NAT的知识点和实现

1.NAT的作用：

（1）、把内网私网IP转换公网IP；

（2）、隐藏内网，起到保护内网作用；

（3）、适当的缓解的IPv4地址空间枯竭；

（4）、解决公网设备回包的路由问题；

2.NAT的基本原理：

（1）、内网数据包出去会将私网IP转换成特定的公网IP，实现访问；
（2）、公网回包之后在根据NAT映射表进行转换，找到真正的内网IP；
3.静态NAT的缺点：根本没有缓解IPv4地址空间不足的问题；

4.动态NAT的优点：在某种程度上提高公网IP地址使用率；
                 缺点：依然需要多个公网IP地址组成公网IP地址池；
5,.easy ip:直接使用连接互联网的公网IP地址，实现NAT转换；
        优点：1、节省公网IP地址；2、配置简单：nat outbound 2000
都是实现内网去访问公网的过程；内网有服务器，互联网用户需要访问，则需要配置NAT Server;
NAT Server是实现公网主动访问内网的过程；

6.静态NAT的配置

1.方式一：接口视图下配置静态NAT

Huawei-GigabitEthernet0/0/0] nat static  global { global-address} inside {host-address }

global参数用于配置外部公有地址，inside参数用于配置内部私有地址。

2.方式二：系统视图下配置静态NAT

[Huawei] nat static  global { global-address} inside {host-address }

配置命令相同，视图为系统视图，之后在具体的接口下开启静态NAT。

Huawei-GigabitEthernet0/0/0] nat static enable

在接口下使能nat static功能。

7.动态NAT的配置

（1）创建地址池

[Huawei] nat address-group group-index start-address end-address

配置公有地址范围，其中group-index为地址池编号，start-address、end-address分别为地址池起始地址、结束地址。

（2）配置地址转换的ACL规则

[Huawei] acl number

[Huawei-acl-basic-number ] rule permit source  source-address source-wildcard

（3）接口视图下配置带地址池的NAT Outbound

[Huawei-GigabitEthernet0/0/0] nat outbound acl-number address-group group-index [ no-pat ]

接口下关联ACL与地址池进行动态地址转换，no-pat参数指定不进行端口转换。

8.NAPT原理

（1）动态NAT选择地址池中的地址进行地址转换时不会转换端口号，即No-PAT（No-Port Address Translation，非端口地址转换），公有地址与私有地址还是1:1的映射关系，无法提高公有地址利用率。

（2）NAPT（Network Address and Port Translation，网络地址端口转换）：从地址池中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址的1:n映射，可以有效提高公有地址利用率。

9.实例：动态NAT的配置

#R1上的配置

[R1]nat address-group 1 122.1.2.1 122.1.2.3

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

在pc1上ping服务器

抓包：这里可以看见pc在访问服务器的时候通过nat进行了地址转换

10.NAPT的配置

[R1]nat address-group 1 122.1.2.1 122.1.2.1

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

11.Easy IP

（1）Easy IP：实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于Easy IP没有地址池的概念，使用接口地址作为NAT转换的公有地址。

（2）Easy IP适用于不具备固定公网IP地址的场景：如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换。

配置：

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000

12.NAT Server

（1）NAT Server：指定[公有地址:端口]与[私有地址:端口]的一对一映射关系，将内网服务器映射到公网，当私有网络中的服务器需要对公网提供服务时使用。

（2）外网主机主动访问[公有地址:端口]实现对内网服务器的访问。

配置：

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24

[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.10 8080