网络地址转换（NAT）与单臂路由实验

网络地址转换（NAT）与单臂路由实验文档

一、实验用途和意义

（一）用途

本实验模拟企业网络中私网接入互联网及服务发布场景，通过配置单臂路由实现同一交换机不同 VLAN 与外部网络的互联，借助 NAPT（网络地址端口转换）、EASY IP、NAT SERVER 等技术，验证私网多网段共享公网 IP 访问互联网、私网服务发布到公网的实现过程，为企业网络出口部署及服务暴露提供实践方案。

（二）意义

1. 技术实践：掌握单臂路由配置，解决交换机多 VLAN 与路由器单接口互联的网络场景；熟悉 NAPT、EASY IP、NAT SERVER 等 NAT 技术，理解不同 NAT 类型在私网访问公网、公网访问私网服务中的作用。

2. 场景适配：覆盖企业常见网络需求（多 VLAN 私网接入、多网段共享公网 IP 上网、私网服务发布 ），为企业网络出口规划、服务暴露提供可复用的配置模板。

3. 排障提升：通过验证私网网段上网、服务发布连通性，熟悉 NAT 转换表查看、单臂路由接口及 VLAN 配置检查方法，提升网络互联与服务发布场景的运维能力。

二、实验拓扑

三、实验需求

1. IP 地址配置：按拓扑为各设备接口配置 IP 地址，SWA 配置 VLAN10、VLAN20 及相关接口，R1 配置单臂路由子接口对应 VLAN 网关。

2. 单臂路由配置：在 R1 上配置单臂路由，使 SWA 的 VLAN10、VLAN20 网段可通过 R1 访问外部网络。

3. 私网 A 上网配置：在 R1 上配置 NAPT，使 VLAN10、VLAN20 网段通过 R1 的公网侧接口（连接 R2 接口 ）共享公网 IP 访问互联网。

4. 私网 B 上网配置：在 R3 上配置 EASY IP，使私网 B 的192.168.1.0/24网段通过 R3 的公网侧接口（GE_0/0 ）访问互联网。

5. 服务发布配置：在 R1 上配置 NAT SERVER，将私网 A 中 FTP - A 的 FTP 服务发布到公网，使PCB 可访问。

6. 连通性验证：

• • VLAN10、VLAN20 网段可通过 R1 访问 R4 所在网段（模拟互联网 ）。
• • R3 下联私网可通过 EASY IP 访问 R4 所在网段。
• • PCB可通过公网 IP 访问 FTP - A 的 FTP 服务。

四、实验步骤

步骤 1：设备基础配置（IP、VLAN 等 ）(按拓扑图自行配置)

步骤 2：单臂路由连通性验证

在 PCA 上测试 ping R1 单臂路由子接口 IP（如 ping 192.168.1.254、ping 192.168.2.254 ），在 FTP - A 上测试 ping 对应 VLAN 网关，验证单臂路由基本连通性。

步骤 3：NAPT 配置（私网 A 上网 ）

在 R1 上配置 NAPT，使 VLAN10、VLAN20 网段转换为 R1 公网侧接口（连接 R2 的接口 ）IP 访问公网。

[R1]acl basic 2000
[R1-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-acl-ipv4-basic-2000]rule permit source 192.168.2.0 0.0.0.255
[R1-acl-ipv4-basic-2000]exit
[R1]nat address-group 1#创建NAT地址池
[R1-address-group-1]address 100.1.1.1 100.1.1.1#设置公网地址
[R1-address-group-1]exit
[R1]int g0/1#公网接口
[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1#配置NAPT

步骤 4：EASY IP 配置（私网 B 上网 ）

R3 上配置 EASY IP，使私网B的192.168.1.0/24网段通过公网侧接口访问互联网

[R3]acl basic 2000
[R3-acl-ipv4-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R3-acl-ipv4-basic-2000]exit
[R3]int g0/0
[R3-GigabitEthernet0/0]nat outbound 2000
[R3-GigabitEthernet0/0]exit

步骤 5：NAT SERVER 配置（发布 FTP 服务 ）

在 R1 上配置 NAT SERVER，将 FTP - A 的 FTP 服务（私网 IP 192.168.1.1 假设为 FTP - A 地址 ）映射到 R1 公网侧接口 IP（100.1.1.1 ）。

• 在ftpA上配置FTP服务

[FTP-A]ftp server enable
[FTP-A]local-user luoqi class manage
New local user added.
[FTP-A-luser-manage-luoqi]password simple 123456.com
[FTP-A-luser-manage-luoqi]service-type ftp
[FTP-A-luser-manage-luoqi]authorization-attribute user-role level-15
[FTP-A-luser-manage-luoqi]exit

• 在R1上配置NAT SERVER

[R1-GigabitEthernet0/1]nat server protocol tcp global current-interface 20 21 inside 192.168.1.1 20 21

步骤 6：连通性与服务验证

1. 在 PCA 上测试访问公网（如 ping R3 的 100.2.2.3 ）或查看 R1 的 NAT 转换表（display nat session ）验证 NAPT 生效。

2. 在 PCB 上测试访问公网（如 ping R2 的100.2.2.1 ），查看 R3 的 NAT 转换表验证 EASY IP 生效。
   

3. 在 PCB 上使用 FTP 客户端访问 R1 公网侧接口 IP（ftp 100.1.1.1 ），验证能否访问 FTP - A 的 FTP 服务。
   

五、总结

1. 核心价值：

• • 验证单臂路由在多 VLAN 场景下的互联能力，解决交换机与路由器单接口互联的网络扩展需求。
• • 实现 NAPT、EASY IP 两种私网访问公网方式，满足企业多网段共享公网 IP 及灵活上网需求；通过 NAT SERVER 完成私网服务发布，支撑企业对外服务暴露场景。
• • 熟悉 NAT 转换表查看、单臂路由接口配置检查等排障方法，提升网络互联与服务发布场景的运维效率。

1. 关键注意事项：

• • 单臂路由配置中，子接口需正确关联 VLAN ID，且启用 ARP 广播，否则私网终端无法获取网关 ARP 表项。
• • NAPT 与 EASY IP 配置时，ACL 需精准匹配私网网段，公网侧接口需正确应用 NAT 策略；NAT SERVER 需注意协议（TCP ）、端口（FTP ）映射的正确性，以及公网 IP 的可达性。
• • 实验中私网 B 场景需补充实际网段，配置时需确保公网路由可达（如 R2、R3、R4 间路由 ），否则 NAT 转换后流量无法往返。

1. 扩展方向：

• • 结合动态路由协议（如 OSPF ），实现私网与公网侧网络的动态路由互联，适配复杂网络拓扑。
• • 部署 ACL 与 NAT 联动，对特定私网网段或服务进行精细访问控制，增强网络安全性。

通过本实验，可掌握单臂路由、NAT 技术在企业网络出口及服务发布中的应用，为实际网络部署提供配置参考与排障思路。