HCIA-9.NAT网络地址转换

NAT∶网络地址转换一IPV4地址=ABCDE 5种分类

其中 ABC三类为单播地址—既可以作为源 ip 地址，也可以作为目标 ip地址;

---

在 ABC 地址中还存在私有和公有 ip地址的区分∶

公有 ip地址∶具有全球唯一性，可以在互联网中通讯使用，需要付费；

私有 ip地址∶具有本地的唯一性，不能在互联网中通讯，无需付费一；

私有 ip地址∶

10.0.0.0/8     172.16.0.0/16-172.31.0.0/16     192.168.0.0/24-192.168.255.0/24

---

一、NAT∶网络地址转换（cisco篇）

在一台路由器上对进或出流量进行 ip 地址的修改; 常用规则为从内部去往外部时修改源 ip 地址 ; 从外部进入内部时修改目标 ip 地址;

静态 nat --地址间的映射关系为固定;动态 nat，临时地址映射;

流量从内部去往外部时，将内部本地地址修改为内部全局地址; 从外部进入内部时，将内部全局地址修改为内部本地地址;

1、一对一（静态）   

在边界路由器上，生成一条固定的永久的映射记录;

r1(config)#ip nat inside source static 192.168.1.2      12.1.1.1

                                                            内部本地            内部全局

---

2、—对多（动态）

内部私有ip 地址在 nat 成为同一个公有 ip 地址时，需要不同的源端口号，来形成唯一的临时映射关系;临时映射—需要内部流量先去往外部，被转换记录，之后返回，映射刷新;  因为需要修改流量的端口，故一对多又被称为  PAT-端口地址转换        一个公有 ip，仅存在 65535个端口，故一个时间节点最大一次转发 65535个数据包，所有不能在大型网络中使用;

r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255

r1(config)#ip nat inside source list 1     interface fastEthernet 0/1 overload

                                              内部本地       内部全局

overload      携带该单词为动态 nat，不携带为静态，但因为一对多只能为动态，故即使不配置该单词，设备也会自动在默认添加该单词;

---

3、多对多（动、静态均可）

主要针对大型的局域网，同一时间大量数据包需要进入互联网;一个公有 ip只能进行65535转发，故同时提供多个公有 ip;

rl（config）#ip nat pool a 12.1.1.3 12.1.1.10 netmask 255.255.255.0 公有地址范围

rl（config）#access-list 2 permit 192.168.0.0 0.0.255.255                   私有地址范围

rl  (config)#ip nat inside source list 2 pool a ?

overload Overload an address translation

<cr>

携带overload 为动态，就是循环将私有 ip 转换不同公有ip 的不同端口;相当于同时进行多个—对多;会不携带overload 为静态，就是最先出来的一些私有 ip，和各个公有 ip形成一对一映射;

---

4、端口映射（静态）

r1(config)#ip nat inside source static tcp 192.168.1.250   80    12.1.1.1   80

只有在外网访问12.1.1.1且目标端口为 80 时，才进行转换，转换为目标ip192.168.1.250.目标端口 80

r1(config)#ip nat inside source static tcp 192.168.1.251 80 12.1.1.1 8888

只有在外网访问12.1.11且目标端口为 8888时，才进行转换，转换为目标ip192.168.1.251.目标端口80

切记∶cisco 设备中无论配置何种 nat，都需要在边界路由器上定义各个接口的方向;

r1(config)finterface fastEthernet 0/0

r1(config-if#ip nat inside

r1(config-if)#exite

r1(config)#interface fastEthernet 0/1

r1(config-if)#ip nat outside

---

二、NAT∶网络地址转换（华为篇）

华为不需要在边界路由器上各个接口定义方向的，但nat还是在边界路由器上配置

1、静态 nat --   和 cisco中的一对一 一致

[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1

[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2

                                                                   公有               私有                     

[RTA]display nat static 

---

2、动态 nat -和 cisco 的多对多相同

[RTA]nat address-group 1 200.10.10.1 200.10.10.200    公有 ip范围

[RTA]acl 2000

[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   私有 ip 范围

[RTA-acl-basic-2000]quite

[RTA]interface serial1/0/0 在连接互联网的公有 ip地址接口配置

[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pate

                                           私有                      公有

切记∶携带 no-pat 为静态多对多;不携带为动态多对多;

[RTA]display nat address-group 1

---

3、easy nat 和 cisco 中的一对多相同∶PAT 端口地址转换

[RTA]acl 2000

[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有

[RTA-acl-basic-2000]quite

[RTA]interface serial1/0/0 该接口为公有 ip地址所在接口;

[RTA-Serial1/0/O]nat outbound 2000

[RTA]display nat outbound

---

4、nat服务器∶和 cisco 的端口映射相同

[RTA-GigabitEthernet0/0/1]interface Serial1/0/0     该接口为连接公网的接口

[RTA-Serial1/0/0]ip address 200.10.10.2 24

[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1  8080

特殊情况：

[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.100 80

Warning:The port 80 is welL-known port. If you continue it may cause function failure. Are you sure to continue?[Y/N]:Y

---

动态NAT

静态NAT

1.一对一（静态nat）固定将一个ip地址转换为另一个ip

192.168.1.2   12.1.1.1

生命值 （ttl）255 128 64   

2.一对多  （动态nat）  （PAT-端口地址转换）

3.多对多