NAT——网络地址转换

 一、基础知识

公有IP---全球唯一  可以在互联网中使用---付费使用

私有IP---本地唯一  不可以在互联网中使用---免费使用

A类私有地址：10.0.0.0------10.255.255.255

B类私有地址：172.16.0.0-----172.31.255.255

C类私有地址：192.168.0.0------192.168.255.255

NAT：网络地址转换，在边界路由器上，进行公有地址和私有地址之间的转换。

NAT的分类：静态NAT  动态NAT  NAPT  端口映射

我们华为设备的NAT配置 一律默认在边界路由器的出接口上。

二、静态NAT

通过配置在我们私网边界路由器上建立维护一张 静态地址映射表 ，这张表反应了公有IP和私有IP之间一一对应的关系。

当内网的数据包来到边界路由器上，会先检查其目的地是不是公网IP，如果是，就会根据静态地址映射表上的映射关系查找该源IP所对应的公网IP。如果有记录，则将发往公网的数据包的源IP改为对应的公网IP。

[R2]interface g 0/0/1 进入边界路由器的出接口

[R2-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.2   将公网IP 12.1.1.3映射为私网IP 192.168.1.2  

[R2]display nat static  查询静态映射表

 

三、动态NAT

动态NAT和静态NAT最大的区别在于地址映射表的内容是可以变化的，动态NAT不再是一一对应的关系而是实现多对多的转换。

NAPT---端口地址转化  ---PAT

为解决动态NAT同一时间一个公网IP只能对一一个私网IP的问题，在边界路由器上再维护一张源端口号和地址映射关系表；因为端口号的取值范围为1-65535，即65535个，所以NAPT同时支持通过的数据包数量即为65535个，这就形成了一对多的NAPT，在华为系统中，称这种一对多的NAPT叫做----EASY IP 。当上网需求非常大时，一个公网IP就可能不够使用，我们也可以使用多个公网IP。这样就形成了65535的倍数增长，也就形成了多对多的NAPT。

EASY IP：

[R2-acl-basic-2000]rule permit  source 192.168.0.0 0.0.255.255 

将192.168.0.0 0.0.255.255的IP地址全部定义为感兴趣流量

[R2-GigabitEthernet0/0/1]nat outbound 2000  在该接口的出的方向上地址转化所有 acl2000内的流量

多对多：

首先 创建公网地址池

[R2]nat address-group 1 12.1.1.3 12.1.1.10  创建公网地址池，编号为1，范围为 12.1.1.3 到 12.1.1.10

配置ACL抓捕流量

[R2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255   抓捕内网流量  

[R2]interface g 0/0/1  进入外网接口

[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  将acl2000定义的感兴趣流量 交给 1号公网地址池  进行nat转换

加 no-pat 静态多对多===多个一对一

不加 no-pat  动态多对多  ===  多个一对多  

端口映射：

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80

将该接口 服务器tcp协议的80端口 映射为 192.168.1.10 这个IP地址的 80 端口

[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80   将该接口  服务器TCP协议的8080端口  映射为 192.168.1.20这个IP地址的80端口