NAT：网络地址转换

NAT：网络地址转换

1.工作原理

在一台路由器上对进或出的流量进行ip地址的修改，常用规则为从内部去往外部时修改源ip地址；从外部进入内部时修改目标ip地址；NAT技术最大的优点是：节省了大量的IP资源

2.IPV4地址存在私有和公有的区别：

• 私有地址：本地唯一性，不能在互联网中通讯，无需付费使用；
• 公有地址：全球唯一性，可以在互联网中通讯，需要付费使用；

3.NAT的作用

• 数据包在内网与外网通讯时，对数据包的IP地址进行转换；
• 由内部到外部时修改源IP地址；由外部到内部时修改目标IP地址；

4.NAT的分类

• 静态NAT：一对一，多对多（地址间的映射关系为固定）
• 动态NAT：一对多，多对多（临时地址映射）

5.Cisco配置（边界路由器）

切记：cisco设备中无论配置何种nat，都需要在边界路由器上定义各个接口的方向；

r1(config)#interface fastEthernet 0/0
r1(config-if)#ip nat inside 
r1(config-if)#exit
r1(config)#interface fastEthernet 0/1
r1(config-if)#ip nat outside

（1）一对一：固定的将一个IP地址转换成另一个IP地址

r1(config)#ip nat inside source static 192.168.1.2    12.1.1.1
                                         内部本地       内部全局

（2）一对多（动态）：内部私有IP地址在NAT成为公有IP地址时，需要不同的源端口号，来形成唯一的临时映射关系临时映射需要内部流量先去往外部，被装换成记录，之后返回，映射刷新；因为需要修改流量的端口，故一对多又被称为PAT—端口地址转换

一个公有IP仅存在65535个端口，故一个时间节点最大一次转发65535个数据包，所以不能用于大型网络中；

定义多个内网地址
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r1(config)#ip nat inside source   list 1        interface fastEthernet 0/1    overload
                                                  内部本地   内部全局

inside 换源 outside 换目标

注：overload 携带该单词为动态nat，不携带为静态，但因为一对多只能为动态，故即使不配置该单词，设备也会自动在默认添加该单词；

（3）多对多（动、静态均可）：主要针对大型的局域网，同一时间大量数据包需要进入互联网；一个公有IP只能进行65535个数据包的转发，故同时提供多个公有IP；

①定义多个内网
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
②定义多个公网  202.100.1.10--20
r1(config)#ip nat pool test 202.100.1.10 	202.100.1.20 netmask 255.255.255.0
③配置NAT
r1(config)#ip nat inside source list 1 pool test overload

注：携带overload为动态，就是循环将私有ip转换不同公有ip的不同端口；相当于同时进行多个一对多；
不携带overload为静态，就是最先出来的一些私有ip，和各个公有ip形成一对一映射；

（4）端口映射（静态）

r1(config)#ip nat inside source static tcp 192.168.1.250 80 12.1.1.1 80
只有在外网访问12.1.1.1且目标端口为80时，才进行转换，转换为目标ip192.168.1.250，目标端口80

r1(config)#ip nat inside source static tcp 192.168.1.251 80 12.1.1.1 8888
只有在外网访问12.1.1.1且目标端口为8888时，才进行转换，转换为目标ip192.168.1.251，目标端口80

6.华为配置（边界路由器）

华为不需要在边界路由器上各个接口定义方向，但NAT还是在边界路由器上配置

（1）静态NAT （和cisco中一对一一致）

[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
                              公有             私有
[RTA]display nat static 

（2）动态NAT （和cisco的多对多相同）

[RTA]nat address-group 1 200.10.10.1 200.10.10.200     公有ip范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   私有ip范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0  在连接互联网的公有ip地址接口配置
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
                         私有               公有
[RTA]display nat address-group 1

切记：携带no-pat为静态多对多；不携带为动态多对多；

（3）easy nat和cisco中的一对多相同：PAT 端口地址转换

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255  私有
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0   该接口为公有ip地址所在接口；
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound 

（4）nat服务器：和cisco的端口映射相同

[RTA-GigabitEthernet0/0/1]interface Serial1/0/0  该接口为连接公网的接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080