主要内容：

NAT 原理与配置（私有IP地址、静态NAT转换、Easy IP）、VRRP解析（主路由器、备份路由器、虚拟路由器、优先级）

一、NAT概述

NAT 网络地址转换（Network Address Translation）是一种网络技术，用于将私有IP地址转换为公共IP地址，以便在互联网上进行通信。NAT的主要目的是解决IPv4地址短缺问题，并提供一定程度的网络安全。

主要功能：

• 地址转换：NAT将内部网络的私有IP地址转换为公共IP地址，使内部网络设备能够与外部网络（如互联网）进行通信。
• 安全性：NAT隐藏内部网络的IP地址，提供一定程度的网络安全，防止外部网络直接访问内部设备。
• 节省IP地址：NAT允许多个设备共享一个或少数几个公共IP地址，从而节省宝贵的IPv4地址资源。

NAT类型：

1. 静态NAT:

   • 一对一的地址转换，将一个私有IP地址映射到一个公共IP地址。
   • 适用于需要外部网络直接访问的设备，如Web服务器。

2. 动态NAT:

   • 将私有IP地址池中的地址动态映射到公共IP地址池中的地址。
   • 适用于内部网络设备不需要固定公共IP地址的情况。

3. PAT（端口地址转换）:

   • 也称为NAT Overload，允许多个私有IP地址共享一个公共IP地址，通过不同的端口号进行区分。
   • 最常见的NAT类型，适用于大多数家庭和小型企业网络。

---

补充：私有IP地址分类

私有IP地址是指在互联网上不可路由的IP地址，主要用于内部网络（如家庭、企业网络）中。这些地址不会在互联网上路由，因此可以被多个组织重复使用，从而节省了宝贵的IPv4地址资源。私有IP地址分为三类，分别对应于不同的网络规模。

1. A类私有IP地址:

   • 地址范围: 10.0.0.0 到 10.255.255.255
   • 子网掩码: 255.0.0.0 或 /8
   • 适用场景: 适用于大型网络，可以容纳多达16,777,216个主机。

2. B类私有IP地址:

   • 地址范围: 172.16.0.0 到 172.31.255.255
   • 子网掩码: 255.240.0.0 或 /12
   • 适用场景: 适用于中型网络，可以容纳多达1,048,576个主机。

3. C类私有IP地址:

   • 地址范围: 192.168.0.0 到 192.168.255.255
   • 子网掩码: 255.255.0.0 或 /16
   • 适用场景: 适用于小型网络，可以容纳多达65,536个主机。

1、NAT的工作过程

静态转换（Static NAT）和 Easy IP 是网络地址转换（NAT）的两种常见实现方式，它们在配置和应用场景上有所不同。

① 静态转换（Static NAT）

静态转换提供一对一的地址转换，将一个私有IP地址映射到一个公共IP地址。这种方式适用于需要外部网络直接访问的设备

② Easy IP

Easy IP 是一种简化的PAT（端口地址转换）配置方式，通常用于小型网络环境中。它允许内部网络中的多个设备共享一个公共IP地址，通过不同的端口号进行区分。

1.1 静态NAT 配置

静态转换是指将内部网络的私有地址转换为公有地址时，IP地址的对应关系是确定的，静态转换是一对一的转转换，是双向通信；

• 格式：nat static global 公网转换地址 inside 私网转换地址

案例：

1.配置PC地址与掩码

• PC1：192.168.2.1 24 192.168.2.254
• PC2：192.168.2.2 24 192.168.2.254
• PC3：100.0.0.10 8    //模拟公网地址

2.路由器配置端口IP

[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.2.254 24
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 100.0.0.1 8

3.配置静态NAT转换（路由器出外网接口）

[Huawei-GigabitEthernet0/0/1] nat static global 100.0.0.2 inside 192.168.2.1  //使用静态NAT技术，将内部的192.168.2.1转化为外部的公网地址100.0.0.2
[Huawei-GigabitEthernet0/0/1] nat static global 100.0.0.3 inside 192.168.2.2  //使用静态NAT技术，将内部的192.168.2.2转化为外部的公网地址100.0.0.3

4.查看当前接口的配置信息

[Huawei-GigabitEthernet0/0/1] display this

5.验证NAT转换（双向）

① 使用私网主机地址，Ping公网主机地址

② 使用公网主机地址，Ping私网主机地址

注意：使用公网主机地址Ping私网主机地址时，不能直接使用私网主机地址做Ping测试，必须使用转换的公网地址访问私网地址；

1.2 Easy IP 配置

Easy IP允许将多个内部地址映射到网关出接口，多对一转换，是单向通信（临时端口）；

格式：nat outbound ACL规则

案例：

配置EasyIP，让所有的内部地址仅仅利用唯一的一个公网地址100.0.0.1访问外网

1.配置PC地址与掩码

• PC1：192.168.2.1 24 192.168.2.254
• PC2：192.168.2.2 24 192.168.2.254
• PC3：100.0.0.10 8    //模拟公网地址

2.路由器配置端口IP

[Huawei] interface GigabitEthernet 0/0/0
[Huawei-GigabitEthernet0/0/0] ip address 192.168.2.254 24
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] ip address 100.0.0.1 8

3.配置NAT-Easy IP转换（路由器出外网接口）

[Huawei] acl 2000
[Huawei-acl-basic-2000] rule permit source any    //ACL规则允许所有
[Huawei-acl-basic-2000] quit
[Huawei] interface GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1] nat outbound 2000    //NAT出口应用ACL2000
[Huawei-GigabitEthernet0/0/1] display this

4.验证NAT-EasyIP转换（单向-通过产生的临时端口访问），公网主机无法访问私网

二、VRRP概述

• 单网关的场景分析（缺陷）：当网关路由器出现故障时，本网段内以该设备为网关的主机都不能与Internet进行通信；
• 多网关存在的问题：网关间IP地址冲突，主机会频繁切换网络出口；

虚拟路由器冗余协议（VRRP）是一种网络协议，用于提高网络的可靠性和冗余性。VRRP允许多个路由器在同一个网络中协同工作，形成一个虚拟路由器，提供单一的网关IP地址。这样，即使某个物理路由器发生故障，网络中的设备仍然可以通过虚拟路由器继续通信，从而实现高可用性。

VRRP的主要特点：

虚拟路由器

• VRRP将多个物理路由器组合成一个虚拟路由器，提供单一的网关IP地址。
• 虚拟路由器由一个主路由器（Master）和多个备份路由器（Backup）组成。

高可用性

• 主路由器负责处理所有流量，当主路由器发生故障时，备份路由器会自动接管，确保网络的连续性。
• 通过心跳机制（Hello消息）监测主路由器的健康状态。

负载均衡

• 在某些配置中，VRRP可以实现负载均衡，将流量分布到多个路由器上。

优先级机制

• 每个路由器都有一个优先级值，优先级最高的路由器成为主路由器。
• 优先级值可以手动配置，也可以根据路由器的性能自动调整。

安全性

• VRRP支持认证机制，防止未经授权的路由器加入虚拟路由器。

VRRP的工作原理：

① 初始状态：

• 所有参与VRRP的路由器都处于备份状态（Backup）。

选举主路由器：

• 根据优先级和IP地址，选举优先级最高且IP地址最大的路由器作为主路由器。

② 主路由器工作：

• 主路由器定期发送VRRP通告消息（Hello消息），告知其他路由器其健康状态。
• 主路由器负责处理所有流量。

③ 故障检测和切换：

• 备份路由器在一定时间内没有收到主路由器的Hello消息，则认为主路由器发生故障。
• 备份路由器根据优先级和IP地址重新选举新的主路由器。

④ 恢复和重新选举：

• 故障的主路由器如果恢复，它会重新加入虚拟路由器，并处于初始状态，再根据优先级和IP地址重新选举主路由器。

1、VRRP虚拟路由冗余协议

VRRP协议通过将多个物理路由器组合成一个虚拟路由器，提供单一的网关IP地址，从而提高网络的可靠性和冗余性。通过优先级机制和心跳检测，VRRP协议能够自动检测和处理路由器故障，确保网络的高可用性。正确配置和管理VRRP协议，可以显著提高网络的稳定性和性能。

---

VRRP组成员角色：

1. 主路由器（Master）:

   • 负责处理所有流量。
   • 定期发送VRRP通告消息（Hello消息），告知其他路由器其健康状态。
   • 如果主路由器发生故障，备份路由器会自动接管成为新的主路由器。

2. 备份路由器（Backup）:

   • 在主路由器正常工作时，处于待命状态。
   • 监测主路由器的健康状态，如果主路由器发生故障，备份路由器会根据优先级和IP地址重新选举新的主路由器。

3. 虚拟路由器（Virtual Router）:

   • 由一个主路由器和多个备份路由器组成。
   • 提供单一的网关IP地址，确保网络的连续性和高可用性。

在路由器或三层交换机进口

• 格式：vrrp vrid X virtual-ip 虚拟路由器地址     //配置VRRP，vrid组号要与同VLAN的主机相同（为一个组），指定虚拟路由器地址
• 格式：vrrp vrid X priority       //配置VRRP优先级，默认100

案例：

1.配置2台三层交换机、路由器的主机名及虚拟接口地址

SW1三层交换机

[Huawei] sysname sw1     //修改主机名
[sw1] interface vlanif 1     //配置VLAN1的虚接口
[sw1-Vlanif] ip address 192.168.1.252 24
[sw1] vlan 2
[sw1] interface vlanif 2    //配置VLAN2的虚接口
[sw1-Vlanif] ip address 192.168.2.2 24
[sw1] interface GigabitEthernet 0/0/1
[sw1-GigabitEthernet0/0/1] port link-type access
[sw1-GigabitEthernet0/0/1] port default vlan 2

SW2三层交换机

[Huawei] sysname sw2     //修改主机名
[sw2] interface vlanif 1     //配置VLAN1的虚接口
[sw2-Vlanif] ip address 192.168.1.253 24
[sw2] vlan 2
[sw2] interface vlanif 2     //配置VLAN2的虚接口
[sw2-Vlanif] ip address 192.168.3.2 24
[sw2] interface GigabitEthernet 0/0/1
[sw2-GigabitEthernet0/0/1] port link-type access
[sw2-GigabitEthernet0/0/1] port default vlan 2

AR1路由器

[Huawei] sysname ar1     //修改主机名
[ar1] interface GigabitEthernet 0/0/0
[ar1-GigabitEthernet0/0/0] ip address 192.168.2.1 24
[ar1] interface GigabitEthernet 0/0/1
[ar1-GigabitEthernet0/0/0] ip address 192.168.3.1 24
[ar1] interface GigabitEthernet 0/0/2
[ar1-GigabitEthernet0/0/0] ip address 192.168.4.254 24
[ar1] interface GigabitEthernet 0/0/2

2.配置OSPF动态路由

SW1三层交换机

[sw1] ospf
[sw1-ospf-1] area 0
[sw1-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[sw1-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255

SW2三层交换机

[sw2] ospf
[sw2-ospf-1] area 0
[sw2-ospf-1-area-0.0.0.0] network 192.168.1.0 0.0.0.255
[sw2-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255

AR1路由器

[ar1] ospf
[ar1-ospf-1] area 0
[ar1-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
[ar1-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
[ar1-ospf-1-area-0.0.0.0] network 192.168.4.0 0.0.0.255

3.配置VRRP协议

SW1三层交换机

[sw1] interface vlanif 1     //进入VLAN1的虚接口
[sw1-Vlanif] vrrp vrid 1 virtual-ip 192.168.1.254   //指定VRID1和虚拟路由器地址
[sw1-Vlanif] display vrrp brief     //查看VRRP状态

SW2三层交换机

[sw2] interface vlanif 1     //进入VLAN1的虚接口
[sw2-Vlanif] vrrp vrid 1 virtual-ip 192.168.1.254   //指定VRID1和虚拟路由器地址
[sw2 -Vlanif] display vrrp brief      //查看VRRP状态

4.测试VRRP

将Master路由器网线断开连接，查看Backup路由器，Backup路由器已变成主路由器

将原Master路由器网线恢复连接，查看原Master路由器状态

5.配置VRRP的优先级

[sw1] interface vlanif 1     //进入VLAN1的虚接口
[sw1-Vlanif] vrrp vrid 1 priority 150
[sw1-Vlanif] display vrrp brief

 补充：设置优先级后，数值最大的升为主Master服务器；

 

小结：

本篇章节为【第二阶段】NETWORK-DAY4 的学习笔记，这篇笔记可以初步了解到 NAT 原理与配置（私有IP地址、静态NAT转换、Easy IP）、VRRP解析（主路由器、备份路由器、虚拟路由器、优先级）。除此之外推荐参考相关学习网址：

• https://support.huawei.com/enterprise/zh/doc/EDOC1000069491/c5b1cf87
• VRRP原理与配置-CSDN博客

---

Tip：毕竟两个人的智慧大于一个人的智慧，如果你不理解本章节的内容或需要相关笔记、视频，可私信小安，请不要害羞和回避，可以向他人请教，花点时间直到你真正的理解