网络工程师-边界安全与远程接入实战（二）：NAT 配置全解

一、引言网络地址转换NAT与虚拟专用网是软考网络工程师案例分析题的核心考点属于边界网络技术模块占案例题分值约 20%-25%。其中 NAT 技术由 IETF 在 RFC 1631 中定义1994 年正式发布最初为解决 IPv4 地址枯竭问题后续衍生出隐藏内网结构、实现服务器对外发布等附加功能虚拟专用网技术从 1990 年代开始发展IPSec 协议族由 IETF 在 1998 年发布 RFC 2401-RFC 2410 系列标准定义GRE 协议由 RFC 1701 规范二者共同构成了跨公网安全互联的技术基础。本文将从核心原理、配置方法、方案对比、场景应用、常见故障排查五个维度展开覆盖软考大纲要求的所有 NAT 与 虚拟专用网 知识点包含华为路由器、防火墙的标准配置案例以及考试高频易错点提示。NAT 与 虚拟专用网 在企业网络边界的部署位置示意图二、NAT 核心原理与实现方案NAT 的核心逻辑是在网络边界设备路由器、防火墙上维护地址映射表对数据包的源或目的 IP 地址、传输层端口进行修改实现私有地址与公有地址的转换。私有地址范围由 RFC 1918 定义包括 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 三个网段此类地址无法在公网路由必须经过 NAT 转换后才能访问互联网。2.1 NAT 的五类实现方式对比不同 NAT 类型的技术特性、配置命令、适用场景存在明确差异是软考选择题和案例题的高频考点静态 NAT原理实现私网 IP 与公网 IP 的一对一固定映射每个私网 IP 独占一个公网 IP映射关系永久有效。配置命令华为路由器nat static global 203.0.113.10 inside 192.168.1.10适用场景内网服务器需要对外提供固定公网 IP 访问的场景如企业官网服务器、邮件服务器。优缺点配置简单映射关系稳定但公网 IP 利用率低无法解决地址枯竭问题。动态 NATBasic NAT原理预先配置公网地址池内网主机访问外网时动态分配空闲公网 IP会话结束后回收 IP不进行端口转换实现多对多映射。配置命令nat outbound 2000 address-group 1 no-pat其中no-pat表示不使用端口转换。适用场景内网少数主机需要固定公网 IP 访问特定外部系统的场景目前已极少使用。优缺点公网 IP 利用率略高于静态 NAT但仍需与内网并发访问量匹配的公网 IP 数量成本较高。NAPT端口地址转换原理采用 “公网 IP 传输层端口号” 的映射方式多个私网 IP 可以共享同一个或少数几个公网 IP通过不同端口区分不同会话实现多对一映射。配置命令nat outbound 2000 address-group 1默认启用 PAT 模式。适用场景大多数企业内网用户访问互联网的场景是目前主流的 NAT 部署方式。优缺点公网 IP 利用率极高一个公网 IP 可支持 6 万以上并发会话但无法为内网主机提供固定的对外访问地址。Easy IP原理NAPT 的特例不需要预先配置公网地址池直接使用边界设备出口接口的公网 IP 作为转换地址适合出口 IP 动态获取的场景。配置命令nat outbound 2000无需指定地址池。适用场景小型办公网络、家庭网络出口采用 PPPoE 拨号或 DHCP 动态获取公网 IP 的场景。优缺点配置最简无需维护公网地址池但仅能使用一个公网 IP并发会话量受接口 IP 限制。NAT Server端口映射原理一对一的端口级映射将公网 IP 的指定端口映射到内网服务器的对应端口同一个公网 IP 的不同端口可以映射到不同的内网服务器。配置命令nat server protocol tcp global 203.0.113.20 80 inside 192.168.1.20 80适用场景对外发布内网 Web、FTP、邮件等服务的场景可实现一个公网 IP 承载多个业务服务。优缺点公网 IP 利用率高可灵活发布多个服务但需要注意端口冲突问题且需要配合安全策略限制访问权限。五类 NAT 实现方式的映射关系对比表2.2 防火墙 NAT 配置规范华为 USG 系列防火墙配置 NAT 需采用 “安全策略 NAT 策略”联动模式二者缺一不可安全策略负责控制流量的通断需要允许内网到外网的流量通过NAT 策略负责定义地址转换的规则指定转换的源地址范围、转换后的地址池。典型配置案例如下1. 配置NAT地址池启用PAT模式 [USG6600E] nat address-group addressgroup1 [USG6600E-address-group-addressgroup1] mode pat [USG6600E-address-group-addressgroup1] route enable [USG6600E-address-group-addressgroup1] section 0 203.0.113.2 203.0.113.2# 2. 配置安全策略允许信任域到非信任域的内网流量通过 [USG6600E] security-policy [USG6600E-policy-security] rule name policy_nat_permit [USG6600E-policy-security-rule-policy_nat_permit] source-zone trust [USG6600E-policy-security-rule-policy_nat_permit] destination-zone untrust [USG6600E-policy-security-rule-policy_nat_permit] source-address 192.168.0.0 16 [USG6600E-policy-security-rule-policy_nat_permit] action permit 3. 配置NAT策略执行源地址转换 [USG6600E] nat-policy[USG6600E-policy-nat] rule name policy_nat_out [USG6600E-policy-nat-rule-policy_nat_out] source-zone trust [USG6600E-policy-nat-rule-policy_nat_out] destination-zone untrust [USG6600E-policy-nat-rule-policy_nat_out] action source-nat address-group addressgroup12.3NAT Server 与黑洞路由配置当 NAT Server 使用的公网 IP 与边界设备出口接口 IP 不在同一网段时必须配置黑洞路由防止路由环路原理公网路由器会将去往映射公网 IP 的流量转发到企业边界设备若未配置黑洞路由当内网服务器不可用时边界设备会根据默认路由将流量再次转发回公网形成环路。配置命令配置端口映射将公网1.1.1.1的80端口映射到内网192.168.1.2的80端口 [Huawei] interface gigabitethernet 1/0/0 [Huawei-GigabitEthernet1/0/0] nat server protocol tcp global 1.1.1.1 www inside 192.168.1.2 www# 配置黑洞路由将去往1.1.1.1/32的流量丢弃 [Huawei] ip route-static 1.1.1.1 32 NULL 0软考高频考点黑洞路由的掩码必须是 32 位仅匹配映射的单个公网 IP避免影响其他流量。三、IPSec 虚拟专用网 核心配置与故障排查IPSec 是网络层加密协议族由 IETF RFC 2401 系列标准定义为 IP 数据包提供端到端的认证、加密、完整性校验服务是站点到站点Site-to-Site虚拟专用网的行业标准也是软考案例题的必考内容。3.1 IPSec 虚拟专用网 标准化配置五步法IPSec 虚拟专用网 配置需遵循固定流程所有步骤参数必须两端对称否则隧道无法建立第一步配置感兴趣流 ACL定义需要 IPSec 保护的业务流量通常为两端内网网段之间的互访流量ACL 规则两端必须镜像对称。配置示例[RA] acl 3000 [RA-acl-adv-3000] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255第二步配置 IPSec 安全提议定义流量的保护方法包括封装模式、安全协议、加密算法、认证算法所有参数两端必须完全一致。配置示例[RA] ipsec proposal tran1 [RA-ipsec-proposal-tran1] encapsulation-mode tunnel 隧道模式站点到站点虚拟专用网默认使用 [RA-ipsec-proposal-tran1] transform esp # 使用ESP协议支持加密认证 [RA-ipsec-proposal-tran1] esp encryption-algorithm aes-256 [RA-ipsec-proposal-tran1] esp authentication-algorithm sha2-256第三步配置 IKE 对等体定义密钥协商参数包括预共享密钥、对端公网地址、IKE 版本、协商模式参数需两端匹配。配置示例[RA] ike peer peer1 [RA-ike-peer-peer1] pre-shared-key simple Huawei123 预共享密钥两端必须完全相同[RA-ike-peer-peer1] remote-address 20.20.20.1 # 对端公网IP [RA-ike-peer-peer1] ike-proposal 10 # 引用IKE提议默认使用IKEv1主模式第四步配置 IPSec 安全策略关联 ACL、安全提议、IKE 对等体形成完整的保护策略。配置示例[RA] ipsec policy policy1 10 isakmp [RA-ipsec-policy-isakmp-policy1-10] security acl 3000 [RA-ipsec-policy-isakmp-policy1-10] proposal tran1 [RA-ipsec-policy-isakmp-policy1-10] ike-peer peer1第五步接口应用安全策略将 IPSec 安全策略应用在连接公网的出接口上对进出接口的流量进行加密 / 解密处理。配置示例[RA] interface GigabitEthernet 0/0/1 [RA-GigabitEthernet0/0/1] ipsec policy policy1IPSec 虚拟专用网协商流程与报文交互示意图3.2IPSec 与 NAT 冲突的解决方案当 IPSec 虚拟专用网流量穿越 NAT 设备时由于 ESP 协议封装的报文没有传输层头部NAT 设备无法进行端口转换会导致隧道建立失败。解决方案是启用 NAT 穿越功能RFC 3947 定义原理启用 NAT 穿越后IKE 协商使用 UDP 500 端口进行初始协商检测到 NAT 设备后自动切换到 UDP 4500 端口封装 ESP 报文使 NAT 设备可以识别并转换端口。配置命令[RA] ike peer peer1 [RA-ike-peer-peer1] nat traversal软考易错点NAT 穿越需要在虚拟专用网 VPN 两端同时启用且中间 NAT 设备需要放开 UDP 500 和 4500 端口的访问权限。3.3IPSec虚拟专用网常见故障排查IPSec 隧道建立失败是案例题常见的排错考点常见原因按优先级排序为ACL 配置错误两端感兴趣流不对称或包含不需要保护的流量安全提议参数不匹配加密算法、认证算法、封装模式两端不一致预共享密钥错误两端密钥字符、大小写不匹配路由不可达两端公网地址之间无法 Ping 通或内网路由缺失NAT 穿越未启用虚拟专用网流量经过 NAT 设备时未开启 NAT 穿越功能安全策略拦截中间防火墙或边界设备拦截了 ESP 协议协议号 50、IKE 协议UDP 500/4500 端口。四、GRE 虚拟专用网 与 GRE over IPSec 配置GRE通用路由封装协议由 RFC 1701 定义是一种三层隧道封装协议本身不提供加密功能主要实现异种网络互联和动态路由协议穿越公网的需求常与 IPSec 结合使用。4.1 GRE 隧道核心配置GRE 隧道配置仅需在两端路由器上配置 Tunnel 接口参数两端对称即可R1端配置 [R1] interface Tunnel 0/0/1 [R1-Tunnel0/0/1] ip address 10.10.10.1 30 # 隧道接口IP两端需在同一网段 [R1-Tunnel0/0/1] tunnel-protocol gre # 指定隧道协议为GRE [R1-Tunnel0/0/1] source 202.100.1.1 # 本地公网IP作为隧道源地址 [R1-Tunnel0/0/1] destination 203.100.1.1 # 对端公网IP作为隧道目的地址 R2端配置 [R2] interface Tunnel 0/0/1 [R2-Tunnel0/0/1] ip address 10.10.10.2 30 [R2-Tunnel0/0/1] tunnel-protocol gre [R2-Tunnel0/0/1] source 203.100.1.1 [R2-Tunnel0/0/1] destination 202.100.1.1配置完成后Tunnel 接口可视为普通三层接口支持 OSPF、BGP 等动态路由协议的邻居建立实现两端内网路由的自动学习。GRE 隧道封装结构与数据流转示意图4.2GRE over IPSec 配置方案GRE over IPSec 结合了两种技术的优势GRE 支持动态路由协议封装IPSec 提供加密保护是企业跨公网运行动态路由的标准方案。配置关键在于 IPSec 的感兴趣流需要保护 GRE 隧道两端公网 IP 之间的流量而非业务网段流量配置ACL匹配GRE隧道流量 [R1] acl 3000 [R1-acl-adv-3000] rule permit gre source 202.100.1.1 0 destination 203.100.1.1 0其余 IPSec 配置与前述五步法完全相同IPSec 会对所有 GRE 封装的报文进行加密实现业务流量的安全传输。4.3GRE 与 IPSec虚拟专用网方案对比技术维度IPSec 虚拟专用网GRE 虚拟专用网GRE over IPSec加密能力支持认证和加密无加密能力支持认证和加密动态路由支持不支持仅传输 IP 单播支持所有三层协议支持所有三层协议封装开销约 20-30 字节约 24 字节约 50-60 字节配置复杂度较高需配置五要素简单仅需 Tunnel 接口中等需同时配置两类适用场景静态路由的站点互联异种网络、动态路由互联需要加密的动态路由互联三类 虚拟专用网方案特性对比表五、软考考法总结与备考建议5.1 核心考点梳理NAT 模块根据场景选择合适的 NAT 类型重点区分 NAPT、Easy IP、NAT Server 的适用场景防火墙 NAT 配置的安全策略与 NAT 策略联动要求NAT Server 黑洞路由的作用与配置方法。虚拟专用网模块IPSec虚拟专用网五步法配置重点关注参数对称性要求IPSec NAT 穿越的应用场景与配置GRE over IPSec 的感兴趣流配置要点虚拟专用网隧道建立失败的故障排查思路。综合应用案例题常结合路由技术、安全策略进行综合考察典型场景为内网用户通过 NAT 访问互联网同时分支与总部通过 IPSec 虚拟专用网互联需要注意NAT 策略需要排除虚拟专用网感兴趣流避免虚拟专用网流量被 NAT 转换导致隧道建立失败静态路由或动态路由的优先级配置避免业务流量走默认路由而非虚拟专用网隧道安全策略需要同时允许 NAT 流量和虚拟专用网流量通过。5.2 备考最佳实践熟练掌握华为路由器、防火墙的 NAT 与 虚拟专用网 配置命令重点记忆命令关键字和参数顺序对比记忆路由器与防火墙 NAT 配置的差异路由器仅需配置接口下的 NAT 命令防火墙需要安全策略 NAT 策略联动整理 IPSec 排错的标准化流程按照 “物理层 - 路由层 - ACL - 协商参数 - 安全策略” 的顺序排查故障完成近 5 年软考案例题中 NAT 与 虚拟专用网相关的题目总结常见考点和易错点。5.3 前沿技术趋势随着 IPv6 的规模部署NAT 的地址转换需求将逐步降低但 NAT64 等过渡技术仍将长期存在虚拟专用网 技术向 SD-WAN 方向演进结合智能选路、应用优化、零信任安全等特性成为企业广域网互联的主流方案近年软考已出现相关考点的初步考察备考时需关注 SD-WAN 与传统 虚拟专用网 的技术差异。更多内容请关注⬇⬇⬇