nat原理和配置

产生背景：
随着网络规模的发展，上网设备的数量越来越多，每个设备都需要IP地址，
但是IP地址空间不足，同时还存在大量的IP地址浪费，所以我们推出“公有/私有”地址的解决方案。
但是，
公司内网主机一旦使用了私有地址，就无法实现访问公有网络。
所以，
我们需要在“公司边界设备”上，配置 NAT 技术。

NAT：network address translation
网络 地址 转换

-作用：
1.在节省公网IP地址的前提下，实现内网和外网的互相访问；
2.提高网络的安全性 (因为默认情况下，外网是无法直接访问内网的)

-本质
即，数据包从内网发向外网的时候， 将数据包的源IP地址，由私有地址转换为公有地址；
这种地址转换的动作是发生在“内网和外网的”的边界设备上，通常是：路由器或者是防火墙

-核心工作表：NAT表
该表中包含了用于专门“私有地址和公有地址”转换的那些对应条目

但是，
这些“NAT转换条目”有两种获得方式：
1.手动添加的，即“静态NAT”
[即这种静态NAT条目，永远存在于 NAT表中]
2.设备转发数据包以后，自动形成的，俗称“动态NAT”
[即这种动态NAT条目，如果在一段时间内不转发用户数据，则直接删除]
-类型：
*分类的标准
&基于NAT表中的转换条目是如何来的；
@静态NAT
&表示NAT转换表中的条目是人工手动而配置的；
&私有地址和公有地址是一对一的固定关系
&不节省公网IP地址
&配置命令：
interface gi0/0/1 [连接外网的接口]
nat static global 10.1.1.11 inside 200.1.1.111

@动态NAT
&表示NAT转换表中的条目是因为有数据通过，从而自动形成的；
&私有地址和公有地址是一对一的关系，但是对应关系不固定
&节省公网IP地址
&配置命令：
acl 2000
rule 10 permit source 10.1.1.0 0.0.0.255 -> 被该ACL匹配的都可以进行NAT，从而上网
nat address-group 1 200.1.1.1 200.1.1.10 ->专门用来进行地址转换的公网IP地址池
interface gi0/0/1
nat outbound 2000 address-group 1 no-pat
// 在 接口 gi0/0/1 发送数据的时候，对 ACL 2000 匹配的源IP地址发送的数据包
进行 NAT 转换，转换为 NAT 地址池 “1” 中的任意一个可用的公网IP地址；
存在的问题：
如果一个主机发送的数据包的数量非常大的话，那么就会导致“通信时断时续”。
华为设备进行 NAT 的时候，是针对每个数据包进行的；
即，即使是同一个源IP地址，不同的数据包，也会转换为不同的公网IP地址；

@PAT(port address translation)
&该类型的NAT也可以分为两种类型：
-动态的PAT
&表示NAT转换表中的条目是因为有数据通过，从而自动形成的；
&私有地址和公有地址是多对一的关系，
&节省公网IP地址
& napt
&配置命令：
interface gi0/0/1
nat outbound 2000 address-group 1 ->比动态NAT少了一个参数：no-pat
& EasyIP，是动态PAT中的一种：
即，在进行地址转换时，不使用NAT address-group，直接将私有源IP地址
转换为“连接外网接口的”公网IP地址；
配置命令如下：
interface gi0/0/1
nat outbound 2000
-静态PAT [通常是应用在：将公司内网服务器直接发布到公网上，即让外网用户访问]
&表示NAT转换表中的条目是提前手动配置好的
&私有地址和公有地址是多对一的关系，
&节省公网IP地址
&配置命令：
interface gi0/0/1
nat server protocol tcp global 200.1.1.11 80 inside 10.1.1.11 80
nat server protocol tcp global 200.1.1.11 21 inside 10.1.1.12 21

NAT的工作流程：

1.内网---->外网 [转换源IP地址: 私->公]
#首先查找路由表，
#其次查找NAT表；

2.外网—>内网 [转换目标IP地址: 公->私]
#首先查找NAT表，
#其次查找路由表；

====================================================
动态NAT
需求：
实现PC1/2访问Server-1
配置思路：
1.配置公司内网
*配置终端
PC-1:
10.1.1.1
255.255.255.0
10.1.1.254
PC-2:
10.1.1.2
255.255.255.0
10.1.1.254
*配置网络设备-SW
undo terminal monintor
system-view
sysname SW1
vlan 10
quit
port-group group-member gi0/0/1 to gi0/0/3
port link-type access
port default vlan 10
quit
*配置网络设备-R1
undo terminal monintor
system-view
sysname R1
interface gi0/0/0
ip address 10.1.1.254 24
quit
interface gi0/0/1
ip address 200.1.1.13 28
quit
ip route-static 0.0.0.0 0 200.1.1.14

2.配置运营商网络
*配置 server-1
210.1.1.1
255.255.255.0
210.1.1.254
*配置 R2
undo terminal monintor
system-view
sysname R2
interface gi0/0/0
ip address 210.1.1.254 24
quit
interface gi0/0/1
ip address 200.1.1.14 28
quit
3.配置 NAT
*在哪里配置-边界设备-R1-gi0/0/1
*如何配置
&私有地址-通过ACL
acl 2000
rule 10 permit source 10.1.1.0 0.0.0.255
&公有地址-通过NAT地址池
nat address-group 1 200.1.1.1 200.1.1.10
&通过NAT命令，将私有地址 和 公有地址结合
interface gi0/0/1
nat outbound 2000 address-group 1 no-pat
//表示在该端口上发送出去的时候，对ACL2000匹配的数据包
进行NAT转换，并且转换为 地址组 1 中的 公网IP地址
4.验证
PC-1 :
ping 210.1.1.1 ，成功；
PC-2 :
ping 210.1.1.1 ，成功；
或者：
直接在 R1 的 gi0/0/1 抓包查看源IP地址，
已经不是私有地址了，而是公网IP地址；