1、NAT的含义

实现网络地址转换(Network Adress Translation)，本质上是将IP数据报文头中的源IP地址转换成另一个IP地址的过程。

2、目的

节约公网IPv4地址，实现内部网络访问外部网络的功能。当内网主机访问外网时，通过NAT可以将私网转换成公网地址，多个私网用户共用一个公网地址访问外部网络。

通常情况下，NAT技术只适合私网方面向公网方面发送通信的场景，反之则不行。

3、公网和私网

私网IP地址

A类：10.0.0.0~10.255.255.255.

B类:172.16.0.0~172.31.255.255

C类:192.168.0.0~192.168.255.255

公网中不能有私网IP地址，公网中的所有网络设备的网络接口必须使用公网IP，公网中出现的IP报文，目的IP地址和源IP地址必须是公网IP地址，而且在公网中必须保证IP地址的唯一性。IPv4地址的长度是32位，包含了大约43亿个地址，已经分配完毕。

4、NAT的好处

NAT可以有效缓解IP地址枯竭，通过地址重用来满足IP地址的需求，有三点好处：

缓解IPv4地址枯竭的问题；避免外网攻击，一定程度上提高了网络安全性；控制内网访问外网，也可以控制外网主机访问内网，解决了内外网互通的问题。

5、NAT原理概述

NAT是将IP数据报文头中的IP地址转换成另一个IP地址的过程，常见的模式有：

5.1 Basic NAT

静态NAT，私网地址和公网地址一对一，只进行IP地址转换，不处理TCP/UDP协议的端口号，这种方式不常用。

实现过程：

Router收到内网侧Host发送的访问公网侧Server的报文，其源IP地址为10.1.1.100；Router从地址池中选取一个空闲的公网IP地址，建立与内网侧报文源IP地址间的NAT转换表项（正反向），并依据查找正向NAT表项的结果将报文转换后向公网侧发送，其源IP地址是162.105.178.65，目的IP地址是211.100.7.34；Router收到公网侧的回应报文后，根据其目的IP地址查找反向NAT表项，并依据查表结果将报文转换后向私网侧发送，其源IP地址是2.2.2.2，目的IP地址是10.1.1.100。

5.2、NAPT（Network Adress Port Translation)

网络地址端口转换，允许多个内部地址映射到同一个公网地址，实现“多对一地址转换”，通过“IP地址+端口号"的形式进行转换。

实现过程：

Router收到内网侧Host发送的访问公网侧Server的报文。比如收到Host A报文的源地址是10.1.1.100，端口号1025；Router从地址池中选取一对空闲的“公网IP地址＋端口号”，建立与内网侧报文“源IP地址＋源端口号”间的NAPT转换表项（正反向），并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.105.178.65，端口号16384；Router收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向NAPT表项，并依据查表结果将报文转换后向私网侧发送。比如Server回应Host A的报文经Router转换后，目的地址为10.1.1.100，端口号1025。

6、NAT实现

Basic NAT实现了一对一的地址转换，NAPT实现了多对一的地址转换。NAT的实现主要包括：Easy IP、地址池NAT、NAT Server和静态NAT/NAPT。

6.1 Easy IP

利用访问控制列表控制哪些地址可以实现地址转换，适合小型局域网访问internet的情况。

处理过程

Router收到内网侧主机发送的访问公网侧服务器的报文。Router利用公网侧接口的“公网IP地址＋端口号”，建立与内网侧报文“源IP地址＋源端口号”间的Easy IP转换表项（正反向），并依据查找正向Easy IP表项的结果将报文转换后向公网侧发送。Router收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向Easy IP表项，并依据查表结果将报文转换后向内网侧发送。

6.2 NAT Server

NAT具有”屏蔽“内部主机的作用，如果内网需要对外提供服务，比如www服务、ftp服务，可以通过NAT Server（端口映射）的方式解决这个问题。在NAT Server事先配置好”公网IP+端口“与”私网IP+端口“之间的映射关系，将服务器的"公网IP+端口号"根据映射关系替换成对应的"私网IP+端口"。

实现过程

Router收到公网用户发起的访问请求，设备根据该请求的“目的IP+端口号”查找NAT Server转换表项，找出对应的“私网IP+端口号”，然后用查找结果替换报文的“目的IP+端口号”；Router收到内网服务器的回应报文后，根据该回应报文的“源IP地址＋源端口号”查找NAT Server转换表项，找出对应的“公网IP+端口号”，然后用查找结果替换报文的“源IP地址＋源端口号”。

6.3 静态NAT和NAPT

静态NAT，内部主机与公网IP一一对应。

静态NAPT，内网主机的”IP地址+协议号+端口号"与“公网IP+协议号+端口号"一一对应。

静态NAT和静态NAPT，可以实现内网主机和外网的相互访问，外部直接访问对应的内网主机。

6.4 其它

NAT ALG：NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息转换，对于一些特殊的应用，比如FTP，数据部分可能包含IP地址信息或者端口信息，这些内容不能被NAT有效转换，就需要用到NAT的应用层网关ALG（application level gateway）功能，对应用层协议进行NAT转换；DNS Maping：私网用于通过域名访问位于私网的内部服务器；NAT关联VPN：包括VPN关联源NAT、VPN关联NAT Server、两次NAT。

7、NAT的配置

7.1 动态地址转换

实现内网主机使用内网IP地址访问外网主机，即实现内网用户访问外网。

配置步骤

配置地址转换的ACL规则，rule配置为permit；配置出接口的地址关联，有两种情况：

带地址池的NAT Outbound:

执行命令nat address-group group-index start-address end-address，配置公网地址池。执行命令interface interface-type interface-number [ .subnumber ]，进入接口或子接口视图。执行命令nat outbound acl-number address-group group-index [ no-pat ]，配置带地址池的NAT Outbound。

不带地址池的easy ip，使用nat设备出接口IP地址完成NAT：

执行命令interface interface-type interface-number [ .subnumber ]，进入接口或子接口视图。执行命令nat outbound acl-number [ interface interface-type interface-number [ .subnumber ] ] [ vrrp vrrpid ]，配置Easy IP。

7.2 配置静态地址转换

实现内网重要主机IP使用固定的公网IP地址访问外网。

可以在接口视图或者全局视图下配置，通常在接口下配置

7.3 配置内部服务器

实现外网用户访问内部服务器。

进入接口后，使用nat server命令。

8、配置案例

8.1 实验拓扑

R2模拟外部网络，R1为内网路由器，内网通过NAT的方式访问外网。

8.2 相关信息

PC1：192.168.10.1/24，网关：192.168.10.254，属于VLAN10

PC2：192.168.20.1/24，网关：192.168.20.254，属于VLAN20

互联地址：

SW G0/0/1：20.0.0.1/30 <-> R1 G0/0/1：20.0.0.2/30

R1 G0/0/0：30.0.0.1/30 <-> R2 G0/0/0：30.0.0.2/30

SW和R1之间通过OSPF相连。

8.3 实验内容

基础配置

实现内网的互联互通，以及网络设备互联地址的配置。

内网交换机SW，开启了telnet远程访问功能。

R1的配置，SW和R1之间通过OSPF协议互联

R2的配置

用于模拟外网环境

1）静态NAT的配置

静态NAT，私网IP地址与公网IP一一对应，不进行端口复用，不能节省IP地址，通常用于对外为服务器。

已知：公网地址202.106.1.1/32、202.106.1.2/32。

R1的配置

在R1的接口G0/0/0配置静态NAT

R2的配置

配置回程路由

配置成功之后，PC1和PC2就可以与外网通信了。

PC1

在R2上抓包分析，可以看到源IP变成了202.106.1.1。

2）动态NAT

动态NAT在出口路由器中做了一个地址池，内网PC访问外网时，从地址池内获取一个公网IP，既可以选择端口复用，也可以禁止端口复用（no-pat)。

已知公网IP：202.106.1.0/24

R1的配置

首先配置公网地址池，然后配置acl，最后在接口应用nat outbound，并且配置no-pat，不进行端口转换，也就是公网IP地址不可复用。

R2配置回程路由

3）NAPT的配置

NATP，公网IP可以反复使用，所有主机都可以通过它来访问外网。

已知：有一个公网IP地址202.106.1.1/32。

R1的配置

R2的配置

配置回程路由

PC1的访问外网，以及在R2上的抓包分析

如果没有公网地址，只有一个外网网口G0/0/0的IP：30.0.0.1

R1的配置

端口映射

R1的配置

在R2上远程连接SW交换机