简述一下公网IP、私网IP、动态IP、静态IP这四个概念。

1、先说公网IP和私网IP

我们都听过IP地址，但对公网IP和私网IP可能就比较挠头了。把IP的问题放在一边，我们先说一下什么是公网，什么是私网。公网又名广域网、外网，指的就是我们平时说的互联网。私网又名内网、局域网，指的是路由器或交换机下创建的局部互联网络。网络的功能说的简单些就是使多台计算机实现互联，可以互相传输数据。广域网实现广域的互联，局域网实现局域的互联。像我们平时上网看新闻、看电影，上的都是互联网，也可以说是公网。而路由器或交换机为一个家庭、一个小区、一个企业创建的内部互联网络就是局域网。

        公网IP是在公网中使用的IP地址，私网IP是在局域网中使用的IP地址。《IP地址和MAC地址简介》一文中曾经提到过，IP地址由4组十进制数组成，每组1～3位，每组数的取值范围为0～255，组与组之间用.相连。如127.0.0.1、101.199.216.234都是IP地址。IP地址总共分为A、B、C、D、E五类。其中A、B、C类为一般用途，D、E类为特殊用途。我们日常涉及到的公网IP或私网IP基本皆属于A、B、C三类之一。

A类地址范围：1.0.0.1～126.225.255.254。

B类地址范围：128.0.0.1～191.255.255.254。

C类地址范围：192.0.0.1～223.255.255.254。

D类地址范围：224.0.0.0～239.255.255.255。

E类地址范围：240.0.0.0～247.255.255.255。

127.0.0.0到127.255.255.255是保留地址，用做循环测试用的 。比如在本地做web开发时会用到。

        A类的10.0.0.0～10.255.255.255、B类的172.16.0.0～172.31.255.255、C类的192.168.0.0～192.168.255.255为私网IP。除此之外，A、B、C三类的所有其余IP都是公网IP。私网IP只会出现在私网内，公网IP只会出现在公网内。

        公网IP和私网IP在使用上有什么区别呢？。公网IP是互联网中一个可直接访问其他IP，也可被其他IP直接访问的一个独立身份。有了它，你可以直接找到互联网中的其他电脑，也可以被其他电脑找到。而私网IP处于局域网下，它想要访问互联网是需要先转换成公网IP的，这个公网IP就是局域网的网关IP。对公网上的其他电脑来说，无论是路由器下的哪个设备访问它，它获取到的对方IP都是一样的，都是局域网的网关IP。至于是局域网内具体哪个设备访问它，它是无法知道的。

        举个例子，局域网内有甲、乙、丙、丁四个设备，IP分别是192.168.0.10、192.168.0.11、192.168.0.12、192.168.0.13。局域网由路由器产生，路由器即为网关，局域网IP是192.168.0.1。因为路由器既处于公网内，又处于私网内，所以路由器还有一个公网IP，假设为136.67.0.1。无论是甲乙丙丁哪台设备访问互联网，其最终转化为的公网IP都是136.67.0.1。

        私网IP可以直接访问公网中的其他IP，但却不能被公网中的其他IP直接访问。这句话对普通人来说可能不太好理解，做过网站、搭建过服务器的人会比较清楚。IP地址的作用就是给处于网络上的设备分配一个独一无二的标识，以实现身份识别。如果我们是一个局域网IP，那我们想要访问一个指定的公网IP是没问题的。但公网上的其他IP想要找到我们，是没法直接找到的，它最多只能找到局域网的网关一层，至于路由器下的多个设备，它是没办法区分的。这也就是为什么很多人都希望自己的IP是公网IP，而非私网IP。有了公网IP，实现远程控制、远程监控、远程文件访问都会很方便。如果我们是局域网IP，以上的功能也能实现，但会很麻烦，需要做很多额外的工作，比如端口转发、内网穿透。效果不好，一般还需要额外花钱。两相比较，公网IP自然是最好的选择。

        如果大家想把家里的宽带由私网IP改为公网IP，可以向运营商申请。至于最后能不能申请下来，就不好说了。IPV4地址枯竭，运营商一般不太愿意给改公网IP。客服不知道是真不懂还是假不懂，初次打电话反应一般都说不懂，总要多打几次才能沟通下来。大家改公网IP一般的理由就是家里有监控，没有公网IP用不了。有人说，万一人家质疑我现在监控不用公网IP也能用怎么办？这个其实不用担心，运营商也是心知肚明的，问理由一般只是例行公事而已，具体什么理由不重要。但要注意，即便申请下来了，也未必是永久的，可能忽然又变回私网IP，你就需要再向运营商申请。而且这个公网IP是封了80端口的，一般是动态公网IP，所以建网站就不用考虑了。

        公网IP和私网IP说完了，现在来说静态IP和动态IP。这两个比较好理解，静态IP就是静止不变的IP，动态IP就是动态变化的IP。公网IP和私网IP都有动态和静态之分。比如你的宽带IP是163.128.0.1，如果永久不变，那就叫静态IP，如果时不时就变化，比如变为了163.128.0.10，这就叫动态IP。一般家庭宽带基本都是动态IP，专线宽带才会是静态IP。

综上所述，最好，或者说最理想的IP类型是静态公网IP。既可以在互联网中直接找到指定设备，IP又是固定的，不会变来变去，免去动态域名解析等麻烦。当然，这只是对有需求的用户来说，对仅仅是上网需求的用户来说，无论是动态IP、静态IP，还是公网IP、私网IP，都不必纠结，能上网就行。

IP地址这个词我们经常听到，它具体是个什么东西这里就不谈了，建议去看一下本系列文章的《IP地址和MAC地址简介》一文。本文主要来区分一下公网IP、私网IP、动态IP、静态IP这四个概念。

先说公网IP和私网IP。

我们都听过IP地址，但对公网IP和私网IP可能就比较挠头了。把IP的问题放在一边，我们先说一下什么是公网，什么是私网。公网又名广域网、外网，指的就是我们平时说的互联网。私网又名内网、局域网，指的是路由器或交换机下创建的局部互联网络。网络的功能说的简单些就是使多台计算机实现互联，可以互相传输数据。广域网实现广域的互联，局域网实现局域的互联。像我们平时上网看新闻、看电影，上的都是互联网，也可以说是公网。而路由器或交换机为一个家庭、一个小区、一个企业创建的内部互联网络就是局域网。

公网IP是在公网中使用的IP地址，私网IP是在局域网中使用的IP地址。《IP地址和MAC地址简介》一文中曾经提到过，IP地址由4组十进制数组成，每组1～3位，每组数的取值范围为0～255，组与组之间用.相连。如127.0.0.1、101.199.216.234都是IP地址。IP地址总共分为A、B、C、D、E五类。其中A、B、C类为一般用途，D、E类为特殊用途。我们日常涉及到的公网IP或私网IP基本皆属于A、B、C三类之一。

A类地址范围：1.0.0.1～126.225.255.254。

B类地址范围：128.0.0.1～191.255.255.254。

C类地址范围：192.0.0.1～223.255.255.254。

D类地址范围：224.0.0.0～239.255.255.255。

E类地址范围：240.0.0.0～247.255.255.255。

127.0.0.0到127.255.255.255是保留地址，用做循环测试用的 。比如在本地做web开发时会用到。

A类的10.0.0.0～10.255.255.255、B类的172.16.0.0～172.31.255.255、C类的192.168.0.0～192.168.255.255为私网IP。除此之外，A、B、C三类的所有其余IP都是公网IP。私网IP只会出现在私网内，公网IP只会出现在公网内。

公网IP和私网IP在使用上有什么区别呢？。公网IP是互联网中一个可直接访问其他IP，也可被其他IP直接访问的一个独立身份。有了它，你可以直接找到互联网中的其他电脑，也可以被其他电脑找到。而私网IP处于局域网下，它想要访问互联网是需要先转换成公网IP的，这个公网IP就是局域网的网关IP。对公网上的其他电脑来说，无论是路由器下的哪个设备访问它，它获取到的对方IP都是一样的，都是局域网的网关IP。至于是局域网内具体哪个设备访问它，它是无法知道的。

举个例子，局域网内有甲、乙、丙、丁四个设备，IP分别是192.168.0.10、192.168.0.11、192.168.0.12、192.168.0.13。局域网由路由器产生，路由器即为网关，局域网IP是192.168.0.1。因为路由器既处于公网内，又处于私网内，所以路由器还有一个公网IP，假设为136.67.0.1。无论是甲乙丙丁哪台设备访问互联网，其最终转化为的公网IP都是136.67.0.1。

私网IP可以直接访问公网中的其他IP，但却不能被公网中的其他IP直接访问。这句话对普通人来说可能不太好理解，做过网站、搭建过服务器的人会比较清楚。IP地址的作用就是给处于网络上的设备分配一个独一无二的标识，以实现身份识别。如果我们是一个局域网IP，那我们想要访问一个指定的公网IP是没问题的。但公网上的其他IP想要找到我们，是没法直接找到的，它最多只能找到局域网的网关一层，至于路由器下的多个设备，它是没办法区分的。这也就是为什么很多人都希望自己的IP是公网IP，而非私网IP。有了公网IP，实现远程控制、远程监控、远程文件访问都会很方便。如果我们是局域网IP，以上的功能也能实现，但会很麻烦，需要做很多额外的工作，比如端口转发、内网穿透。效果不好，一般还需要额外花钱。两相比较，公网IP自然是最好的选择。

如果想要查看自己的IP是否为公网IP，请见本系列文章《如何查询本机IP是否为公网IP》一文。

如果大家想把家里的宽带由私网IP改为公网IP，可以向运营商申请。至于最后能不能申请下来，就不好说了。IPV4地址枯竭，运营商一般不太愿意给改公网IP。客服不知道是真不懂还是假不懂，初次打电话反应一般都说不懂，总要多打几次才能沟通下来。大家改公网IP一般的理由就是家里有监控，没有公网IP用不了。有人说，万一人家质疑我现在监控不用公网IP也能用怎么办？这个其实不用担心，运营商也是心知肚明的，问理由一般只是例行公事而已，具体什么理由不重要。但要注意，即便申请下来了，也未必是永久的，可能忽然又变回私网IP，你就需要再向运营商申请。而且这个公网IP是封了80端口的，一般是动态公网IP，所以建网站就不用考虑了。

公网IP和私网IP说完了，现在来说静态IP和动态IP。这两个比较好理解，静态IP就是静止不变的IP，动态IP就是动态变化的IP。公网IP和私网IP都有动态和静态之分。比如你的宽带IP是163.128.0.1，如果永久不变，那就叫静态IP，如果时不时就变化，比如变为了163.128.0.10，这就叫动态IP。一般家庭宽带基本都是动态IP，专线宽带才会是静态IP。

综上所述，最好，或者说最理想的IP类型是静态公网IP。既可以在互联网中直接找到指定设备，IP又是固定的，不会变来变去，免去动态域名解析等麻烦。当然，这只是对有需求的用户来说，对仅仅是上网需求的用户来说，无论是动态IP、静态IP，还是公网IP、私网IP，都不必纠结，能上网就行。

好了，以上就是本文的所有内容了，谢谢观看。

【如需各种程序设计，请联系】

谢谢支持，谢谢。

1 IP地址概述和NAT概述

1.1 IP地址概述

（1）ipv4地址使用现状：现在已严重不够用。仅ABC类可以用，D类是组播，E类是科研。IP地址的分类详见《IP地址详解及其相关概念》

（2）IP地址分为公网IP和私网IP。

• 1）公网IP仅能在公网上使用。
• 2）私网IP仅能在内网上使用。私有IP可以在不同的内网内重复使用。
• 3）为避免重复出现的私有IP冲突，公网上不允许出现私有IP地址。即公网的路由器不认识私有IP地址，不能对私有IP地址进行路由。

（3）私有IP地址范围，从原有ABC类中各抽出一部分作为私有IP地址。

• 1）10.0.0.0/8（10开头的），如10.1.1.1、10.10.1.254。
• 2）172.16.0.0/16~172.31.0.0/16（172.16开头的一直到172.31开头的），如172.31.100.200
• 3）192.168.0.0/16（192.168开头的），如192.168.100.100。

（4）公有IP地址，ABC类中除了私有IP地址以外的IP地址。

（5）静/动态公有IP地址：在运营商处购买的公网IP地址有静动态之分。对于需要搭配服务器供公网用户访问的公司，需要购买静态公用IP地址，因为动态IP地址刷新后会影响别人用ip地址对服务器的访问。

1.2 NAT概述

（1）NAT定义：Network Address Translations 网络地址转换。
（2）作用：NAT技术主要实现公私有IP地址转换。（解决ipv4地址不够用带来的不便）
（3）简介：主机在内网使用的是私有IP地址，IP包头封装时使用的是私有地址，那该数据帧怎么走出外网的呢？答案是在数据帧走到路由器上准备由内网发往外网时，将私有IP地址替换为公有IP地址再封装。
（4）配置位置：一般是在路由器或者防火墙上配置，不建议在三层交换机上配置。

2 NAT分类

在配置NAT前，需要首先定义内外网端口。

2.1 静态NAT

（1）在路由器接口上手动配置NAT地址转换表，一个私有IP对应一个公有IP地址。
（2）缺点：公司够买了多少个公有IP地址，内网就有多少个主机能上网，一一对应。

（3）当NAT转换表中没有对应条目时：当NAT转换表中有匹配项时，给数据包转换IP地址，没有时不给数据包转换IP地址，数据包直接上公网，当数据包没有被NAT转换为公网IP地址时，数据包有去无回，外在表现为上不了网。
（4）为什么不可以多个私网IP同时使用一个公网IP地址：若同时使用，当外网给公司路由器回包时，路由器做NAT转换时，不知道将该数据包的目标IP转换为哪个私网IP。

2.2 动态NAT

（1）NAT转换流程：

• 1）路由器上配置一个内部地址池（公司内部所有主机用到的私有IP）动态映射一个外部地址池（所购买的公有IP）。
• 2）当有一个内网主机访问外网时，路由器首先查看NAT地址转换表；
• 3）若无，则再查看是否配置了动态NAT映射，若配置，则将IP包头中的源IP与内部地址池进行匹配，若有匹配项，则将该内网IP从内部地址池中取出，同时取出外部地址池中的一个IP地址，动态形成NAT地址转换表。注意，外部地址池的公网IP地址取出后，外部地址池中将没有该公网IP了。
• 4）默认当该主机24小时没有联系外网时，该动态NAT条目会自动消失，所被取出的公私有地址重新回到地址池中。
  
  （2）优点：相比于静态，不用手动修改NAT地址转换表。

（3）缺点：公有IP有多少个，就能允许多少个内网主机上网，用完即止。其他主机若想上网，只能等待。
（4）为什么不可以多个私网IP同时使用一个公网IP地址：若同时使用，当外网给公司路由器回包时，路由器做NAT转换时，不知道将该数据包的目标IP转换为哪个私网IP。

2.3 PAT

（1）定义：Port Address Translations，端口地址转换，也称为端口复用技术。
（2）在动态NAT基础上，增加overload复用技术。

（3）工作流程：

• 1）公司内网主机私有IP地址为IPA，公有IP地址为IPB，想要访问百度服务器公有地址IPC，内网主机访问百度网页时，随机生成源端口号5000，目标端口号为80，主机将信息封装成数据帧发送到路由器。
  
• 2）数据帧到达路由器后，路由器解封装数据帧后，首先查看NAT地址转换表；若无，则再查看是否配置了动态NAT映射，若配置，则将其源IP与内部地址池进行匹配，匹配后先动态生成NAT地址转换表。从内部地址池中将该IP地址复制到NAT转换表中、从外部地址池中将IP地址复制到NAT转换表中、从数据帧中复制源端口号到NAT转换表中、并由路由器动态生成一个端口号（一般从1开始，不可重复，当原条目消失后才能再次使用），所形成的NAT地址转换表如步骤7。
• 3）路由器替换掉数据包源IP和源端口号，封装后再将数据发送到外网。
  
• 4）路由器收到百度服务器回包时，路由器解封装数据帧，并检查NAT转换表，发现数据包中的目标IP是IPB、目标端口号是1，匹配表中条目。
  
• 5）路由器将数据包中目标地址和目标端口号替换掉，封装后再发给内网主机。
  
• 6）当内网有其他主机访问外网时，重复上述过程，依靠路由器自己动态生成的端口号区别各个条目。
• 7）上述工作过程在步骤2生成NAT地址转换表如下。

（4）动态生成NAT地址转换表只能是在数据帧由路由器发至外网的过程中生成，数据帧从外网发到内网只能使用该表。
（5）端口号范围：0~65535。
（6）弊端：每一个主机每一个进程都有可能占用一个端口号，每一个主机正常使用是估计约要占用50个端口号，也就是公司一个公用IP大概能供1000个人使用，对于规模更大的公司，需要多购买公用IP地址。
（7）适用情况：实现内网员工同时使用一个公网IP上网。

2.4 静态PAT

（1）背景：动态形成NAT地址转换表时，只有从内网往外发送数据包时，才能形成，而从外到内，只能使用该NAT地址转换表。那么当需要互联网公民可以访问公司服务器时，该怎么办？
（2）静态PAT也称为端口映射。
（3）意义：从数据帧流向上看，动态PAT技术解决了多个内网主机上网的问题；静态PAT解决了外网主机访问内网服务器的问题。
（4）对于公司而言，不建议将提供员工上网使用的公网IP地址与服务建立静态映射，建议另外购买一个公用IP地址，提供给各个服务器使用。如果同时有两个WEB服务，且不想改端口号，则需要继续新购买公用IP地址。
（5）虚拟公网IP地址：一般用来映射内网服务器的公网IP地址称为虚拟公网IP地址，即VIP地址。一般是购买企业级带宽的公用IP，运营商会赠送一部分VIP，用于公司映射服务器使用。
（6）虚拟公网IP地址的配置：假设公司路由器外网接口配置的IP地址是100.1.1.1，另外购买的100.1.1.2地址是用于映射内网服务器给外网用户使用的，此时，无需在路由器接口上另外配置该100.1.1.2IP地址，仅需在NAT地址转行表中添加该条目即可，运营商会对互联网路由器上的路由表进行配置，将公司购买的公网IP往公司路由器上指，公司路由器再根据NAT地址转换表发至内网设备上。
（7）例子：假设192.168.1.3~192.168.1.5都是公司的服务器，其中192.168.1.3和192.168.1.5都是WEB服务器，192.168.1.4是telnet服务器。若外网想访问公司的服务器时，需要在路由器上手工配置静态PAT。

3 相关NAT命令

3.1 定义内外网接口

根据路由器上接口的方向进行定义，假设路由器上f0/0接口连接的是内网，f0/1接口连接的是外网。

en
conf t
int f0/0
ip nat inside
exit
int f0/1
ip nat outside
exit

3.2 配置PAT

定义内部地址池。此处外部地址池不需要定义，因为外部地址池的公网IP只是外网接口的那个IP，当外部地址池还有其他公网IP用于供员工上网时，也需要定义外部地址池。

conf t

#定义内部地址池
#ACL表应用于路由器接口上时是用于进行数据包过滤的，此时ACL运用在这只是应用于匹配条件是否满足
acc 1 permit 192.168.0.0 0.0.255.255	#网段与反子网掩码配合用于匹配私有IP地址是否属于该地址池

#做PAT动态映射：
#inside source 表示来自内网的数据包的源IP地址
#"list 1"与“上述的acc 1”的表名需要一致。
#“对IP地址做NAT地址转换，凡是从内网来的数据包的源IP满足list 1这张表时，将源IP与“f0/1接口的IP地址”进行PAT动态映射，并启用overload（端口复用）技术。
ip nat inside source list 1 int f0/1 overload     #不同厂家不一样，这是思科的

#查看NAT地址转换表
show ip nat translations
#清空NAT地址转换表
clear ip nat translations

3.3 配置静态端口映射

假设公司路由器外网接口配置的IP地址是100.1.1.1，另外购买的10.1.1.2地址是用于映射内网服务器，从而外网用户可以访问该服务器。此时，无需在路由器接口上另外配置该IP地址，仅需在NAT地址转换表中添加该条目即可，运营商会对互联网路由器上的路由表进行配置，将公司购买的公网IP往公司路由器上指，公司路由器再根据NAT地址转换表发至内网设备上。

conf t
ip nat inside source static 192.168.1.3 100.1.1.2 #将192.168.1.3整个服务器映射到100.1.1.2这个公网IP
ip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80	#只映射TCP80端口号，将192.168.1.3的80端口映射成100.1.1.2的80端口

tips:
1）一般傻瓜式交换机也可以做端口映射。
2）若想发布一台服务器，需要购买静态公网IP。

4 路由器工作原理归纳完善

注意，做NAT地址转换始终是在外网接口上进行的。

4.1 对由内到内/外的数据帧：

（1）路由器内网接口收到数据帧；
（2）首先查看目标AMC地址是否是自己，是则解封装，否则丢弃；
（3）查看是否有ACL表对数据过滤，可正常通行后送至路由器内部；
（4）匹配路由表将数据包路由至目标接口；
（5）查看是否有ACL表对数据过滤，
（6）如果是路由到外网接口则需要先查看并匹配NAT地址转换表（配置了动态NAT映射后动态形成的NAT地址转换表和手工配置的静态NAT地址转换表），决定是否对源IP进行地址转换，（NAT和ACL哪个先？个人理解应该是NAT更接近外侧，即先ACL再NAT，暂未验证。）
（7）封装帧头帧尾后发出到下一跳。

4.2 对由外到内的数据帧：

（1）路由器外网接口收到数据帧，
（2）首先查看目标AMC地址是否是自己，是则解封装，否则丢弃，
（3）查看并匹配NAT地址转换表（配置了动态NAT映射后动态形成的NAT地址转换表和手工配置的静态NAT地址转换表），决定是否对目标IP进行地址转换，（NAT和ACL哪个先？个人理解应该是NAT更接近外侧，即先NAT再ACL，暂未验证。）
（4）查看是否有ACL表对数据过滤，可正常通行后送至路由器内部；
（5）匹配路由表将数据包路由至目标接口，
（6）查看是否有ACL表对数据过滤，
（7）封装帧头帧尾后发出到下一跳。

5 归纳总结

（1）了解IP地址分为公网IP和私网IP、私网IP地址有哪些。
（2）了解NAT技术应用的背景
（3）了解NAT技术的分类，掌握各自的原理。其中，内网员工需要多对一上网时，使用PAT技术，外网需要访问内网服务器时，使用静态端口映射技术。
（4）熟悉实现公网IP地址和私网IP地址之间转换的相关命令。
（5）深度理解路由器的工作原理。

参考文章

[1] 《NAT——实现公私有IP地址转换》
[2] 视频传送门