企业连接互联网必用技术NAT-网络地址转换

知识改变命运，技术就是要分享，有问题随时联系，免费答疑，欢迎联系！ ​​​​​​​

 

• 随着Internet的发展和网络应用的增多，IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题，但目前众多的网络设备和网络应用仍是基于IPv4的，因此在IPv6广泛应用之前，一些过渡技术的使用是解决这个问题的主要技术手段。
• 网络地址转换技术NAT（Network Address Translation）主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时，通过NAT技术可以将其私网地址转换为公网地址，并且多个私网用户可以共用一个公网地址，这样既可保证网络互通，又节省了公网地址。

NAT应用场景

• 企业或家庭所使用的网络为私有网络，使用的是私有地址；运营商维护的网络为公共网络，使用的是公有地址。私有地址不能在公网中路由。
• NAT一般部署在连接内网和外网的网关设备上。
•  随着网络设备的数量不断增长，对IPv4地址的需求也不断增加，导致可用IPv4地址空间逐渐耗尽。解决IPv4地址枯竭问题的权宜之计是分配可重复使用的各类私网地址段给企业内部或家庭使用。但是，私有地址不能在公网中路由，即私网主机不能与公网通信，也不能通过公网与另外一个私网通信。
• NAT是将IP数据报文头部中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。NAT一般部署在连接内网和外网的网关设备上。当收到的报文源地址为私网地址、目的地址为公网地址时，NAT可以将源私网地址转换成一个公网地址。这样公网目的地就能够收到报文，并做出响应。此外，网关上还会创建一个NAT映射表，以便判断从公网收到的报文应该发往的私网目的地址。

静态NAT

•  静态NAT实现了私有地址和公有地址的一对一映射。
• 一个公网IP只会分配给唯一且固定的内网主机。
• NAT的实现方式有多种，适用于不同的场景。
• 静态NAT实现了私有地址和公有地址的一对一映射。如果希望一台主机优先使用某个关联地址，或者想要外部网络使用一个指定的公网地址访问内部服务器时，可以使用静态NAT。但是在大型网络中，这种一对一的IP地址映射无法缓解公用地址短缺的问题。
• 在本示例中，源地址为192.168.1.1的报文需要发往公网地址100.1.1.1。在网关RTA上配置了一个私网地址192.168.1.1到公网地址200.10.10.1的映射。当网关收到主机A发送的数据包后，会先将报文中的源地址192.168.1.1转换为200.10.10.1，然后转发报文到目的设备。目的设备回复的报文目的地址是200.10.10.1。当网关收到回复报文后，也会执行静态地址转换，将200.10.10.1转换成192.168.1.1，然后转发报文到主机A。和主机A在同一个网络中其他主机，如主机B，访问公网的过程也需要网关RTA做静态NAT转换。

 动态NAT

 

• 动态NAT基于地址池来实现私有地址和公有地址的转换。

• 动态NAT通过使用地址池来实现。

• 本示例中，当内部主机A和主机B需要与公网中的目的主机通信时，网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时，对应的地址映射将会被删除，公网地址也会被恢复到地址池中待用。当网关收到回复报文后，会根据之前的映射再次进行转换之后转发给对应主机。

• 动态NAT地址池中的地址用尽以后，只能等待被占用的公用IP被释放后，其他主机才能使用它来访问公网。

 NAPT-网络地址端口转换

•  网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口。
• 网络地址端口转换NAPT（Network Address Port Translation）允许多个内部地址映射到同一个公有地址的不同端口。
• 本例中，RTA收到一个私网主机发送的报文，源IP地址是192.168.1.1，源端口号是1025，目的IP地址是100.1.1.1，目的端口是80。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号，并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP地址和端口号与公网IP地址和端口号的映射关系。之后，RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843，并转发报文到公网。当网关RTA收到回复报文后，会根据之前的映射表再次进行转换之后转发给主机A。主机B同理。

Easy IP

•  Easy IP允许将多个内部地址映射到网关出接口地址上的不同端口。
• Easy IP适用于小规模局域网中的主机访问Internet的场景。小规模局域网通常部署在小型的网吧或者办公室中，这些地方内部主机不多，出接口可以通过拨号方式获取一个临时公网IP地址。Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。
• 本示例说明了Easy IP的实现过程。RTA收到一个主机A访问公网的请求报文，报文的源IP地址是192.168.1.1，源端口号是1025。RTA会建立Easy IP表项，这些表项指定了源IP地址和端口号与出接口的公网IP地址和端口号的映射关系。之后，根据匹配的Easy IP表项，将报文的源IP地址和端口号转换成出接口的IP地址和端口号，并转发报文到公网。报文的源IP地址转换成200.10.10.10/24，相应的端口号是2843。
• 路由器收到回复报文后，会根据报文的目的IP地址和端口号，查询Easy IP表项。路由器根据匹配的Easy IP表项，将报文的目的IP地址和端口号转换成私网主机的IP地址和端口号，并转发报文到主机。

NAT服务器 

•  通过配置NAT服务器,可以使外网用户访问内网服务器。
• NAT在使内网用户访问公网的同时，也屏蔽了公网用户访问私网主机的需求。当一个私网需要向公网用户提供Web和SFTP服务时，私网中的服务器必须随时可供公网用户访问。
• NAT服务器可以实现这个需求，但是需要配置服务器私网IP地址和端口号转换为公网IP地址和端口号并发布出去。路由器在收到一个公网主机的请求报文后，根据报文的目的IP地址和端口号查询地址转换表项。路由器根据匹配的地址转换表项，将报文的目的IP地址和端口号转换成私网IP地址和端口号，并转发报文到私网中的服务器。
• 本例中，主机C需要访问私网服务器，发送报文的目的IP地址是200.10.10.1，目的端口号是80。RTA收到此报文后会查找地址转换表项，并将目的IP地址转换成192.168.1.1，目的端口号保持不变。服务器收到报文后会进行响应，RTA收到私网服务器发来的响应报文后，根据报文的源IP地址192.168.1.1和端口号80查询地址转换表项。然后，路由器根据匹配的地址转换表项，将报文的源IP地址和端口号转换成公网IP地址200.10.10.1和端口号80，并转发报文到目的公网主机。

静态NAT配置

[RTA]interface GigabitEthernet0/0/1

[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24

[RTA-GigabitEthernet0/0/1]interface Serial1/0/0

[RTA-Serial1/0/0]ip address 200.10.10.2 24

[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1

[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2

•  nat static  global { global-address} inside {host-address } 命令用于创建静态NAT。

1. global 参数用于配置外部 公网 地址。

2. inside 参数用于配置内部 私有地址 。

配置验证

[RTA]display nat static

  Static Nat Information:

  Interface  : Serial1/0/0

    Global IP/Port     : 202.10.10.1/----

    Inside IP/Port     : 192.168.1.1/----

……

 Global IP/Port     : 202.10.10.2/----

    Inside IP/Port     : 192.168.1.2/----

……

  Total :    2

•  命令display nat static用于查看静态NAT的配置。
• Global IP/Port表示公网地址和服务端口号。
• Inside IP/Port表示私有地址和服务端口号。

 动态NAT配置

[RTA]nat address-group 1 200.10.10.1 200.10.10.200

[RTA]acl 2000

[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

[RTA-acl-basic-2000]quit

[RTA]interface serial1/0/0

[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat

•  nat outbound命令用来将一个访问控制列表ACL和一个地址池关联起来，表示ACL中规定的地址可以使用地址池进行地址转换。ACL用于指定一个规则，用来过滤特定流量。后续将会介绍有关ACL的详细信息。
• nat address-group命令用来配置NAT地址池。
• 本示例中使用nat outbound命令将ACL 2000与待转换的192.168.1.0/24网段的流量关联起来，并使用地址池1（address-group 1）中的地址进行地址转换。no-pat表示只转换数据报文的地址而不转换端口信息。

配置验证 

[RTA]display nat address-group 1

 NAT Address-Group Information:

 --------------------------------------

 Index   Start-address      End-address

 1       200.10.10.1        200.10.10.200

[RTA]display nat outbound

 NAT Outbound Information:

 ----------------------------------------------------------------

 Interface          Acl     Address-group/IP/Interface      Type

 ----------------------------------------------------------------

 Serial1/0/0       2000                        1         no-pat

 ----------------------------------------------------------------

  Total : 1

•  display nat address-group group-index命令用来查看NAT地址池配置信息。
• 命令display nat outbound用来查看动态NAT配置信息。
• 可以用这两条命令验证动态NAT的详细配置。在本示例中，指定接口Serial1/0/0与ACL关联在一起，并定义了用于地址转换的地址池1。参数no-pat说明没有进行端口地址转换。

Easy IP配置

[RTA]acl 2000

[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

[RTA-acl-basic-2000]quit

[RTA]interface serial1/0/0

[RTA-Serial1/0/0]nat outbound 2000

•  nat outbound acl-number命令用来配置Easy-IP地址转换。Easy IP的配置与动态NAT的配置类似，需要定义ACL和nat outbound命令，主要区别是Easy IP不需要配置地址池，所以nat outbound命令中不需要配置参数address-group。
• 在本示例中，命令nat outbound 2000表示对ACL 2000定义的地址段进行地址转换，并且直接使用Serial1/0/0接口的IP地址作为NAT转换后的地址。

 配置验证

[RTA]display nat outbound

 NAT Outbound Information:

 ---------------------------------------------------------------------

 Interface         Acl     Address-group/IP/Interface      Type

 ---------------------------------------------------------------------

 Serial1/0/0       2000      200.10.10.1                  easyip  

 ---------------------------------------------------------------------

  Total : 1

• 命令display nat outbound用于查看命令nat outbound的配置结果。
• Address-group/IP/Interface表项表明接口和ACL已经关联成功，type表项表明Easy IP已经配置成功。

 NAT服务器配置

[RTA]interface GigabitEthernet0/0/1

[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24

[RTA-GigabitEthernet0/0/1]interface Serial1/0/0

[RTA-Serial1/0/0]ip address 200.10.10.2 24

[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080

•  nat server [ protocol {protocol-number | icmp | tcp | udp} global { global-address | current-interface global-port} inside {host-address host-port } vpn-instance vpn-instance-name acl acl-number description description ]命令用来定义一个内部服务器的映射表，外部用户可以通过公网地址和端口来访问内部服务器。
• 参数protocol指定一个需要地址转换的协议；
• 参数global-address指定需要转换的公网地址；
• 参数inside指定内网服务器的地址。

配置验证 

[RTA]display nat server

  Nat Server Information:

  Interface  : Serial1/0/0

    Global IP/Port     : 202.10.10.1/80(www)

    Inside IP/Port     : 192.168.1.1/8080

    Protocol : 6(tcp)  

    VPN instance-name  : ----                           

    Acl number         : ----

    Description : ----

  Total :    1

• display nat server命令用于查看详细的NAT服务器配置结果。
• 可以通过此命令验证地址转换的接口、全局和内部IP地址以及关联的端口号。在本示例中，全局地址202.10.10.1和关联的端口号80（www）分别被转换成内部服务器地址192.168.1.1和端口号8080。

本章总结

问：哪种NAT转换允许服务器既能被内部访问又能被外部访问？

答：通过NAT内部服务器配置，将公网地址与一个私网服务器地址绑定，在地址转换后，外网主机便可以通过公有地址访问内网服务器。同时，私网地址用户可以通过服务器的私网地址访问内网服务器。

问：NAPT有什么功能和特点？

答：NAPT是基于端口的转换，而不是基于IP地址的转换。NAPT允许多个内部地址映射到同一个公有地址的不同端口。