如何在一台路由器上实现双向NAT

示例：utM办公区 - 实用经验教程分享！

实现目标：单位A的网内用户（192.168.1.0网段）需要访问单位B的服务器（10.1.1.1），并实现双向NAT。utM办公区 - 实用经验教程分享！

联网要求：单位A的内网结构和IP地址需要对外隐藏（单位B不能看到单位A的网内IP地址，只能看到NAT转换后的1.1.1.2地址），同时单位A的内网设备不需要添加单位B的IP网段的路由，只需要访问转换到内网的192.168.1.2这个地址，确保网内的路由干净。utM办公区 - 实用经验教程分享！

网络拓扑：utM办公区 - 实用经验教程分享！

utM办公区 - 实用经验教程分享！

IP地址说明：utM办公区 - 实用经验教程分享！

单位A内网IP：192.168.1.0/24utM办公区 - 实用经验教程分享！

单位A的路由器R1地址：局域口IP为192.168.1.1，广域口IP为1.1.1.1utM办公区 - 实用经验教程分享！

单位B服务器IP：10.1.1.1utM办公区 - 实用经验教程分享！

单位B的路由器R2地址：局域口IP为10.1.1.254，广域口IP为1.1.1.14utM办公区 - 实用经验教程分享！

R1路由器上内部映射到外部的地址为1.1.1.2，外部映射到内部的地址为192.168.1.2utM办公区 - 实用经验教程分享！

步骤1：在R1路由器上将内网192.168.1.0网段NAT映射成1.1.1.2后访问服务器，这样单位B的设备收到的数据包的IP地址都是1.1.1.2，从而隐藏了单位A内网的真实地址。utM办公区 - 实用经验教程分享！

nataddress-group11.1.1.21.1.1.2utM办公区 - 实用经验教程分享！

（设置NAT映射地址池为1.1.1.2）utM办公区 - 实用经验教程分享！

utM办公区 - 实用经验教程分享！

utM办公区 - 实用经验教程分享！

aclnumber2000utM办公区 - 实用经验教程分享！

rule0permitsource192.168.1.0 0.255.255.255utM办公区 - 实用经验教程分享！

rule1denyutM办公区 - 实用经验教程分享！

（设置访问服务器的源地址为192.168.1.0 255.255.255.0）utM办公区 - 实用经验教程分享！

utM办公区 - 实用经验教程分享！

utM办公区 - 实用经验教程分享！

interfaceEthernet0/0/1utM办公区 - 实用经验教程分享！

ipaddress1.1.1.1 255.255.255.255.255.255.240utM办公区 - 实用经验教程分享！

natoutbound2000address-group1utM办公区 - 实用经验教程分享！

（在R1上的互联端口上配置NAT规则，将acl 2000配置的源地址网段转换成1.1.1.2后访问出去）utM办公区 - 实用经验教程分享！

步骤2：在R1上把对方服务器10.1.1.1NAT翻译成内部地址192.168.1.2，供内部地址访问，这样单位A的内部用户访问192.168.1.2就等于访问对方的10.1.1.1的服务器utM办公区 - 实用经验教程分享！

interfaceEthernet0/0/0utM办公区 - 实用经验教程分享！

ipaddress192.168.1.1 255.255.255.0utM办公区 - 实用经验教程分享！

natserverprotocoltcpglobal192.168.1.2 anyinside10.1.1.1 anyutM办公区 - 实用经验教程分享！

（将外部服务器地址10.1.1.1的tcp连接映射成内网地址192.168.1.2）utM办公区 - 实用经验教程分享！

natserverprotocolicmpglobal192.168.1.2inside10.1.1.1utM办公区 - 实用经验教程分享！

（将外部服务器地址10.1.1.1的icmp连接映射成内网地址192.168.1.2）utM办公区 - 实用经验教程分享！

步骤3：配置路由utM办公区 - 实用经验教程分享！

在路由器R1上添加至对方服务器的路由utM办公区 - 实用经验教程分享！

ip route 10.1.1.1 255.255.255.255 1.1.1.14utM办公区 - 实用经验教程分享！

在路由器R1上打开debug调试功能，从单位A的内网ping映射后的服务器地址192.168.1.2，观察debug信息utM办公区 - 实用经验教程分享！

*0.1018668881 Quidway NAT/8/debug:utM办公区 - 实用经验教程分享！

(Ethernet0/0/0-in :)Pro : ICMPutM办公区 - 实用经验教程分享！

( 192.168.1.10: 758 - 192.168.1.2: 758) ------>utM办公区 - 实用经验教程分享！

( 192.168.1.10: 758 - 10.1.1.1: 758)utM办公区 - 实用经验教程分享！

*0.1018668881 Quidway NAT/8/debug:utM办公区 - 实用经验教程分享！

(Ethernet0/0/1-out :)Pro : ICMP ID : 38234utM办公区 - 实用经验教程分享！

( 192.168.1.10: 758 - 10.1.1.1: 758) ------>utM办公区 - 实用经验教程分享！

( 1.1.1.2:12290 - 10.1.1.1: 758)utM办公区 - 实用经验教程分享！

*0.1018668881 Quidway NAT/8/debug:utM办公区 - 实用经验教程分享！

(Ethernet0/0/1-in :)Pro : ICMP ID : 38234utM办公区 - 实用经验教程分享！

( 10.1.1.1: 758 - 1.1.1.2:12290) ------>utM办公区 - 实用经验教程分享！

( 10.1.1.1: 758 - 192.168.1.10: 758)utM办公区 - 实用经验教程分享！

*0.1018668881 Quidway NAT/8/debug:utM办公区 - 实用经验教程分享！

(Ethernet0/0/0-out :)Pro : ICMP ID : 38234utM办公区 - 实用经验教程分享！

( 10.1.1.1: 758 - 192.168.1.10: 758) ------>utM办公区 - 实用经验教程分享！

( 192.168.1.2: 758 - 192.168.1.10: 758)utM办公区 - 实用经验教程分享！

utM办公区 - 实用经验教程分享！

从debug调试信息可以看出，E0/0/0接口收到一个192.168.1.10访问192.168.1.2的请求被转换成访问10.1.1.1的请求；接下来在E0/0/1接口输出时将192.168.1.10访问10.1.1.1的请求转换成1.1.1.2访问10.1.1.1的请求，这时数据包被两次翻译后发送给服务器。服务器响应的数据包返回到R1路由器，这时E0/0/1接口收到一个10.1.1.1到1.1.1.2的请求，并转换成10.1.1.1到192.168.1.10的请求，然后在内网口E0/0/0上将10.1.1.1到192.168.1.10的请求转换成192.168.1.2到192.168.1.10的请求。utM办公区 - 实用经验教程分享！

至此，一个完整的数据包来回传输的交互过程实现。utM办公区 - 实用经验教程分享！