际业务需求,我们可以选择不同的转换模式。下面结合常见命令行操作,梳理一下静态 NAT、动态 NAT、NAPT、Easy IP 以及 NAT Server 的配置要点。
静态 NAT(Static NAT)
静态 NAT 建立私网 IP 与公网 IP 的一对一固定映射。这种方式通常用于需要对外提供稳定服务的场景,但资源利用率较低,实际应用中相对少见。
在配置时,可以在接口视图或系统视图下定义全局地址与内部地址的绑定关系。注意开启静态 NAT 功能。
# 系统视图下配置静态 NAT 绑定
nat static global <公网 IP> inside <私网 IP>
# 在接口视图下启用静态 NAT
nat static enable
动态 NAT(Dynamic NAT)
动态 NAT 同样是一对一映射,但不再手动指定每个私网 IP 对应的公网 IP,而是通过定义一个公网地址池来实现。私网主机访问外网时,会按顺序从地址池中获取一个公网 IP。
注意: 默认情况下动态 NAT 不带端口转换(即 no-pat),这意味着同一个公网 IP 同一时间只能被一个私网 IP 占用,无法像 NAPT 那样复用端口。
配置步骤包括创建地址池、定义允许转换的源地址 ACL,最后在接口上应用。
# 1. 创建公网地址池
nat address-group 1 122.1.1.1 122.1.2.3
# 2. 配置 ACL 规则,匹配需要转换的内网网段
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
# 3. 在接口视图下应用
interface GigabitEthernet0/0/0
nat outbound 2000 address-group 1 no-pat
NAPT(Network Address Port Translation)
这是最常用的模式。私网 IP 和公网 IP 是多对一的关系。我们在地址池中只定义一个公网 IP,多个私网用户通过不同的端口号共用这一个公网 IP 上网。
配置逻辑与动态 NAT 类似,关键在于去掉 no-pat 参数,让设备自动进行端口转换。
# 地址池仅包含一个公网 IP
nat address-group 1 122.1.1.1 122.1.1.1
# ACL 定义内网网段
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
# 接口应用,省略 no-pat 即为 NAPT
interface GigabitEthernet0/0/0
nat outbound 2000 address-group 1
Easy IP
当路由器没有固定的公网 IP 地址池,或者公网 IP 不固定(如拨号接入)时,可以使用 Easy IP。它直接调用路由器出接口的 IP 地址作为转换后的公网 IP,无需配置地址池,非常适合家庭宽带或小型分支机构。
# 定义内网网段
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
# 直接在接口引用 ACL,系统自动使用接口 IP
interface GigabitEthernet0/0/1
nat outbound 2000
NAT Server(端口映射)
如果需要将内网的 Web 服务器、FTP 服务等暴露给互联网,就需要配置 NAT Server。它将内网服务器的私有 IP 和端口映射到公网 IP 的特定端口上。
