不同品牌路由器NAT技術的對比與探討

摘要：NAT是目前國內將內部網絡連接外網時最常用的方法。這種方法需要在專用網絡連接到外網的路由器（即邊界路由）上配置NAT（地址轉換協議）才能實現。而目前網絡設置品牌頗多，該文將例舉不同品牌路由器的配置方法進行探討。

關鍵詞：路由器;NAT;地址轉換

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）35-0043-01

目前國前主體常用的路由器品牌有“華為”“思科”“華三”“銳捷”“神州數碼等”多個品牌。當網絡需要將多于一臺計算機以上的內部網絡連接到外網時，任何一個品牌的路由器都要在路由器配置時進行ANT（地址轉換協議）設置。但由于不同品牌路由器的配置命令和配置方法并不相同，給技術人員帶來了很大的麻煩。不過大家不用過分擔心，只要弄清NAT的原理，了解NAT的工作過程，自然對任何品牌的配置都輕車熟路。下面我們先了解一下NAT的工作原理，然后分別對華三和神州數碼兩個有代表性的路由器舉例配置。

1 NAT的工作原理

目前大多網絡采用NAT的端口多路復用模式，這種方式允許網絡內部的所有客戶端共享同一個外部IP地址。其實就是在路由器里建立一個地址轉換列表，該表將記錄所有內部主機通過該路由器訪問外網的信息，包括內部IP，MAC地址，目的地址，數據大小等全部信息。當內部主機訪問外網地址時將其轉換成一個共同的共用IP。待數據從外網傳回路由器，由于共享同一外網IP而無法確定將數據返回給哪一內部主機時，路由器將調用地址轉換列表中的詳細信息。根據其相關內容將數據返回正確主機，這就是NAT技術。這種模式，只有內部主機先有訪問外網需求對外網進行訪問時，NAT列表中才會記錄相關信息，外網數據才能返回。所以，該技術只能由內網先訪問外網才能進行通信。外網無法主動訪問內網，增加了網絡的安全性能。

2 實際配置舉例

2.1神州數碼路由器

任務：假定外網IP為11.0.0.1 255.255.255.0內網網段為172.16.1.0 255.255.255.0 192.168.10.0 255.255.255.0、192.168.20.0 255.255.255.0。DCR中NAT技術的相關配置為：

interface FastEthernet0/0

ip address 172.16.1.1 255.255.255.0

no ip directed-broadcast

ip policy route-map test

ip nat inside：設成nat內部接口

interface GigaEthernet0/5

ip address 11.0.0.1 255.255.255.0

no ip directed-broadcast

ip nat outside：設成 nat 外部接口

ip access-list standard inside_address

permit 192.168.10.0 255.255.255.0

permit 192.168.20.0 255.255.255.0

ip access-list standard v10

permit 192.168.10.0 255.255.255.0

ip access-list standard v20

permit 192.168.20.0 255.255.255.0

route-map test 10 permit

match ip address v10

set ip next-hop 11.0.0.2

route-map test 20 permit

match ip address v20

set ip next-hop 11.0.0.3

route-map test 30 permit

ip nat inside source list inside_address interface GigaEther-net0/5

2.2華三路由

任務：H3C路由器1臺，有一個固定的外網IP地址，內網網段是192.168.1.0/24段的;h3c路由NAT的相關配置如下：

[Router]acl number 3001rule 0 permit ip source 192.168.1.0 0.0.0.255 destination anynat address—group 1外網地址interface接口號

nat outbound 3001 address—group 1#配置IP地址池1，假設你的外網地址是202.38.1.2system—vieW

[Router]nat address一group 1 202.38.1.2 202.38.1.2#配置訪問控制列表2001，僅允許內部網絡中192.168.1.0/24網段的用戶可以訪問Internet。

[Router]acl number 2001

[Router-acl-basic-2001] rule permit source 192.168.1.00.0.0.255

[Router-acl-basic-2001] quit#在出接口GigabitEthernet1/2上配置ACL 2001與IP地址池1相關聯。

[Router] interface gigabitethernet 1/2

[Router-GigabitEthernet1/2] nat outbound 2001 address-group 1

[Router-GigabitEthernet1/2] quit

參考文獻：

[1]齊秀國.任務導向教學法在網絡技術課程中的研究與實踐[J].電腦知識與技術，2018（2）.

[2]齊秀國.網絡搭建課程實現理實一體化教學的研究與實踐[J].電腦知識與技術，2019（15）.

【通聯編輯：代影】

收稿日期：2019-10-30

基金項目：基于“互聯網”的移動學習在高職圖形圖像上理課程教學方法的改革研究（項目編號：16g639）