NAT网络地址转换三种模式及配置案列

一、NAT产生背景

1、为了解决IPV4地址不够用、节省IP公网地址做到不浪费，企业内部网络则选择在内部使用私有地址进行通讯。

2、企业内网要与internet互联网中的其他区域公司及不通集团通讯则必须拥有公有IP地址。才能进入互联网进行通信。

3、因为各个企业不同所使用的私网地址也就不同那么如何进行通信？

4、这时候NAT就出现在网络中发生了巨大的作用。解决了因私网地址不同而无法通信的问题。

二、什么是NAT

       NAT网络术语（网络地址转换）英文全称为Network Address Translation、当企业内部员工从网络设备获取到IP地址进行通信时只能在自己的企业中通信、无法与互联网上的其他设备进行通信、如访问百度等操作是无法实现的这时又想和因特网上的主机通信（并不需要加密）时，可使用NAT技术。

          这种技术需要在专用网（私网IP）连接到因特网（公网IP）的路由器、防火墙、三层交换机上配置NAT策略。前提是以上设备具有NAT功能并且至少有一个有效的外部全球IP地址（公网IP地址）。这样，所有使用本地地址（私网IP地址）的主机在和外界通信时，都要在NAT路由器上将本地地址转换成全球公网IP地址，才能和因特网连接。实现不同企业间的通信、国家与国家之间的互联网通信。

三、NAT的三种模式

1、静态NAT（Static Nat）配置案列

1、配置内网路由接口IP地址

[SR1]interface g0/0/0                                             进接口
[SR1-GigabitEthernet0/0/0]ip add 10.10.10.2 8     配置IP地址地址

[SR1]interface g0/0/1
[SR1-GigabitEthernet0/0/1]ip address 192.168.1.254 24

2、在未配置NAT的情况下使用PC1访问互联网、通过ping测试无法连接

2、在路由器外网接口配静态NAT

[SR1]interface g0/0/0                                     进入外网接口
[SR1-GigabitEthernet0/0/0]nat static global 10.10.10.3 inside 192.168.1.1   

 配置将内网IP：192.168.1.1转换为外网IP：10.10.10.3

[SR1-GigabitEthernet0/0/0]nat static global 10.10.10.4 inside 1 

配置将内网IP：192.168.1.2转换为外网IP：10.10.10.4

3、使用PC机访问外网地址

4、通过抓包工具查看转换状态

1、内网接口状态：

当内网经过内网接口发起请求状态是192.168.1.1内网主机发起访问请求10.10.10.1外网地址

2、当经过路由器外网接口时则进行了地址转换

        将我们配置的：nat static global 10.10.10.3 inside 192.168.1.1   成功应用到了外网接口并且做到了将内网192.168.1.1转换为外网地址10.10.10.3去访问互联网

查看nat列表可以看到nat地址转换对应第IP地址。

5、总结：

           静态NAT需要内部每台电脑一对一转换成公有IP地址，是固定不变得。相当于每一台电脑都绑定了一个ip地址，即使这个地址没有被使用，其他的电脑也不能拿来转换使用。这就造成了公网地址的严重浪费、在企业当中使用的比较少。

2、动态NAT配置案列

1、概述：

          是指多个私网IP地址对应多个公网IP地址并且基于地址池进行一对一映射。内网IP转换为公有IP地址时，是动态的，不是固定的，随机分配。只要在这个IP资源池内，都可以随机使用。

1、配置命令概述：

端口IP配置方式不在讲述

[SR1]nat address-group 1 10.10.10.10 10.10.10.11   在路由器中定义公网地址池的公网IP范围10-11共两个可用IP、地址池名称为1 。

定义ACL访问控制

[SR1]acl 2000    
[SR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255    允许192.168.1.0的网段进行端口转换访问外网通过。

[SR1-acl-basic-2000]interf g0/0/0                       进入外网端口
[SR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat      

将ACL2000匹配的网段转换nat地址池的IP地址作为源地址(no pat不做端口转换，只做IP地址转换，默认为pat )

在访问外网时可以看到原地址192.168.1.1网段转换为10.10.10.10地址进行访问外网了。

通过查看可以看到当前配置的nat地址池、可用的公网地址池使用范围。

2、总结：

动态NAT采用谁用谁转换的的方式进行转换、在使用动态NAT时还是存在公网地址不够用的状态、因为主机的使用数量一旦超过NAT公网地址池的数量、其他主机将无法上网只能等待其他主机不需要上网将公网地址空余出来才可以正常使用。

3、NAT的PAT端口多路复用（OverLoad）    

        PAT的基本原理是将不同私网地址的报文的源IP地址转换为同一个公网IP地址并采用改变访问外网的数据包的源端口、进行端口转换，也就是内部电脑都可以使用一个合法的IP地址实现对因特网的访问，只是改变了访问时数据包的端口号。这样可以节省大量的IP资源。目前企业中使用最多的就是这种方式。

 1、配置命令：

[SR1]nat address-group 2 10.10.10.5 10.10.10.5   在路由器中定义公网地址池的公网IP范围共1个可用IP、地址池名称为2。

定义ACL访问控制

[SR1]acl 2000    
[SR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255    允许192.168.1.0的网段进行端口转换访问外网通过。

[SR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 2 在外网接口上应用nat的转换地址

ping通测试多台设备能同时访问公网地址。端口发生变化。

2、nat-EasyIP

是针对于多个私网IP地址对应外网接口的公网IP地址进行转换。

配置NAT转换端口的IP地址

1、配置路由接口IP地址.

2、配置nat转地址范围

[R1]nat address-group 2 10.10.10.2 10.10.10.2

[R1]dis nat address-group      查看转换地址可用地址

 NAT Address-Group Information:
 --------------------------------------
 Index   Start-address      End-address
 --------------------------------------
 2          10.10.10.2       10.10.10.2
 --------------------------------------
  Total : 1

3、配置ACL转换条目

分别要对内部网络地址进行转换和服务器地址进行转换

[R1]acl 3000
[R1-acl-adv-3000]di th 
[V200R003C00]
#
acl number 3000  
 rule 5 permit ip source 192.168.1.0 0.0.0.255 
 rule 10 permit ip source 1.0.0.0 0.255.255.255 
#
return
[R1-acl-adv-3000]

4、在外网接口应用

[R1]interface g0/0/0
[R1-GigabitEthernet0/0/0]di th 
[V200R003C00]
#
interface GigabitEthernet0/0/0
 ip address 10.10.10.2 255.0.0.0 
 nat outbound 3000
#

5、通过ping测试查看是否进行了地址转换

6、通过抓包分析地址进行了外网端口的转换

7、通过查看nat转换条目可以看到那些地址访问时进行了转换

4、配置NAT-sever实现外网用户访问内部服务器

1、配置命令概述

      三层交换机配置

[Huawei]vlan batch 5 10 20   创建vlan

[Huawei]interface vlan 5
[Huawei-Vlanif5]ip add 192.168.1.2 24
[Huawei-Vlanif5]qu

[Huawei]interf vlan 10
[Huawei-Vlanif10]ip add 192.168.10.1 24
[Huawei-Vlanif10]qu

[Huawei]interf vlan 20 
[Huawei-Vlanif20]ip add 102.168.30.1 24
[Huawei-Vlanif20]qu

[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 20

[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 5

[Huawei]interface g0/0/3
[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]port default vlan 10

配置一条内部默认路由

[Huawei]ip route-static 0.0.0.0 0.0.0.0 192.168.1.1

核心路由器配置

内部接口IP

[R3N]interface g0/0/0
[R3N-GigabitEthernet0/0/0]ip add 192.168.1.1 24

外部接口IP

[R3N]interface g0/0/1
[R3N-GigabitEthernet0/0/1]ip add 1.1.1.1 24

配置内部默认路由

[R3N]ip route-static 102.103.20.0 24 192.168.1.2
[R3N]ip route-static 102.103.10.0 24 192.168.1.2

外部访问内部的默认路由

[R3N]ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

外部接口配置NAT-server转换地址

[R3N]interface g0/0/1

[R3N-GigabitEthernet0/0/1]nat server protocol tcp global 134.125.11.10 www insid
e 102.103.20.100 www

公网路由器

[Huawei]interface g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 1.1.1.2 24

[Huawei]interface g0/0/1
[Huawei-GigabitEthernet0/0/1]ip address 5.5.5.1 24

[Huawei]ip route-static 134.125.11.10 24 1.1.1.1

5、实现内部用户访问外部用户并在内网路由出接口做地址端口转换。

可以直接在内部路由器上配置NAT策略和ACL策略。

ACL策略：

[R1N]acl 3000
[R1N-acl-adv-3000]rule permit ip source 192.168.10.0 0.0.0.255  允许192.168.10.0的网段在访问外部网络时进行地址转换。

在外网路由接口应用nat转换条件

[R1N]interface g0/0/1

[R1N-GigabitEthernet0/0/1]nat outbound 3000

使用内部PC1访问外部网络用户正常通信

通过抓包工具分析地址进行了转换

结果验证

实验完成。