实验二十四：网络地址与端口号转换NAPT

一、实验导读与预备知识（只做实验请跳过这部分）

1.1 实验目的

• 了解网络地址与端口号转换（NAPT）在广域网边界的作用。

• 掌握 NAPT 的底层运行原理与 Cisco IOS 平台的配置方法。

• 能够通过抓包和仿真模式，独立排查跨公私网通信的常见故障。

1.2 宏观背景：IPv4 枯竭危机与 NAPT 的必然性

在进行网络地址转换实验之前，首先需要深刻理解该技术诞生的宏观背景及其解决的根本网络矛盾。NAPT 并非互联网设计的初衷，而是 IPv4 架构在面对设备爆炸式增长时，维持全球网络运转的"必由之路"。其内在推导逻辑如下：

（1） 核心矛盾：IPv4 寻址空间的物理极限

IPv4 地址由 32 位二进制数构成，其理论寻址上限为 2^32（约 43 亿）个。根据早期互联网的端到端（End-to-End）通信铁律，任何接入公共因特网的设备都必须被分配一个全球绝对唯一的公有 IP 地址。然而，随着个人终端与物联网设备的呈指数级增长，这一地址池早已面临彻底枯竭的物理绝境。

（2） 局部缓解：RFC 1918 私有地址空间的引入

为延缓地址枯竭，互联网工程任务组（IETF）颁布了 RFC 1918 标准，创新性地从 IPv4 地址空间中划出了三大私有地址保留网段： 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16。其核心规则是：私有地址绝对不允许在公共骨干路由器上进行路由转发。由于无法在公网上互通，这些地址打破了"全球唯一性"的限制，得以在不同企业的局域网内部被无限次重复使用，从而极大地释放了内部网络的扩展能力。

（3） 必由之路：NAPT 的"端口多路复用"机制

虽然私有地址解决了内部网络的组网问题，但私网终端依然需要访问外部因特网。由于公共路由器会无条件丢弃源地址为私有 IP 的数据报，局域网与因特网之间便产生了一道无法逾越的物理鸿沟。 NAPT（网络地址与端口号转换）正是跨越这道鸿沟的终极桥梁。它突破了传统 NAT 仅在网络层（Layer 3）进行"IP 一对一"替换的局限，深度利用了传输层（Layer 4）的端口号（Port）资源。通过动态分配高达 65535 个虚拟端口，NAPT 实现了"多路复用（Multiplexing）"------即允许成百上千台使用私网 IP 的内网主机，同时共享唯一一个合法的公网 IP 地址与外界通信。

1.3 核心技术辨析：NAT 与 NAPT 的体制差异

在进行设备配置与报文分析前，必须首先厘清 NAT 与 NAPT 在技术体制上的本质区别。尽管二者均用于实现公私网地址的替换，但其作用的 OSI 模型层次与映射机制存在显著差异：

（1） 传统网络地址转换（Basic NAT）

传统 NAT 主要工作于 OSI 模型的网络层（Layer 3）。其核心机制是对 IP 数据报的首部进行解析，并将私有源 IP 地址替换为合法的公有 IP 地址。从映射关系来看，传统 NAT 是一种严格的"一对一（1:1）静态或动态映射"。这意味着，如果边界路由器地址池中仅有 N 个公有 IP 地址，则内网同一时刻最多只能有 N 台主机与外网进行通信。这种机制虽然实现了内外网的隔离，但并未从根本上提高公有 IP 地址的复用率。

（2） 网络地址与端口号转换（NAPT / PAT）

NAPT 则是现代网络边缘普遍采用的标准技术。它不仅工作于网络层，还深入解析并修改传输层（Layer 4）的参数。从映射关系来看，NAPT 是一种"多对一（N:1）复用映射"。NAPT 路由器将内部网络中多个主机的私有 IP 地址，统一映射到同一个（或少数几个）公有 IP 地址上。为了在回程路由时能够准确区分这些并发连接，NAPT 创新性地引入了传输层端口号或 ICMP 查询标识符作为附加标识。在思科 IOS 系统中，该功能通过在配置指令末尾附加 overload（端口复用）关键字来激活。

⚠️ 【重要原理辨析】 ：当我们在关联地址池时不携带 overload 关键字时，Cisco IOS 将执行标准的动态一对一 NAT 映射。此时，地址池中的每个公网 IP 同一时刻只能被一台内网主机独占。当地址池仅有一个公网 IP 时，该 IP 会被最先发起连接的主机锁死（先到先得），其余内网终端将完全无法上网。这正是本实验必须携带 overload 的根本原因。

1.4 NAPT 寻址模型：网络定界与四大核心地址解析

当我们在思科路由器中执行 show ip nat translations 命令时，系统会输出一张动态生成的映射关系表。理解表中四个核心地址的具体含义，是进行网络排错的理论前提。在思科 NAT 术语体系中，其命名遵循严密的双维逻辑：第一个词（Inside/Outside）界定"安全区域归属"，第二个词（Local/Global）界定"通行视角形态"。

（1） 基于拓扑图的网络定界与视角解析

图 1-1 NAPT 寻址模型：公私网物理定界与四大地址视角解析图

• 内部（Inside）： 企业拥有并管理的网络区域（即本拓扑中的左侧局域网），使用的是 192.168.0.0/24 这类在因特网上不被承认的私有 IP 地址。

• 外部（Outside）： 企业不拥有的公共网络区域（即本拓扑中的外部公共因特网），使用的是全球唯一、合法可路由的公有 IP 地址。

• 局部（Local）： 从内部网络视角所见的地址形态（即数据包在内网流转时的原始长相）。

• 全局（Global）： 从外部公共网络视角所见的合法地址形态（即数据包跨越边界后的伪装长相）。

（2） 四大核心地址的拓扑映射与解析（结合本拓扑）

将上述视角交叉组合，即可精准映射出 NAPT 转换表中的四大核心地址。结合本实验拓扑图，具体解析如下：

① 内部局部地址（Inside Local Address）： 对应左侧内网 PC0 的 192.168.0.1。指分配给内部局域网主机的真实私有 IP 地址。该地址仅在内部（Inside）有效，如果数据报携带此源地址进入外部（Outside），将被公网骨干设备无情丢弃。

② 内部全局地址（Inside Global Address）： 对应边界路由器 Router0 的广域网接口 Se0/0/0 的 IP 地址 218.75.230.253。指内部主机与外部因特网通信时，NAPT 路由器为其合法"伪装"的公有 IP 地址。它是外部公共网络（如 Server0）所能观测到的、代表内部主机的唯一合法标识，也是外部响应报文回程查表时的检索关键字。

【避坑指南】 ：内部全局地址必然是企业自身的公网资产（.253），而不能是运营商对端的 IP（.254）。NAPT 转换绝不能越权使用对端设备的地址。

③ 外部全局地址（Outside Global Address）： 对应外网 Server0 的真实公有 IP 地址 218.75.230.1。指位于外部网络上的目标主机的真实公有 IP 地址。该地址是全球唯一且合法的，是内部主机发起通信时的最终目的地。

④ 外部局部地址（Outside Local Address）： 指外部主机在内部网络中所呈现的映射 IP 地址。在本实验拓扑中，由于外部网络没有再做任何对端的地址转换，外部网络对内网而言是完全透明的。因此，外部局部地址与外部全局地址完全相同，原样放行，均为 Server0 的真实公网 IP 218.75.230.1。

（3） 总结：四大地址的工程映射逻辑定式

在真实的通信进程中，四大地址的流转遵循严格的协议栈转换逻辑：

• 去程（内部流向外部）： 拦截内部发出的数据报，将其源地址由"内部局部地址"替换为"内部全局地址"，重构四层报头，使其具备合法进入因特网的资格。

• 回程（外部流向内部）： 拦截外部返回的数据报，读取目标地址（内部全局地址）与目标端口，通过逆向查询 NAPT 转换表，精准解复用为对应的"内部局部地址"，最终交付私网物理终端。

工程逻辑定式： "出站转换源地址（局部隐蔽为全局），入站还原目标地址（全局解复用为局部），外部寻址参数全路径透明（无需修改）。"

1.5 经典认知误区：常规路由实验为何无需 NAT

在引入 NAPT 技术之前，许多人常常产生一个核心疑问："在以往的静态路由、OSPF 或 RIP 动态路由实验中，网络内包含了多个不同的私有网段（如 192.168.1.0 与 10.0.0.0），仅靠路由器自身的寻址转发即可实现全网互通，为何此时却必须引入复杂的 NAPT 技术？"

要破解这一认知误区，必须从网络架构的"边界属性"与"全局路由可见性"两个维度进行剖析：

（1）常规路由实验的本质：封闭的"企业级内网（Intranet）"

在常规的路由配置实验中，整个网络拓扑实际上模拟的是一个完全封闭的大型企业广域网。在这种环境下，管理员拥有全网的控制权，所有的私网路由条目都被手动或通过动态路由协议注入到了每一台路由器的路由表中。既然每一台路由器都"认识"这些私有地址，数据报自然能够畅通无阻。在这个封闭域内，不存在所谓的"公有因特网"概念，因此不需要进行地址转换。

（2）本实验的本质：真实的"公共因特网（Internet）边界"

本实验引入 NAPT 的根本原因，在于我们首次跨越了私网，触碰到了真实的公网边界。根据 RFC 1918 标准，真实的公共因特网骨干路由器上绝对不允许存在任何指向私有 IP 地址的路由条目。在本实验拓扑中，右侧的 Router1 模拟的正是不持有私网路由的因特网骨干设备。我们在实验中故意不给 Router1 配置去往 192.168.0.0/24 的回程路由，完美还原了公网路由器对私有地址"视而不见"的真实网络隔离场景。私有地址在公网上寸步难行，此时，NAPT 就成了数据报离开企业大门前，必须穿上的合法"公网伪装"。

1.6 基于实测数据的寻址模型与双协议场景深度辨析

为了将抽象的四大地址概念具象化，本小节将结合本实验在 Cisco Packet Tracer 中捕获的真实 PDU 数据包以及路由器 show ip nat translations 的真实命令行（CLI）输出，对"ICMP 探测流量"与"TCP 网页流量"两大核心场景进行横向对比解剖。

（1）场景 A：基于网络层 ICMP 协议的"巧妙替代"映射实例

利用 Ping 工具测试内部主机 PC0 到公网服务器 Server0 的连通性时，边界路由器 Router0 成功建立了一条动态映射。其在转换表中的真实记录如下：
图 1-2 路由器动态生成的 ICMP 协议 NAPT 转换表实测记录

协议 (Pro)	内部全局地址 (Inside Global)	内部局部地址 (Inside Local)	外部局部地址 (Outside Local)	外部全局地址 (Outside Global)
icmp	218.75.230.253:10	192.168.0.1:10	218.75.230.1:10	218.75.230.1:10

这一行表项，完整刻画了 ICMP 报文在跨越公私网边界时"一去一回"的全生命周期。其技术体制与详细物理路径拆解如下：

① 寻址机制的底层解密：ICMP 的报文结构组成

端口号属于传输层（Layer 4）的 TCP/UDP 协议，而 ICMP 是网络层（Layer 3）协议，本身并没有端口概念，那么转换表项中的 :10 等虚拟端口号究竟来源于何处？这需要通过解剖标准的 ICMP 报文结构来寻找答案：

标准的 ICMP 回送请求与回答报文，其头部的后 4 个字节被专门定义为 2 字节的"标识符"（Identifier / Query ID） 和 2 字节的"序列号"（Sequence Number） 。当边界路由器 Router0 激活 NAPT 的 overload 功能时，由于网络层报文缺乏传输层端口，路由器采用了巧妙替代机制：直接提取 ICMP 报头中的"标识符（Identifier）"字段，强行将其作为传输层的"源虚拟端口号"写入 NAPT 状态表中。在本实例中，PC0 操作系统内核分配的 ICMP 标识符换算成十进制恰好为 10，因此在映射表中体现为 :10。
图 1-3 去程 PDU 结构（内层/外层）：源 IP 地址的越境伪装操作 图 1-4 回程 PDU 结构（内层/外层）：目的 IP 地址的反向解复用与还原

(注：随着后续并发探测的增加，操作系统会动态分配递增的 ID 标识符，边界路由器也会动态追加 :11、:12 等连续递增的非冲突隧道条目。)

② 去程剖析：源地址的出站伪装（PC0 ➔ Router0 ➔ Server0）

• 起点发包： 内部主机 PC0 产生 ICMP 回送请求报文（Type=8, Identifier=10）。此时，报文在局域网内部流转，其源 IP 为其自身的真实私网地址 192.168.0.1（Inside Local），目的 IP 为服务器的公网地址 218.75.230.1（Outside Local）。

• 接口触发与转换： 报文从 Router0 的内部接口（Gig0/0）进入。路由器检索路由表后，将其从连接因特网的广域网接口（Se0/0/0）转发。由于 Se0/0/0 接口已被显式配置为外部接口，触发 NAPT 转换机制。

• 物理动作： Router0 在将数据报推入广域网串行线缆的前一刻，强制将其源 IP 替换为 Se0/0/0 接口自身持有的合法公网资产 218.75.230.253（Inside Global），而报头内部的 Identifier=10 则原样保留，作为公网标识。随后，该映射表项被正式写入路由器的高速缓存中。

• 终点接收： 因特网中的 Server0 接收到该报文。在服务器的视角下，发起访问的源设备完全是公网节点 218.75.230.253，其背后的私网拓扑和真实主机被完美隐蔽。

③ 回程剖析：目的地址的入站还原（Server0 ➔ Router0 ➔ PC0）

• 起点回信： Server0 针对请求生成 ICMP 回送回答报文（Type=0）。由于执行原路返回机制，回信的目的 IP 被设定为 218.75.230.253（Inside Global），同时将去程报文中的 Identifier=10 完好无损地复制回 ICMP 首部中。

• 接口拦截与状态查询： 响应报文通过公网骨干路由顺利抵达 Router0 的广域网接口（Se0/0/0）。Router0 检测到该报文的目的地指向自身公网接口，且协议为 ICMP。

• 物理动作与解复用： 路由器立即读取该 ICMP 报头中的 Identifier 字段，提取出数值 10。随后以 218.75.230.253:10 为检索关键字逆向查找 NAPT 转换表，瞬间锁定其真正的内网收件人为 192.168.0.1。目的地址被修改回私网地址后，Router0 将报文从内部接口（Gig0/0）推入局域网，最终成功、准确地交付给内网相应主机 PC0。

（2） 场景 B：基于传输层 TCP 协议的"端口冲突重排"映射实例

当 PC0 与 PC1 几乎同时通过浏览器访问外网 Web 服务器时，边界路由器将同时处理两路并发的 TCP 连接请求。在边界路由器 Router0 上执行 show ip nat translations 命令，红框圈出的真实 TCP 转换记录如下：
图 1-5 路由器 CLI 动态生成的 TCP 端口同名冲突与过载复用转换解析

Pro  Inside global          Inside local          Outside local        Outside global
tcp  218.75.230.253:1024    192.168.0.2:1025      218.75.230.1:80      218.75.230.1:80
tcp  218.75.230.253:1025    192.168.0.1:1025      218.75.230.1:80      218.75.230.1:80

该数据链完美重现了现代网关中"源端口冲突规避与状态重排（Port Reallocation）"的底层微观机制：

① 寻址机制的参数溯源：TCP 报头的源/目的端口

与网络层 ICMP 协议借用标识符的权宜机制不同，TCP 场景是 NAPT 作用于 OSI 模型第四层（传输层）的标准体现。

• 源端口（Source Port，2 字节）： 包含在标准的 TCP 报头前 4 字节中。当内网终端的操作系统启动一个网络通信进程（如浏览器打开网页）时，会随机或按顺序从非知名端口区间（大于 1023）抽取一个动态端口，作为该通信的返回通道。

• 目的端口（Destination Port，2 字节）： 同样包含在 TCP 报头中。由于本实验中访问的是 Web 服务器 Server0 提供的基础网页服务，根据因特网标准，HTTP 服务的默认监听端口固定为 80。

② 冲突爆发的物理现场：内部短暂端口的同名重叠

解剖表中 Inside local 字段可知：

• 内网节点 PC1（192.168.0.2）发起请求时，协议栈分配了临时源端口 1025。

• 在几乎同一微秒，内网节点 PC0（192.168.0.1）亦发起请求，其内核同样分配了相同的临时源端口 1025。

由于两台物理主机的内部源端口产生了严重的同名重叠（均为 :1025），且它们寻找的目的地都是外网同一个公网 IP 的 80 端口（Outside local/global 均为 218.75.230.1:80）。如果没有地址转换器干预，这两条数据流在公网上将完全无法区分，回程数据流必然产生严重交叉和崩溃。

③ 出站重排算法：基于状态机的防冲突机制（:1024 的由来）

当这两个数据包同时进入边界路由器 Router0 的内部接口（Gig0/0），并准备从连接因特网的广域网接口 Serial0/0/0（公网 IP 为 218.75.230.253）转发出去时，Router0 的 NAPT 高并发查重算法被正式激活：

• PC0 的会话处理（状态保全）： 路由器在处理 PC0（192.168.0.1:1025）的报文时，检索自身的 NAT 缓存表，发现此时公网侧 218.75.230.253 的 :1025 端口尚无任何设备占用。为了最大化降低路由芯片对四层报头的重构开销，路由器遵循"尽量不修改原始传输层源端口"的原则，直接执行了原样映射。因此，表中第二行记录显示其公网替身（Inside global）表现为标准的 218.75.230.253:1025。

• PC1 的会话处理（冲突触发与强制重写）： 紧接着，路由器在处理 PC1（192.168.0.2:1025）的报文时，检索发现公网侧的 218.75.230.253:1025 已经被刚刚的 PC0 强行霸占。为了打破由于端口同名产生的逻辑僵局，Router0 强制启动了四层端口重分配算法：路由器在重新挑选新的公网替身端口时，首要原则是必须主动避开 0 - 1023 这一段留给特殊公共服务的"知名端口（Well-Known Ports）"范围（如规避 80、443、23 等，以防公网回程流量误触发路由器的自身系统服务），直接将指针拨向 1024 以上的注册/动态端口区间。(注：虽然现代终端设备的操作系统通常在更高的区间如 49152-65535 或 32768-60999 分配动态源端口，但边界网关在执行 NAPT 端口重排时，为最大化复用资源池并降低查表延迟，仅需越过 0-1023 的系统保留界限，即可直接从 1024 开始向后检索闲置端口。)路由器从 1024 开始向后检索，发现公网接口上的 1024 端口处于绝对闲置状态。路由器当机立断，在物理上将其重构、强行篡改成了公网端口 1024。随后，在动态转换表中记下了第一行这笔经典的档案：192.168.0.2:1025 ➔ 映射为 ➔ 218.75.230.253:1024。

④ 入站解复用：基于目标端口的精确会话分离

当外网 Web 服务器 Server0 针对这两个请求同时回复两个 TCP 响应包裹时，包裹在公网上顺利路由到 Router0 的广域网接口（Serial0/0/0）。Router0 仅凭回传的"目的端口号（即公网分机号）"来实现精准的分流投递：

• 回给 PC0 的响应包（分机号 1025）： 目的地指向 218.75.230.253:1025。Router0 拦截后，查表确认 :1025 归属于 192.168.0.1:1025。由于其去程未改动端口，路由器直接执行目标 IP 地址替换，将包裹通过局域网交付给 PC0。

• 回给 PC1 的响应包（分机号 1024）： 目的地指向 218.75.230.253:1024。Router0 拦截后，查表认出 :1024 是此前为 PC1 建立会话时动态分配的虚拟端口 。它在完成目标 IP 替换的同时，执行了四层报头的反向修复------将目的端口 1024 精准擦除，强行还原回 PC1 操作系统内部进程正在等待的原始端口 1025。最后，报文准确无误地送达物理终端 192.168.0.2。

1.7 网络层传输算术：TTL（生存时间）的减法扣除机制

在理清了 NAPT 体系下的双协议身份转换后，我们把目光聚焦到数据包跨越三层物理边界时，IPv4 报头内部另一个发生规律性跳变的字段------TTL（Time to Live，生存时间）。

（1）理论前提：三层路由的防环机制与 TTL 算术

TTL 是 IPv4 首部中的一个 8 位结构字段，其核心作用是防止数据报在网络中因路由环路而陷入无限循环。

物理铁律： 数据报每经过一台三层设备（如路由器）的路由转发，该设备在将其推向输出接口前，必须强制将 IP 报头中的 TTL 数值减 1。

（2）去程数据流的 TTL 单级扣除验证（对应去程 PDU 截图）

观察实验中由内部主机 PC0 发往公网服务器 Server0 的去程数据，呈现出清晰的网关边界效应：

• 传输物理路径： PC0 ➔ Router0（入站接口 Gig0/0 ➔ 出站接口 Serial0/0/0） ➔ 广域网线缆 ➔ Server0。

• 入站状态量测： 报文刚从 PC0 的操作系统发出，经由二层交换机送达 Router0 的局域网接口（Gig0/0）。此时报文尚未经过任何三层路由器的转发，在 IP 报头内部观测到其初始 TTL 设定为最大值 255。

💡 【仿真机制与 OS 指纹揭秘】 ：有人可能会产生疑问：Windows 计算机默认的 TTL 初始值通常是 128，为何此处是 255？这是因为在本实验的微观抓包阶段（对应 5.6 节），我们使用了 Packet Tracer 右侧的 Add Simple PDU（闭合信封） 工具来触发测试。该工具生成的并非真实操作系统的底层探针，而是模拟器用于追踪链路的"泛型测试包"，其系统底层默认将初始 TTL 写死为极限值 255。如果使用 PC 命令行中的真实 ping 命令，其初始值将遵从操作系统的 128。但在观察三层设备"每经过一跳 TTL 减 1"的物理衰减铁律上，两者完全一致。
图 1-6 去程数据流跨越网关时 TTL（255 ➔ 254）的位结构物理衰减 图 1-6 去程数据流跨越网关时 TTL（255 ➔ 254）的位结构物理衰减

• 出站状态量测： 数据包在 Router0 内部完成路由寻址并被 NAPT 替换了源 IP。在被推向广域网串行接口（Serial0/0/0）的瞬间，Router0 扣除了 1 点生存时间，将 TTL 修改为 254。

图 1-6 去程数据流跨越网关时 TTL（255 ➔ 254）的位结构物理衰减

（3）回程数据流的 TTL 多级递减验证（对应回程 PDU 截图）

在分析外网服务器 Server0 回传的响应报文时，实测数据清晰地呈现出与物理拓扑完全吻合的"双级递减"现象：

• 传输物理路径： Server0 ➔ 因特网路由器 Router1 ➔ 企业边界路由器 Router0（入站 Serial0/0/0 ➔ 出站 Gig0/0） ➔ PC0。

• 入站状态量测： 响应包跨越公网，抵达 Router0 的广域网接口（Serial0/0/0）。实测抓包显示，此时报文的 TTL 数值为 127。

  【底层原理溯源】 ：Server0 初始发送的 TTL 基准值由其自身操作系统内核决定（常见初始值为 128）。在回程流向企业网的过程中，报文首先跨越了因特网上的运营商骨干路由器 Router1，被其扣除 1 点生存时间降为 127。因此，当包裹抵达企业边界路由器 Router0 的广域网接口时，其入站初始状态即为 127。

图 1-7 回程响应流跨越骨干网与边界网关时 TTL（127 ➔ 126）的多级扣除验证 图 1-7 回程响应流跨越骨干网与边界网关时 TTL（127 ➔ 126）的多级扣除验证

• 出站状态量测： 边界路由器 Router0 拦截到该回程报文，在内部完成了反向地址还原（将目的公网 IP 还原回 PC0 的私网 IP），并将其路由至内网 Gig0/0 接口。在推向内网线缆的瞬间，Router0 再次执行了属于本三层节点的 TTL 减 1 衰减操作，导致出站侧的 TTL 最终降为了 126。

图 1-7 回程响应流跨越骨干网与边界网关时 TTL（127 ➔ 126）的多级扣除验证

（4）链路层设备的"无损透传"特性旁证

数据包被 Router0 修改为 126 并推入局域网后，经过二层交换机 Switch0 最终交付给 PC0。由于交换机完全工作在数据链路层（Layer 2），依靠 MAC 地址寻址，不触碰三层的 IP 首部，因此不对 TTL 进行任何扣除。PC0 最终收到的 Ping 回应包中，TTL 将精确锁定为 126。

这一实测数据完美闭环地印证了：回程路径上报文共经历了 2 跳（Hop） 三层路由转发（Router1 扣除 1 点，Router0 扣除 1 点），数据 100% 忠实于物理拓扑。

二、 实验环境与基础网络搭建

2.1 构建网络拓扑

在 Cisco Packet Tracer 仿真平台中拉入设备。在连接线缆前，必须首先在硬件层面为两台 1941 路由器扩展广域网物理接口：

• 硬件模块添加： 单击路由器打开物理配置（Physical）界面，先关闭电源开关，将 HWIC-2T 模块（双端口高速异步串口模块）拖入右侧的空置扩展插槽中，随后重新开启电源。

• 物理线缆连接（含三大核心区域）：

  • 内网接入： 使用标准直通双绞线（实线），将 PC0、PC1 分别连接至 Switch0 的 Fa0/1 和 Fa0/2 接口，再将 Switch0 的 Fa0/3 接口连至 路由器0 的 Gig0/0 接口。

  • 广域网骨干： 使用 Serial DCE 串行线缆（带红色时钟标识），由 路由器0 的 Se0/0/0 接口连接至 路由器1 的 Se0/0/0 接口，建立跨境链路。

  • 公网服务区： 使用交叉双绞线（虚线），将 Server-PT（服务器0）的 FastEthernet0 接口连接至 路由器1 的 Gig0/0 接口。

• 接口状态的人为加速收敛： 物理连线完成后，由于二层交换机默认运行生成树协议（STP），其相关接口会经历阻塞（Blocking）和学习（Learning）状态，物理点表现为橘黄色。

图 2-1 交换机接口 STP 初始收敛过程（橘黄色阻塞/学习状态）

一段时间后接口才能自动收敛并处于打开状态（绿色）。为了提高工程调试效率，我们可以人为加速该收敛过程：单击软件左下角的【实时模式（Realtime）】切换按钮，或连续单击其上方的【快进时间（Fast Forward Time）】按钮，即可观察到交换机的所有物理接口瞬间完成 STP 收敛，全部处于打开状态。
图 2-2 快进时间后交换机接口完成收敛（绿色转发状态）

2.2 查看并标注路由器相关接口名称（接口号）

由于思科 1941 路由器物理接口较多（包含千兆以太网口与新扩展的串行串口），为了防止在后续配置 IP 地址或划分 NAT inside/outside 安全边界时产生"张冠李戴"的致命笔误，必须在拓扑图上开启接口标签显示。

操作方法： 单击软件菜单栏的 Options ➔ Preferences ，在弹出的窗口中勾选 Always Show Port Labels in Logical Workspace（始终在逻辑工作区显示端口标签）。
Packet Tracer 首选项设置：开启全局接口标签显示

此时，拓扑图上的所有关键节点（如 Gig0/0、Se0/0/0）的物理接口号均被清晰标注，为下一步精准配置提供可视化依据。
图 2-3 物理拓扑关键节点接口号的可视化标注验证

2.3 标注 IP 地址、子网掩码以及默认网关的 IP 地址

在正式进入 CLI 命令行配置前，使用 Packet Tracer 的文本放置工具（Place Note）在拓扑图上静态标注各网段和终端的 IP 规划。本实验整网由三个核心逻辑网段纵深构成，其网络定界与工程规划如下：

（1）网络 1：终端接入局域网 (Terminal Access LAN)

• 网段规划： 192.168.0.0/24（标准的 C 类私有地址网络，掩码 255.255.255.0）。

• 安全定界： 覆盖范围从内部企业终端（PC0、PC1）开始，经二层交换机 Switch0 收敛，终止于边界路由器 Router0 的 Gig0/0 接口（Inside 私网域）。

• 功能描述： 这是一个典型的企业内网以太网广播域。Router0 的 Gig0/0 接口固定配置为 192.168.0.254，充当该私网内所有主机的默认网关，负责在物理边界拦截并准备转发所有内网发出的出境数据流。

（2）网络 2：广域网点到点链路 (WAN Point-to-Point Link)

• 网段规划： 218.75.230.252/30（利用 VLSM 技术划分的骨干极小子网，掩码 255.255.255.252）。

• 安全定界： 仅包含企业边界路由器 Router0 的 Se0/0/0 接口与因特网骨干路由器 Router1 的 Se0/0/0 接口之间的物理串行连线。

• 功能描述： 这是一条连接企业与公共运营商（ISP）的广域网骨干互联链路。由于点到点（P2P）通信两端仅需 2 个合法 IP，本网段锁死为 /30 变长子网掩码，精准分配给本地端 .253（企业拥有的合法公网接口资产）与对端 .254（运营商骨干资产），在架构上绝不浪费一粒公网 IP 资源。

（3）网络 3：服务提供区/数据中心局域网 (Server/Services LAN)

• 网段规划： 218.75.230.0/25（VLSM 划分的公网子网，掩码 255.255.255.128）。

• 安全定界： 范围涵盖公网 Server0 以及与之直连的运营商路由器 Router1 的 Gig0/0 接口（Outside 公网域）。

• 功能描述： 这是一个承载核心互联网业务（Web 网页服务）的公网独立局域网，其可用主机 IP 范围为 218.75.230.1 ~ 218.75.230.126。Server0 占据了公网的 .1，而 Router1 的 Gig0/0 接口分配为 .126 作为服务器的直连三层公网网关。在工程实际中，该区被单独从广域网中切割出来，是为了方便在运营商侧统一部署安全策略，以保护服务器的安全。

图 2-4 全网静态寻址参数规划与逻辑网段定界可视化总览

2.4 核心接口配置与物理激活

本步骤正式进入 Cisco IOS CLI 命令行环境，对全网的所有物理终端、服务器进行静态寻址配置，并对两台路由器的物理接口执行 IP 封印解除与时钟频率同步（此时不配置任何 NAT 代码）。

（1） 终端设备配置表 (End Devices)

在图形界面中打开对应终端的 Desktop ➔ IP Configuration，严格按照下表进行配置：

设备名称	IP 地址	子网掩码 (Subnet Mask)	默认网关 (Default Gateway)	所在网络区域
PC0	192.168.0.1	255.255.255.0	192.168.0.254	网络 1 (左侧 LAN)
PC1	192.168.0.2	255.255.255.0	192.168.0.254	网络 1 (左侧 LAN)
服务器0	218.75.230.1	255.255.255.128	218.75.230.126	网络 3 (右侧 LAN)

（2） 路由设备配置表 (Network Devices)

设备名称	接口名称	IP 地址	子网掩码 (Subnet Mask)	接口作用描述
路由器0	Gig0/0	192.168.0.254	255.255.255.0	作为"网络 1"终端的默认网关
路由器0	Se0/0/0	218.75.230.253	255.255.255.252	广域网链路 (带时钟端 DCE，需配置 clock rate)
路由器1	Gig0/0	218.75.230.126	255.255.255.128	作为"网络 3"服务器的默认网关
路由器1	Se0/0/0	218.75.230.254	255.255.255.252	广域网链路 (DTE 端)

（3） 路由器 0 CLI 配置完整代码（注意配置时钟）

双击 Router0 进入 CLI 选项卡，依次输入以下命令：

Router>enable                                   ! 【模式切换】从"用户模式" (>) 进入"特权模式" (#)
Router#configure terminal                       ! 【模式切换】从"特权模式" (#) 进入"全局配置模式" (config)#

Router(config)#interface GigabitEthernet0/0     ! 【模式切换】进入Gig0/0的"接口配置模式" (config-if)#
Router(config-if)#ip address 192.168.0.254 255.255.255.0  ! 配置网络1（左侧PC局域网）的网关IP和掩码
Router(config-if)#no shutdown                   ! 激活（打开）该接口，此时连线上的红点会变绿
Router(config-if)#exit                          ! 【模式退回】退出接口配置，回到"全局配置模式" (config)#

Router(config)#interface Serial0/0/0            ! 【模式切换】进入Se0/0/0的"接口配置模式" (连接广域网)
Router(config-if)#ip address 218.75.230.253 255.255.255.252 ! 配置网络2（广域网链路）的本端IP
Router(config-if)#clock rate 64000              ! 关键命令：因为这端带时钟图标(DCE端)，必须提供时钟频率以同步数据
Router(config-if)#no shutdown                   ! 激活（打开）该接口
Router(config-if)#exit                          ! 【模式退回】退出接口配置，回到"全局配置模式" (config)#

（4） 路由器 1 CLI 配置完整代码

双击 Router1 进入 CLI 选项卡，依次输入以下命令：

Router>enable                                   ! 【模式切换】从"用户模式" (>) 进入"特权模式" (#)
Router#configure terminal                       ! 【模式切换】从"特权模式" (#) 进入"全局配置模式" (config)#

Router(config)#interface GigabitEthernet0/0     ! 【模式切换】进入Gig0/0的"接口配置模式" (config-if)#
Router(config-if)#ip address 218.75.230.126 255.255.255.128 ! 配置网络3（右侧服务器局域网）的网关IP和掩码
Router(config-if)#no shutdown                   ! 激活（打开）该接口
Router(config-if)#exit                          ! 【模式退回】退出接口配置，回到"全局配置模式" (config)#

Router(config)#interface Serial0/0/0            ! 【模式切换】进入Se0/0/0的"接口配置模式" (连接广域网)
Router(config-if)#ip address 218.75.230.254 255.255.255.252 ! 配置网络2（广域网链路）的本端IP
Router(config-if)#no shutdown                   ! 激活（打开）该接口（注意：这端是DTE，不需要配时钟）
Router(config-if)#exit                          ! 【模式退回】退出接口配置，回到"全局配置模式" (config)#

图 2-5 核心设备基础 IP 配置完成与物理接口全网激活状态验证

三、 路由配置与私网隔离现象验证（制造"无 NAPT 不通"的场景）

在全网物理接口激活并完成基础寻址后，整网由于缺少非直连网段的寻址路径，依然处于离散的隔离状态。本章将在企业出口网关部署单向缺省路由以打通去程物理通道，并维持公共骨干路由器的私网路由盲区，以此深度还原现代公共因特网对私网地址的物理隔离铁律。

3.1 配置出口路由器默认路由

为了使企业局域网内部的主机具备向外网发起通信的基本寻址条件，必须在边界路由器（Router0）上配置去往外部因特网的静态默认路由（缺省路由）。

（1）路由器 0（企业出口网关）静态默认路由配置

双击进入 Router0 的 CLI 界面，在全局配置模式下执行如下标准思科 IOS 配置命令：

Router> enable
Router# configure terminal
Router(config)# ip route 0.0.0.0 0.0.0.0 218.75.230.254  ! 配置静态默认路由：将所有非本地局域网的未知流量统一转发给对端运营商网关
Router(config)# exit

图 3-1 路由器 0 静态缺省路由命令行配置界面

（2）缺省路由的工程逻辑解析

在网络工程实际部署中，默认路由（0.0.0.0 0.0.0.0）是企业出口网关最核心的路由策略。它代表"任意目的网络"与"任意子网掩码"。企业级内网网关无需也不可能维护全球因特网数以百万计的明细路由表项，因此只需通过这唯一一条缺省路由，将所有出境流量统一转发至对端 ISP 网关（218.75.230.254）即可。

（3）因特网骨干网网关（Router1）的隔离策略

在本章的所有配置中，严禁 在公共运营商路由器（Router1）上添加任何去往私有网络 192.168.0.0/24 的回程路由。此举旨在完全模拟公共因特网骨干路由器的真实运行环境。根据 RFC 1918 国际标准，任何进入公网骨干的私网地址都属于非法寻址载荷，因特网路由器由于路由表中缺少对应私网条目，将对其执行无条件丢弃。

3.2 仿真过滤与直连链路分段连通性测试

在进入端到端跨网段测试前，必须首先在软件中开启事件过滤器，并执行分段物理链路的可达性校验。

（1）仿真环境网络协议过滤器设定

为了在后续的微观抓包追踪中排除无关网络流量（如 ARP 广播、生成树 STP 协议等）对时序列表的视觉干扰，需对仿真监视对象进行精准过滤：

• ICMP 协议过滤： 单击软件右下角的 Simulation 按钮切换至仿真模式。点击 Edit Filters ➔ 在 IPv4 选项卡中仅勾选 ICMP 协议（用于精准观察 Ping 探针包）。

• TCP 协议过滤： 切换至 Misc 选项卡，勾选 TCP 协议（为后续章节验证 Web 浏览器状态机转换表留出监控通道）。

Packet Tracer 仿真模式协议过滤器配置

（2） 各网段直连链路连通性分段测试

将软件切换回 Realtime（实时工作模式），依次打开各设备的命令行提示符（CMD）或控制台，由左至右对各级直连链路执行分段 ping 命令测试：

• 测试点 A（验证左侧企业内网通道）： 在 PC0 和 PC1 的命令行使用 ping 192.168.0.254 命令，测试终端与边界网关的联通性。

• 测试点 B（验证广域网骨干互联链路）： 在 Router0 的命令行使用 ping 218.75.230.254 命令，测试企业出口与运营商网关的联通性。

• 测试点 C（验证右侧外网服务区通道）： 在 Router1 的命令行使用 ping 218.75.230.1 命令，测试运营商网关与外部服务器的联通性。

图 3-2 各网段直连链路分段测试结果输出总览 图 3-2 各网段直连链路分段测试结果输出总览 图 3-2 各网段直连链路分段测试结果输出总览 图 3-2 各网段直连链路分段测试结果输出总览

（3） 执行直连分段测试的核心工程目的

• 拓扑可达性前置校验： 确保全网的物理线缆类型、三层接口 IP 地址及子网掩码配置具有 100% 的底层正确性。

• ARP 缓存提前构建（避免 ARP 干扰）： 通过执行上述分段 Ping 操作，让各网段直连链路测试均通过，两两之间提前触发地址解析协议（ARP），完成相互之间"已知 IP 查找 MAC 地址"的硬件封装，并将映射记录存入各自的系统高速缓存（ARP Table）。这样可以防止后续跨网段测试时因并发大量的 ARP 广播包而冲刷、干扰实验者对 NAPT 地址转换核心事件列表的宏观观察。

(注：如果上述任何一段直连测试发生失败，请立刻停止实验，并依次排查计算机、服务器的掩码网关配置，以及路由器硬件接口的 no shutdown 状态是否彻底生效。)

3.3 跨公网通信首次尝试：PC0 ➔ Server0 盲测失败

在确认上述分段直连链路全部呈现绿色通畅状态后，我们在 PC0 的命令行提示符中使用 ping 命令，正式向因特网中的服务器 Server0（218.75.230.1）发起端到端的连通性盲测。

实测显示： 通信发生彻底瘫痪，测试结果连续输出 4 次 Request timed out（请求超时） 报错。

为什么在各网段直连链路测试均通过的情况下，依然无法 Ping 通？我们需要切换至 Packet Tracer 的 Simulation（仿真模式），在 PC0 的命令行再次执行 ping 命令，并点击控制面板的"捕获/下一步"按钮，通过回放数据包的全生命周期来追踪失败的根本原因。

3.4 失败根因微观抓包分析

在测试过程中，PC0 发送了封装有 ICMP 回送请求（Echo Request）的 IP 数据报。该报文依次跨越了 Switch0、边界路由器 Router0 以及因特网骨干 Router1，最终成功抵达 Server0。然而，当 Server0 生成 ICMP 回送回答报文（Echo Reply）准备原路返回时，引发了致命的网络异常。

（1）第一帧：去程顺利到达，回程在公网路由器（Router1）被无情丢弃 (0.005s)

• 拓扑现象： 观察仿真事件列表，在仿真时间 0.005 秒时，事件焦点落在 Router1 上。此时，Router1 身上出现了一个带有醒目红色叉号（X）的信封。这正是整个跨网段通信失败的核心案发瞬间。

• 底层真相解析： 服务器 Server0 刚刚将响应报文交给了因特网骨干路由器 Router1。Router1 拆开报文，发现目标 IP 为 192.168.0.1。作为一台严苛的公网路由器，它必须查阅自身的路由表来决定转发路径。

图 3-3 仿真模式下回程响应包在 Router1 处被丢弃的微观瞬间 (0.005s)

• 路由表铁证： 我们在 Router1 上执行 show ip route 查看其核心路由转发表。红框内的记录显示，Router1 的路由表中仅存在 218.75.230.x 的公网直连网段，根本查不到任何去往 192.168.0.0/24 私有网络的路由条目。同时，上方显示 Gateway of last resort is not set（未设置缺省网关）。根据网络层转发铁律，找不到路由表项且无默认出口的数据包只能被原地物理销毁，红色的叉号即代表物理丢弃动作。

图 3-4 Router1 核心路由表状态：缺失私网条目且无缺省网关

（2）第二帧：差错通告回传，Server0 接收并废弃 (0.006s)

• 拓扑现象： 紧接着在 0.006 秒，带有红色叉号的信封回传到了 Server0 身上。

图 3-5 Router1 退回的报错信封抵达 Server0 (0.006s)

• 协议底层追踪： 路由器 Router1 在将数据包丢弃后，会利用底层协议生成一封 ICMP 目的不可达（Destination Unreachable） 差错报告报文，退回给发件人 Server0。当 Server0 的协议栈接收到这封差错通告时，系统对其进行寻址状态判定：由于 Server0 自身并未主动发送过带有此标识的 ICMP 请求消息（它仅是被动响应），因此 Server0 协议栈判定该报错报文无效，直接将其作废丢弃。这就是 Server0 身上也出现红叉的底层原因。

图 3-6 Server0 接收并废弃 ICMP 主机不可达差错报文的底层 PDU 解析

3.5 阶段性结论：私有地址无法穿越公网，必须引入 NAPT

在本实验中，我们刻意未给 Router1 添加去往私有网络 192.168.0.0/24 的静态路由条目，其核心目的正是为了完美模拟真实的因特网骨干路由器绝对不会转发目标为私有地址的 IP 数据报这一工程铁律。由于内网计算机在使用真实私网 IP 出境时"有去无回"，致使回程通信在公网边界断裂。

为了让该企业私有网络中的计算机（PC0 和 PC1）能够成功跨越这道物理鸿沟，与因特网中的 Web 服务器交互，我们必须在企业边界路由器（Router0）上部署 NAPT（网络地址与端口号转换） 技术。

四、 NAPT 功能配置

在前一章的隔离阻断测试中，实测数据铁证了私有地址因无法在公共骨干网络上进行路由转发，导致跨越因特网边界的双向通信发生断崖式崩溃。为了打破这一通信僵局，本章将正式在企业边缘网关（Router0）上部署 NAPT（网络地址与端口号转换）技术。通过合理划定安全边界、构建公网资产池、定义流量匹配策略，最终实施基于传输层端口的多路复用（Overload），彻底打通企业内网与公共网络之间的双向演进通道。

4.1 指定 NAT 内部接口与外部接口

在 Cisco IOS 平台中部署地址转换策略的前提，是必须在网关路由器上建立严格的物理安全边界。路由器必须明确感知数据载荷是从哪一个接口流入（Inside），并从哪一个接口流出（Outside），从而准确激活 NAT 引擎的报头覆写机制。

双击进入 Router0 的 CLI 界面，在全局配置模式下依次键入如下标准配置指令：

Router>enable 
Router#configure terminal         //从特权执行模式进入全局配置模式
Router(config)#interface GigabitEthernet0/0     //进入接口Gig0/0的配置模式
Router(config-if)#ip nat inside   //设置为NAT内部接口
Router(config-if)#interface Serial0/0/0    //进入接口Se0/0/0的配置模式
Router(config-if)#ip nat outside   //设置为NAT外部接口
Router(config-if)#exit      //退出到全局配置模式
Router(config)#         //全局配置模式

接口划分策略解析：

• ip nat inside（内部接口）： 面向企业拥有并管理的网络区域。凡自该接口流入且目的地址为外部公网的数据报，其源 IP 地址（Inside Local）都将被赋予触发转换的潜在资格。

• ip nat outside（外部接口）： 面向企业不拥有的公共网络区域。从该接口转发出去的合法出境包裹，其源 IP 统一换上公网合法资产（Inside Global）；同时，从该接口入站的回程响应流------仅当报文的目的 IP 匹配路由器公网资产（即 Inside Global）时------才会在此处被拦截并触发 NAT 反向哈希解复用。对于目的 IP 不是路由器公网资产的纯过路流量，路由器只做标准路由转发，不介入 NAT 处理。

4.2 创建公有地址池（单地址复用）

在界定完物理边界后，需要在边界路由器上声明企业所持有的合法公网 IP 资产范围，即构建 NAT 地址池。本实验模拟现代企业最典型的"单公网 IP 过载复用"场景，地址池中仅包含唯一一个可路由的公网 IP 地址。

在全局配置模式下执行如下配置指令：

Router(config)#ip nat pool napt-pool 218.75.230.253 218.75.230.253 netmask 255.255.255.252

核心配置语法解析：

• ip nat pool： Cisco IOS 平台创建网络地址转换全局资产池的根命令。

• napt-pool： 用户自定义的地址池名称，后续执行关联绑定时具有严格的区分大小写的敏感性。

• 218.75.230.253 218.75.230.253： 分别代表公网地址池的起始 IP 地址与结束 IP 地址。由于本实验属于单地址极值复用，起始与结束地址完全重合，均锁定为 Router0 广域网 Se0/0/0 接口自身的公网 IP。

• netmask 255.255.255.252： 声明该公网资产所对应的掩码。该标量严格推导自 Serial0/0/0 接口的变长子网掩码（/30），换算为点分十进制即为 255.255.255.252。

4.3 定义访问控制列表（允许转换的私网范围）

为了防止路由器对内网无意义的本地背景流量执行越权转换，必须部署流量抓取策略。通过应用访问控制列表（ACL），精准勾勒出允许实施 NAPT 身份覆写的私有网络安全规约。

在全局配置模式下配置标准 IP 访问控制列表（Standard ACL）：

Router(config)#access-list 1 permit 192.168.0.0 0.0.0.255

• access-list 1： 声明创建编号为 1 的标准 IP 访问控制列表。在思科 IOS 系统中，1-99 及 1300-1999 属于标准 ACL 范围，其核心技术特征在于仅能基于数据报网络层首部中的源 IP 地址执行匹配裁决。

• permit： 流量匹配匹配动作规约，代表允许符合后续条件的数据载荷放行并注入 NAT 地址转换引擎。

• 192.168.0.0： 指定匹配的目标基础私有网络号，对应企业局域网（网络1）的底座拓扑。

• 0.0.0.255（核心辨析------通配符掩码）： 此处在工程理论中必须被严谨定义为通配符掩码 / 反掩码（Wildcard Mask） ，绝非标准的物理子网掩码。通配符掩码的底层运算逻辑为：二进制位中 0 代表"必须严格匹配"，1 代表"任意放行（忽略）"，此配置精准抓取前 24 位为 192.168.0. 的所有内网主机。

子网掩码 255.255.255.0 ------> 二进制： 11111111.11111111.11111111.00000000

通配符掩码 0.0.0.255 ------> 二进制: 00000000.00000000.00000000.11111111

这意味着路由器将锁死前 24 位网络位（必须为 192.168.0.），而将后 8 位主机位彻底释放（.1 至 .254 均属于合法命中区间），从而实现对整个企业 Inside 域私网流量的无遗漏抓取。

4.4 关联地址池并启用端口复用（overload）

本步骤是整个地址转换体系的"灵魂总纲"。通过执行关联命令，将 4.3 节抓取的私网合规流量（ACL 1）与 4.2 节构建的公网资产（地址池）进行强绑定，并强制激活第四层端口多路复用。

在全局配置模式下敲入终极关联指令，并在完成后退回特权执行模式：

Router(config)#ip nat inside source list 1 pool napt-pool overload  //将访问列表与NAT地址池进行关联
Router(config)#exit   //退出到特权执行模式
Router#    //特权执行模式

• list 1 与 pool napt-pool： 将符合 ACL 1 过滤资格的内网私网流量，在向外穿透外部边界时，统一换上 napt-pool 地址池内分配的合法全局公网外壳。

• overload（多对一复用的终极开关）： 该关键字直接标志着将传统 1:1 的 Basic NAT 升级为 N:1 的 NAPT / PAT（端口地址转换）。通过附加 overload，边界网关不仅转换网络层 IP，还会深度引入并重构传输层的端口号（或网络层的 ICMP 查询标识符）。在出站时，路由器在高速缓存中为内网不同的物理会话动态分配不同的、不冲突的虚拟公网端口，从而建立起彼此隔离的透明寻址隧道，实现了单 IP 资产下的多机高并发在线。

4.5 配置要点小结与易错点提示

为了确保 NAPT 在企业边缘网关的稳健流转，并在工程现场实现线速无损转发，配置过程必须严格遵循如下规范定式，规避四大经典认知陷阱：

（1） 接口安全边界的双向颠倒硬伤

在真实的工程调试中，极易发生将 ip nat inside 与 ip nat outside 命令张冠李戴的事故（如误将内网 Gig0/0 设为 outside）。一旦安全方向发生颠倒，数据包从内网流入时将无法触发 NAT 哈希查找引擎。此时，报文将直接携带着原生的私有源 IP 冲入串行链路，被公共因特网骨干网关无情阻断。

（2） 地址池标识符的工程命名规范

在 ip nat pool [名称] 声明阶段与 ip nat inside source pool [名称] 调用阶段，虽然 Cisco IOS 底层对地址池名称不区分大小写（例如 napt-pool 与 Napt-Pool 会被系统视为同一对象），但在真实的企业级网络工程运维中，强烈建议全局配置中的命名拼写（包含大小写）保持绝对一致。这不仅是养成良好代码规范（Best Practice）的体现，更能极大降低后续团队接手维护或进行自动化脚本审计时的阅读阻碍与误判风险。

（3） 通配符掩码与子网掩码错配造成的"精准脱靶"

标准 ACL 后的通配符掩码 0.0.0.255 绝不能误敲为标准的物理子网掩码 255.255.255.0。一旦发生此类配置失误，Cisco IOS 并不会报错，而是会将输入的 255.255.255.0 直接作为通配符执行底层的二进制运算。 根据通配符"0 代表严格检查，1 代表任意放行"的底层逻辑，192.168.0.0 255.255.255.0 在路由器芯片中的真实解析含义将变为："忽略前 24 位，但最后 8 位的主机位必须严格匹配为 0"。 这意味着路由器只会去抓取以 .0 结尾的网络地址本身（即 X.X.X.0），而企业内网真正产生上网流量的物理终端（其 IP 尾数通常为 .1、.2 等）在经过查表时，会因最后一位不为 0 而全部匹配失败。这会导致内网合法主机的出境流量完美"避开"了 ACL 的抓取，最终统统无法触发 NAPT 转换而导致断网。

（4） 缺省 overload 关键字造成的动态单主机独占

这是初学者在配置 PAT 实验时最频繁发生的逻辑遗漏。一旦在关联指令末尾漏敲了 overload，地址池将退化为严格的 1:1 独占体制。第一个完成 ARP 并抢先发包的内网节点将永久锁死该公网 IP 槽位，后续并发的其他物理终端将在命令行中收到永久性的超时报错。

五、 NAPT 效果验证与转换表宏观观察

5.1 ICMP 连通性测试（突破公私网物理隔离）

在 Packet Tracer 的 Realtime（实时） 工作模式下，分别打开内网终端 PC0 和 PC1 的命令行提示符（Command Prompt），再次执行向公网服务器 Server0（218.75.230.1）的 ping 探测。

ping 218.75.230.1

实测现象：

• PC0 发出的 4 个数据包全部收到 Reply（TTL=126），丢包率为 0%。

• PC1 发出的 4 个数据包同样全部收到 Reply（TTL=126），丢包率为 0%。

图 5-1 PC0 成功 Ping 通公网服务器 Server0（通信僵局被打破） 图 5-2 PC1 同步成功 Ping 通公网服务器 Server0

（1） 终极测试的工程验收意义

当屏幕上跳出代表成功的 Reply 字符时，意味着我们完成了三项核心底层配置的闭环验证：

• 全网所有终端、服务器的默认网关 IP 寻址完全正确。

• 企业边界网关 Router0 上的缺省路由（Default Route）成功将出境流量推向了因特网。

• 最关键的突破： Router0 上的 NAPT 引擎配置完全正确。私网源 IP 在跨越边界时被成功伪装成了合法的公网 IP，使得公网骨干路由器（Router1）能够顺畅地将回程响应报文投递回来。

💡 【实操排错指南】 ：如果在配置完 NAPT 后此处的 Ping 测试依然显示 Request timed out，请立即回溯检查三大易错点： ① 内部主机网关是否指向了 Router0 的 Gig0/0；② Router0 的 ip nat inside/outside 接口方向是否划反；③ 关联命令末尾是否漏敲了 overload 关键字。

5.2 查看并初步比对 NAPT 转换表（ICMP 条目）

在完成上述 Ping 测试的瞬间，必须立刻切入 Router0 的 CLI 界面，执行 NAPT 核心状态表的查看命令。

⏱️ 【操作时效性警告】 ：Cisco IOS 系统内存中的动态 NAT 转换记录受到老化定时器（Aging Timer）的严格控制。ICMP 会话在停止通信后，其转换条目会在很短的时间内被系统自动清除释放以回收端口资源。因此，完成 Ping 测试后必须火速执行查看命令。

（1） 执行查看命令

Router#show ip nat translations

图 5-3 路由器动态生成的 ICMP 多路复用转换表（双击并发场景）

（2） 宏观印证：基于理论模型的数据链比对

结合我们在第一章 1.6 节中建立的理论模型，对这张由真实协议栈生成的映射表进行宏观校验：
图 5-4 NAPT 转换表四维核心地址映射关系全景剖析图

• 协议与端口的借用（Pro / Virtual Port）： 如表首列所示，当前触发转换的协议为 icmp。由于 ICMP 属于网络层协议，原生并不具备 TCP/UDP 的四层源/目的端口号，NAT 引擎巧妙地"借用"了 ICMP 报头内部的查询标识符（Identifier）来充当"虚拟端口号"（如 :10、:11 等连续递增序列）。这些虚拟端口是 NAPT 实现高并发"多对一（N:1）"复用映射的核心微观寻址依据。

• 源地址的越境伪装（Inside local ➔ Inside global）： 观察红框标定的映射对，无论是来自 192.168.0.1 (PC0) 还是 192.168.0.2 (PC1) 的私网流量，在向外穿透 Router0 的那一刻，其真实的内部局部地址（Inside local）均被强行抹去，并统一封装为 Router0 广域网接口的唯一合法公网标识------内部全局地址（Inside global）218.75.230.253。

• 目标地址的全路径透明（Outside local = Outside global）： 观察表格右侧两列，去往公网 Server0 的目的地址 218.75.230.1 在转换前后（Outside local 与 Outside global）保持绝对一致。这完美印证了"因特网公网 IP 具有全局唯一性与全网透明性，无需且不能被伪装"的路由铁律。

5.3 TCP 应用访问测试（Web 浏览器访问 Server0）

在 Packet Tracer 的 Realtime（实时） 工作模式下，模拟企业员工通过浏览器访问外网的真实办公场景。此操作将触发操作系统底层的 TCP 三次握手，并在应用层封装 HTTP 请求。

操作步骤与现象：

• 单击打开 PC0 的桌面，运行 Web Browser（Web 浏览器） ，在地址栏中输入外部服务器 Server0 的公网 IP 地址：http://218.75.230.1，单击 Go 按钮。浏览器成功渲染出 Web 服务器的默认欢迎页面。

  http://218.75.230.1

PC0 通过 HTTP 协议成功获取 Server0 网页内容

• 立即切换到 PC1，重复上述操作，同样成功获取 Web 页面。

  http://218.75.230.1

PC1 并发请求成功获取 Server0 网页内容

5.4 再次查看 NAPT 转换表（TCP 条目验证端口冲突重排）

由于 HTTP 业务强依赖传输层的 TCP 协议，在 PC0 与 PC1 并发访问的瞬间，它们的操作系统极易分配出同名的短暂源端口（例如都分配了 1025）。此时，Router0 的 NAPT 引擎将触发我们在第一章 1.6.2 节中推演过的"端口冲突规避与动态重排"机制。

⏱️ 【操作时效性警告】 ：同样地，TCP 会话在四次挥手断开连接后，其动态 NAT 记录也会被迅速释放。请在网页加载成功后，火速切入 Router0 的 CLI 执行查看命令。

执行查看命令：

Router0# show ip nat translations

图 5-5 路由器动态生成的 TCP 端口同名冲突与状态重排转换表

微观工程机制校验： 对比上述实测输出与理论推演，现象达到 100% 吻合：

• 内部短暂端口冲突： PC0（192.168.0.1）与 PC1（192.168.0.2）在发起 Web 请求时，协议栈内部均分配了临时源端口 :1025（Inside local 列）。

• 网关强制重排（Port Reallocation）： 边界网关 Router0 察觉到冲突，为了确保回程流量能够被精确解复用，它启动了过载防冲突算法。它为 PC0 保留了原生端口（映射为公网 218.75.230.253:1025），而将 PC1 的四层报头强行重写，为其分配了全新的闲置公网虚拟端口（映射为公网 218.75.230.253:1024）。

• 精准分流： 正是依靠这种'端口重排'核心机制，数百台内网主机才能共享唯一的公网 IP 进行高并发的外部访问而不发生会话交叉。

5.5 转换表动态老化现象的观察与说明

在工程实践中，网络管理员必须深刻理解 NAT 转换条目的生命周期管理：

• 动态老化（Aging Timer）： 我们通过 show ip nat translations 查看到的条目并非永久存在。为了防止耗尽路由器极其有限的高速缓存与 65535 个可用端口资源，Cisco IOS 内置了严格的老化机制。

• 超时释放： 默认情况下，一条无流量活跃的动态 TCP 转换条目会在 24 小时后超时，而 UDP 和 ICMP 条目的存活时间则被压缩在 1 到 5 分钟之间。一旦超时，条目将被彻底抹除，公网端口资源重新回归地址池，等待下一次会话分配。

5.6 仿真模式下的 NAPT 报文深度解剖 (PDU 微观追踪)

为了将 NAPT 的底层黑盒彻底打开，我们需要再次利用 Simulation（仿真模式） 并手动触发一次端到端 ICMP 探针，以此捕获报文跨越边界时的内层与外层物理异变，并对 OSI 模型的寻址重构执行微观验证。

（1） 触发微观追踪进程（核心实操指引）

在切入微观分析前，必须执行以下标准触发流程以捕获底层数据报：

单击软件右下角，从 Realtime（实时模式）切换至 Simulation（仿真模式）。单击右侧工具栏的 Add Simple PDU 工具（添加简单 PDU，即闭合的信封图标，快捷键 P）。首先单击源设备 PC0，随后单击目的设备 Server0。此时拓扑中将生成一个待发送的 ICMP 数据报。单击仿真控制台的 Capture/Forward（捕获/前进） 按钮，逐帧观察报文的物理跃巡。双击对应设备上的"信封"图标，即可打开 PDU 详细信息（PDU Information）面板，查阅网络层参数的重构过程。

（2） 去程解剖：Router0 的出站地址伪装与 TTL 扣除

在这个阶段，PC0 将 ICMP 请求报文交给了企业网关 Router0，Router0 在将其推向公共因特网前，实施了标准的 NAT"隐身"与路由递减操作。
图 5-6 去程数据报在 Router0 处执行网络层 NAT 源地址覆写 图 5-7 去程数据报在 Router0 路由平面发生的 TTL 单级衰减 图 5-7 去程数据报在 Router0 路由平面发生的 TTL 单级衰减

（3） 回程解剖：Router0 的入站地址还原与 TTL 扣除

在这个阶段，服务器 Server0 生成的回送回答报文顺利跨越因特网骨干，抵达企业边界 Router0。Router0 拦截该报文，通过逆向哈希查询 NAT 映射表，将其精准解复用并投递回内网终端 PC0。
图 5-8 回程数据报在 Router0 处执行网络层 NAT 目的地址解复用与还原 图 5-9 回程数据报在 Router0 路由平面发生的第二级 TTL 衰减 图 5-9 回程数据报在 Router0 路由平面发生的第二级 TTL 衰减

六、实验总结

通过本实验的完整闭环操作，我们从理论到实践全面掌握了 NAPT 技术：

1. 部署核心步骤回顾： 划定内外接口 ➔ 创建公网地址池 ➔ 定义 ACL 抓取流量 ➔ 关联并启用 overload 端口复用。

2. 四大地址映射规律： 出站转换源地址（局部 ➔ 全局），入站还原目标地址（全局 ➔ 局部），外部寻址参数全路径透明。

3. 典型配置错误与排查思路：接口安全方向颠倒、通配符掩码与子网掩码错配、overload 关键字遗漏，以及地址池命名拼写不规范。

NAPT 作为 IPv4 时代的"续命技术"，虽然打破了端到端的通信原则，但它以极小的公网 IP 成本支撑起了全球互联网的爆发式增长。深刻理解其运行机制，是每一位网络工程师必备的核心素养。