交换机与 VLAN:搞懂广播域和冲突域的秘密
在企业中,公网地址资源有限,而内网主机数量庞大。我们就可以借助 NAT 地址池,实现 多个内网主机动态映射到一组公网地址上,从而实现灵活、可靠的出网方案。今天,就带你一起在 eNSP 上配置 NAT 地址池(Address Pool)转换。
一、NAT 地址池是什么?
相比 Easy IP 只用一个公网 IP,NAT 地址池方式可以灵活地定义多个公网 IP 地址供 NAT 使用。
通俗来说,就是我不想用接口上的地址当公网 IP,我有专门的公网地址段,给你们这些内网主机慢慢用。
这也是企业 NAT 中常见的做法。
二、实验拓扑图
我们搭建如下拓扑:
PC1、PC2:内网主机R1:配置 NAT 地址池的边界路由器Cloud1:连接外部网络外部服务器:VM 网络(如 192.168.248.128)
三、具体配置步骤
1. 配置 R1 接口地址复制
[Huawei] sysname R1
# 内网接口
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1] ip address 192.168.10.1 255.255.255.0
[R1-GigabitEthernet0/0/1] quit
[R1]interface GigabitEthernet 0/0/2
[R1-GigabitEthernet0/0/2] ip address 192.168.20.1 255.255.255.0
[R1-GigabitEthernet0/0/2] quit
# 公网接口(连接 Cloud)
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] ip address 192.168.248.100 255.255.255.0
[R1-GigabitEthernet0/0/0] quit1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.
这个时候PC1和PC2是ping不通192.168.248.128的
22. 创建 NAT 地址池假设我们有一段公网 IP 资源:192.168.248.130 - 192.168.248.140
复制
# 创建 NAT 地址池
[R1]nat address-group 1 192.168.248.130 192.168.248.1401.2.
这段地址是“模拟公网地址段”,虽然实际是私网,但在 VMware 局域网中可以作为 NAT 的公网资源使用
3. 创建 ACL 匹配内网流量复制
# 创建 ACL 规则匹配需要 NAT 的地址
[R1]acl number 2000
[R1-acl-basic-2000] rule 5 permit source 192.168.10.0 0.0.0.255
[R1-acl-basic-2000] rule 10 permit source 192.168.20.0 0.0.0.2551.2.3.4.
复制
# 在公网出口接口配置 NAT,使用地址池
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0] nat outbound 2000 address-group 11.2.3.
这样就完成了地址池方式的 NAT 配置!
尝试 ping 外部的 192.168.248.128,发现ping的通了,通过抓包可以看到源地址是192.168.248.140,目标地址是192.168.248.128。
四. 地址池 vs Easy IP 区别总结
特性
Easy IP
NAT 地址池
公网地址来源
接口自身 IP
自定义地址段(更灵活)
场景
小型网络/临时方案
企业生产环境/公网资源集中管理
配置复杂度
简单
稍微复杂但更专业
THE END
