NAT技术

1.1 NAT技术产生背景

随着互联网用户的增多，IPv4的公有地址资源显得越发短缺。

同时IPv4公有地址资源存在地址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足。

为解决该问题，使用过渡技术解决IPv4公有地址短缺就显得尤为必要。

趋势：

1.2 私网IP地址

公有地址：有专门的机构管理、分配，可以在Internet上直接通信的IP地址。

私有地址：组织和个人可以任意使用，无法在Internet上直接通信，只能在内网使用的IP地址。

A、B、C类地址中各预留了一些专门作为私有IP地址：

A类：10.0.0.0~10.255.255.255

B类：172.16.0.0~172.31.255.255

C类：192.168.0.0~192.168.255.255

1.3 NAT技术原理

NAT：对IP数据报文中的IP地址进行转换，是一种在现网中被广泛部署的技术，一般部署在网络出口设备，例：路由器，防火墙

NAT典型应用场景：在私有网络内部（园区，家庭）使用私有地址，出口设备部署NAT

对于从内到外的流量，网络设备通过NAT将数据包的源地址进行转换（转换为特定的公有地址），目标地址不变；

对于“从外到内”的流量则数据包的目的地址进行转换，源地址不变。

通过私有地址的使用结合NAT技术，可以有效地节约公网IPv4地址

注意：在进行NAT技术原理的描述时，注意数据包的方向问题描述

🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐 🎐

2.1 静态NAT原理

静态NAT：每一个私有地址都有一个与之对应的并且固定的公有地址，即私有地址和公有地址之间的关系是一对一映射的

支持双向互访：

私有地址访问Internet经过出口设备NAT转换时，会转换为对应公有地址

外网访问内网，其报文中写有公有地址(目的地址)，会被NAT设备转化为对应私有地址

2.2 静态NAT转换示例

2.3 静态NAT配置介绍及命令

1.方式一：接口视图下配置静态NAT

[Huawei-GigabitEthernet0/0/0] nat static global { global-address} inside {host-address}

2、方式二：系统视图下配置静态NAT

[Huawei] nat static global {global-address} inside {host-address}

配置命令相同，视图为系统视图，之后在具体的接口下开启静态NAT

[Huawi-GigabitEthernet0/0/0] nat static enable

在接口下能使 nat static 功能

在R1 上配置静态NAT将内网主机的私有地址一对一映射到公有地址

[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 122.1.2.1424
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.2 inside 192.168.1.2
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.3 inside 192.168.1.3

注意：在做地址转换，地址转换的公有ip地址一定不能这个接口的ip地址一样，如果一样在静态NAT中会报错

动态NAT原理配置思路：

第一步：配置NAT地址池

第二步：配置ACL：匹配内网感兴趣的源主机IP地址

第三步：公网接口配置动态NAT

动态NAPT

动态NAT选择地址池的地址进行转换时不会转换端口号，公有地址与私有地址还是1:1映射关系，无法提高公有地址利用率。

NATP（网络地址对口转换）：从地址池中选择地址进行地址转换时不仅转换IP地址，同事也要对端口号进行转换，从而实现公有地址与私有地址的1：n映射，可以大大提高共有地址的利用率

3.1（优）NAPT转换示例

3.2 NATP配置示例

在R1上配置NAPT让内网所有私有地址通过122.12.1访问公网。

[R1]nat address-group 1 122.1.2.1 122.1.2.1[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 19216800.0.0.255[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

3.3 Easy IP

Easy IP :实现原理和NAPT相同，同事转换IP地址、传输层端口、区别在于Easy IP没有地址池的概念，使用接口地址作为NAT转换的公有地址

Easy IP 适用于不具备固定公网IP地址的场景：如通过DHCP、PPPoE拨号换区的私有网络出口，可以直接是用获取到的动态地址进行转换

3.4 Easy IP配置示例

在R1上配置Easy-IP让内网所在私有地址通过122.1.2.1访问公网

[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.00.0.0.255[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000

3.5 静态NAPT（NAT Server）

使用场景

NAT Server：指定[公有地址：端口]与[私有地址：端口]的一对一映射关系，疆内问那个服务器映射到公网，当私有网络中的服务器需要对公网提供服务时使用

外网主机主动访问[公有地址：端口]实现对内网服务器的访问

3.6 NAT Server转换示例

3.7 NAT Server配置示例

在R1上配置NAT Server将内网服务器192168.1.10的8080端口映射到公有地址122.1.2.1的80端口。

[R1]interface GigabitEthernet/0/1
[R1-GigabitEthernet0/0/1]ip address 1221.2.14 24
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 122.1.2.1 www inside 192.1681.108080