当前位置：首页 > news >正文

别再为公网IP发愁了！学会PAT，一个地址撑起整个内网

news 2026/5/6 22:11:02

摘要：动态NAT虽好，但IP地址池总有耗尽的时候。当内网主机数量远超公网IP时，如何让所有设备都能“挤”上互联网？本文将带你深入浅出地学习PAT（端口地址转换）技术，从原理到配置，从需求分析到实战演练，一步步揭开它如何用“一个IP”撑起“一片天”的秘密。无论你是网络小白还是资深网工，都能从中获得启发。文章末尾有详细的实验对比和学习总结，千万别错过！

在上一期的分享中，我们学习了动态NAT，它通过一个地址池，让内网主机轮流使用公网IP上网，解决了静态NAT一对一映射的局限性。但是，新的问题又来了：如果公司有200台电脑，而运营商只给了1个公网IP，动态NAT还玩得转吗？

答案显然是“玩不转”，因为地址池里就1个IP，同一时间只能有1台设备上网。这时，我们的主角——PAT（端口地址转换）闪亮登场了。

一、什么是PAT？它为什么是救星？

PAT，全称Port Address Translation，端口地址转换。它还有个更接地气的名字：NAPT（Network Address Port Translation），或者叫“超载”。

想象一下，动态NAT就像一座独木桥，每次只能让一个人通过。而PAT，则像一座摩天大楼的总机。大楼里（内网）上千部电话（主机）都只有一个对外公布的号码（公网IP）。当外面的人（外网）打电话进来时，总机通过“分机号”（端口号）就能准确找到楼里的某个人。

它的核心作用就是：通过复用同一个公网IP，利用不同的端口号来区分不同的内网会话，从而实现海量内网主机共享少数（甚至一个）公网IP上网的目的。

二、PAT的特点与原理

1. 特点：

超级省IP：堪称“IP省着用”的典范，理论上一个公网IP能支持65535个并发连接。
安全性提升：外网无法主动发起对内网的连接，因为内网主机没有直接暴露在公网上。
配置简单：尤其是“Easy IP”方式，配置起来非常便捷。

2. 工作原理：PAT在转换IP地址的同时，还会转换TCP/UDP的端口号。它会维护一张映射表，记录下“内网IP:端口”与“公网IP:端口”的对应关系。当数据包回来时，路由器根据这张表，就能准确地找到是哪个内网主机发起的会话，并把数据包转发给它。

三、实战：PAT配置与需求实现

光说不练假把式。下面我们来搭建一个真实的网络环境，实现一些“刁钻”的访问控制需求。

实验拓扑

终端区：6台PC，分别属于VLAN10、VLAN20、VLAN30。
核心层：一台三层交换机（SW-1）。
汇聚/出口层：一台边缘路由器（R1）。
外网：一台ISP路由器（R2）和一台服务器（Server）。

IP地址规划

设备/接口	VLAN	IP地址	网关
PC1	VLAN10	192.168.10.10/24	192.168.10.254
PC2	VLAN10	192.168.10.11/24	192.168.10.254
PC3	VLAN20	192.168.20.20/24	192.168.20.254
PC4	VLAN20	192.168.20.21/24	192.168.20.254
PC5	VLAN30	192.168.30.30/24	192.168.30.254
PC6	VLAN30	192.168.30.33/24	192.168.30.254
SW-1 (VLAN 66)	VLAN66	192.168.66.6/24	-
R1 (G0/0/1)	-	192.168.66.66/24	-
R1 (G0/0/2)	-	100.0.0.10/24	-
R2 (G0/0/2)	-	100.0.0.100/24	-
R2 (G0/0/0)	-	200.0.0.254/24	-
Server	-	200.0.0.200/24	200.0.0.254

需求分析

VLAN10：所有主机都可以访问外网。
VLAN20：仅允许IP地址为奇数的主机（PC3: 20.20）上网。
VLAN30：除了PC5（30.30）之外，其他主机（PC6: 30.33）可以上网。

配置步骤

第一步：基础配置（终端、VLAN、网关）

终端配置：为6台PC和1台服务器配置各自规划的IP地址、子网掩码和网关。

三层交换机（SW-1）配置：

边缘路由器（R1）配置：

第二步：路由配置（实现内网互通）

SW-1配置默认路由：

ip route-static 0.0.0.0 0 192.168.66.66

R1（边缘路由器）配置回程路由和去外网路由：

ip route-static 192.168.10.0 255.255.255.0 192.168.66.6
ip route-static 192.168.20.0 255.255.255.0 192.168.66.6
ip route-static 192.168.30.0 255.255.255.0 192.168.66.6
ip route-static 0.0.0.0 0 100.0.0.100

测试内网互通：

第三步：外网路由器（ISP）配置

为R2的接口配置IP地址（100.0.0.100/24, 200.0.0.254/24），并为服务器配置网关。

第四步：核心——PAT配置

现在我们开始在边缘路由器R1上配置PAT，精准实现访问控制需求。

# 创建公网地址池
[R1]nat address-group 1 100.0.0.20 100.0.0.20
# 配置ACL规则
[R1]acl 2000
# 允许VLAN10所有主机
[R1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
# 拒绝VLAN30中PC5的IP
[R1-acl-basic-2000]rule 20 deny source 192.168.30.30 0
# 允许VLAN30中其他所有主机
[R1-acl-basic-2000]rule 30 permit source 192.168.30.0 0.0.0.255
# 允许VLAN20中IP为奇数的主机（最后一位是1，掩码匹配0.0.0.254）
[R1-acl-basic-2000]rule 40 permit source 192.168.20.1 0.0.0.254
[R1-acl-basic-2000]q
[R1]int g0/0/2
# 在出接口调用ACL和地址池
[R1-GigabitEthernet0/0/2]nat outbound 2000 address-group 1
[R1-GigabitEthernet0/0/2]

第五步：验证测试

PC1 (10.10)ping 服务器 (200.0.0.200) -> 成功

PC3 (20.20)ping 服务器 -> 失败（IP为偶数）

PC4 (20.21)ping 服务器 -> 成功

PC5 (30.30)ping 服务器 -> 失败（被ACL明确拒绝）

PC6 (30.33)ping 服务器 -> 成功

四、进阶：动态PAT之Easy IP

在小型企业或家庭网络中，我们甚至不需要创建公网地址池。因为边缘路由器（如家用路由器）的出接口通常是从运营商动态获取的公网IP。我们只需直接使用这个接口的IP地址进行地址转换，这就是Easy IP。

拓扑：

配置步骤

终端配置，三层交换机不做配置

内网边缘路由器配置：

ISP路由器配置

内网边缘路由器PAT配置

# 配置ACL，定义哪些内网流量需要转换
acl 2000
rule permit source 192.168.1.0 0.0.0.255
# 在出接口直接调用ACL，无需地址池
interface GigabitEthernet0/0/2
nat outbound 2000

简单两步，就完成了Easy IP的配置，是不是非常“Easy”？

测试验证

五、一图胜千言：动态NAT vs 动态PAT

特性	动态NAT	动态PAT
转换对象	仅转换IP地址	同时转换IP地址和端口号
公网IP利用率	低，一个会话占用一个公网IP	极高，一个公网IP可支撑数千会话
地址池需求	需要，且池中IP数量需≥并发会话数	可选，即使只有一个IP也能工作
配置关键字	`nat outbound acl address-group`	`nat outbound acl address-group`不加`no-pat`
应用场景	公网IP相对充裕，需要明确映射关系时	公网IP稀缺，大量内网用户上网的常见场景
典型代表	企业分支机构	家庭路由器、小型企业出口

六、为什么这个实验如此重要？

通过这个实验，我们不仅学会了如何配置PAT，更重要的是，我们理解了网络世界中“资源有限”与“需求无限”的矛盾是如何被巧妙解决的。

从理论到实践的飞跃：书本上讲的“端口复用”原理，通过配置ACL和地址池，我们亲手实现了它，看到了它是如何精准地控制内网主机的上网权限。
精准访问控制的艺术：利用ACL，我们可以像“交通警察”一样，灵活地指挥哪些流量可以“出关”，哪些必须“留在家”。这在企业网络管理中至关重要，比如禁止财务部的非工作设备上网，或只允许销售部的特定机器访问客户资源。
为网络架构打下坚实基础：PAT是NAPT的核心技术，是几乎所有家用路由器和企业边界设备的基础功能。掌握了它，就掌握了局域网接入互联网的“钥匙”，是成为网络工程师的必经之路。