NAT

1.NAT概念

将IP数据报报头中的IP地址转换为另一个IP地址的过程。是一种在现网中被广泛部署的技术，一般部署在网络出口设备，例如路由器或防火墙上。

2.NAT的分类

1.BASIC NAT（静态NAT）

静态NAT的核心任务就是建立并维护一张静态地址映射表，地址映射表反映了共有IP与私有IP之间的一一对应关系。在进行NAT转换时，内部主机的IP地址与公网的IP地址是一对一静态绑定的，静态NAT中的公网地址只会对应一个私网地址，简单的来说，一个私网地址对应一个公网地址。
一个公网地址只会分配给唯一且固定的一台内网主机
静态NAT的工作原理非常简单，但是同时也可以看到，静态NAT并不能节约共有IP地址资源。因此，在实际部署NAT时，一般不会采用静态NAT技术。

2.动态NAT

动态NAT将所有公网地址放入一个IP地址池中。不像使用静态NAT那样，你无需静态地配置路由器，使其将每个内网IP地址对应到一个外网IP地址，但必须有足够的公有因特网IP地址，让连接到因特网的主机都能够同时发送和接收分组。
动态NAT将所有外网IP放入地址池中，并将其状态标志为“NOT Use”，当有内网IP想要访问Internet时，从地址池中随机分配一个外网IP进行绑定，并将其状态转变为“In Use”，当内部主机访问完毕，再将外网IP释放，回归“NOT Use”状态。
动态NAT基于地址池来实现私有地址和共有地址的转换
** 动态NAT地址池中的地址用尽之后，只能等待被占用的共有地址被释放之后，才能给其他主机访问公网**

3.NAPT

动态NAT提出了地址池的概念，相对于静态NAT灵活了许多，可是动态NAT在进行内网IP和外网IP绑定的时候，可不可以一个外网地址对应多个内网地址呢？除了一对一的NAT转换方式之外，NAPT（Network Address Port Translation，网络地址端口复用）技术可以实现并发的地址转换。它可以允许多个内网IP同时映射到一个外网IP上面，因此也被称为“多对一地址转换”或者地址复用技术，真正的解决IPv4不足的问题。
** 网络地址端口转换NAPT允许多个内网地址映射到一个公网地址上，基本解决了动态NAT地址池匮乏的问题。**
一个单一的外网地址可以对应约4000个内网主机（理想状态）

4.NAT服务器

在架构NAT技术的网络上，当外网尝试访问内部网络的时候，是无法得到真实的内网地址的，NAT技术是具有“屏蔽”内部主机的作用的，但是在某一些时候，内网需要向外网提供服务，比如说提供WWW（万维网）服务或者FTP（文件传输）服务时，这种情况下需要内网的主机能够被特定外网访问，就需要使用到NAT Server服务了。
通过配置NAT服务器，可以使外网用户访问内网服务器。
Router收到内网服务器的回应报文后，根据该回应报文的“源IP地址＋源端口号”查找NAT Server转换表项，找出对应的“公网IP+端口号”，然后用查找结果替换报文的“源IP地址＋源端口号”。

5.EasyIP

Easy IP实现原理约NAPT相同，同时转换IP地址、传输层端口、区别在于Easy IP并没有地址池的概念，使用接口地址作为NAT抓换的共有地址。
Easy IP适用于不具备固定公网IP地址的场景：比如DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用且获取到动态地址并对其进行转换。

3.配置命令

• 静态NAT（static）
  
  如上图，实现内网PC1和外网202.10.100.2的通信

<Huawei>sy
Enter system view, return user view with Ctrl+Z.
[Huawei]int GigabitEthernet 0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 192.168.1.1 24
[Huawei-GigabitEthernet0/0/1]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 202.10.100.1 24
[Huawei-GigabitEthernet0/0/0]nat static global 202.10.100.10 inside 192.168.1.10
//global:外网地址，inside：内网地址，将内网地址192.168.1.10映射为202.10.100.10

• 动态NAT
  如下图，pc2-pc5，使用动态NAT，创建NAT地址池1 范围 202.10.100.20-202.10.100.25
  

[ar1]nat address-group 1 202.10.100.20 202.10.100.25 //创建nat地址此1，范围 202.10.100.20-202.10.100.25
[ar1]display nat address-group //查看nat地址池
 NAT Address-Group Information:
 --------------------------------------
 Index   Start-address      End-address
 --------------------------------------
 1       202.10.100.20    202.10.100.25
 --------------------------------------
  Total : 1
[ar1]acl 2000 //创建简单acl
[ar1-acl-basic-2000]rule permit source 192.168.1.20 0 //规则5（默认为5）：匹配源地址192.168.1.20的数据包
[ar1-acl-basic-2000]q
[ar1]int g0/0/0
[ar1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat //匹配acl2000的规则，在出接口进行地址转换，转换地址用nat地址池1中的地址，no-pat:不修改端口

• 3.NAPT
  NAPT的配置和动态NAT几乎完全一样，NAPT在转换地址时要分配端口号，所以需要将配置动态NAT时的no-pat命令去除
  PC3-PC5,使用NAPT,创建nat地址池2，范围：202.10.100.30-202.10.100.35
  

[ar1]nat address-group 2 202.10.100.30 202.10.100.35//创建地址池2
[ar1]acl 2001
[ar1-acl-basic-2001]rule permit source 192.168.1.30 0 //设置放行范围
[ar1-acl-basic-2001]q
[ar1]int g0/0/0
[ar1-GigabitEthernet0/0/0]nat outbound 2001 address-group 2//nat匹配acl2001的规则，并且将no-pat选项去除，表示需要更改端口

• 4.Easy IP
  EasyIP配置，因为使用的时网关路由器出接口的IP地址，所以公网地址是固定的，不需要额外创建地址池

[ar1]acl 2002
[ar1-acl-basic-2002]rule permit source 192.168.1.40 0
[ar1-acl-basic-2002]q
[ar1]int g0/0/0
[ar1-GigabitEthernet0/0/0]nat outbound 2002

• 配置nat地址池，配置时开启允许端口地址转换，实现公网地址复用

[FW] nat address-group address groupl 
[FW-address-group-addressgroupl] mode pat 
[FWaddress-group-addressgroupl]section 0 100.1.1.10 100.1.1.15 \\section：地址段，后面是开始的公网地址和结束的公网地址

[SwitchA]interface vlanif 30 
[SwitchA-Vlanif30]dhcp select (interface) //使能VLANIF接口地址池

内容参考网络，如有侵权，联系删除