NAT地址转换的四种形式--思科与华为版

NAT:网络地址转换 （cisco篇）
在一台路由器上对进或出流量进行ip地址的修改；常用规则为从内部去往外部时修改源ip地址；从外部进入内部时修改目标ip地址；
静态nat – 地址间的映射关系为固定；
动态nat，临时地址映射；
流量从内部去往外部时，将内部本地地址修改为内部全局地址；从外部进入内部时，将内部全局地址修改为内部本地地址；

各接口配ip地址，在1上写指向isp的缺省
r1(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.2
1、一对一（静态） 在边界路由器上，生成一条固定的永久的映射记录；
r1(config)#ip nat inside source static 192.168.1.2 12.1.1.1
内部本地（私有） 内部全局（公有）
定义接口方向q
q记：cisco设备中无论配置何种nat，都需要在边界路由器上定义各个接口的方向
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip nat inside
r1(config-if)#exit
r1(config)#interface fastEthernet 0/1
r1(config-if)#ip nat outside
查看映射关系 ----r1#show ip nat translations
2、一对多（动态）内部私有ip地址在nat成为同一个公有ip地址时，需要不同的源端口号，来形成唯一的临时映射关系；临时映射—需要内部流量先去往外部，被转换记录，之后返回，映射刷新；因为需要修改流量的端口，故一对多又被称为PAT-端口地址转换 一个公有ip，仅存在65535个端口，故一个时间节点最大一次转发65535个数据包，所有不能在大型网络中使用；
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r1(config)#ip nat inside source list 1 interface f 0/1 overload–加了为动态，不加为静态
overload 携带该单词为动态nat，不携带为静态，但因为一对多只能为动态，故即使不配置该单词，设备也会自动在默认添加该单词

 扩展：一对一与一对多的结合应用：
情况一、当内网存在一个网站服务器，内网可随意访问该网站，但外网无法访问（原因：在一对多的基础上，内网任意网段都可变为12.1.1.0网段，因此外网通过12.1.1.0网段访问该网站时并非固定的与该网站一对一，这样就不知道外网访问的到底是该网站还是其他内网pc）因此设置一个悬浮ip12.1.1.3，在一对多的基础上，利用悬浮ip做外网可访问内网的一对一nat，这样R1上就有两个nat，外网既可以访问内网网站，也不影响内网访问外网。
情况二、不设置悬浮ip，通过设置固定端口来达到外网可访问内网网站的目的。
端口映射-静态：r1(config)# ip nat inside source static tcp 192.168.1.250 80 24.1.1.1 80只有在外网访问24.1.1.1且目标端口为80时，才进行转换，转换为目标ip192.168.1.250，目标端口80有多个网站服务器时，可改变端口号，在pc上访问网站时手动加另一台的端口号；r1(config)#ip nat inside source static tcp 192.168.1.251 80 12.1.1.1 8888只有在外网访问12.1.1.1且目标端口为8888时，才进行转换，转换为目标ip192.168.1.251，目标端口80

3、多对多（动、静态均可） 主要针对大型的局域网，同一时间大量数据包需要进入互联网；一个公有ip，只能进行65535转发，故同时提供多个公有ip；
r1(config)#ip nat pool a 12.1.1.3 12.1.1.10 netmask 255.255.255.0 公有地址范围
r1(config)#access-list 2 permit 192.168.0.0 0.0.255.255 私有地址范围
r1(config)#ip nat inside source list 2 pool a overload 将私有转换为公有overload Overload an address translation
携带overload为动态，就是循环将私有ip转换不同公有ip的不同端口；相当于同时进行多个一对多；不携带overload为静态，就是最先出来的一些私有ip，和各个公有ip形成一对一映射
华为NAT

【2】华为—不需要在边界路由器上各个接口定义方向的，但nat还是在边界路由器上配置
1、 静态nat – 和cisco中的一对一一致
[Huawei]ip route-static 0.0.0.0 0 24.1.1.2
[Huawei]interface g0/0/0 该接口为公有ip地址所在接口；
[Huawei-GigabitEthernet0/0/0]nat static global 24.1.1.10 inside 192.168.1.3
[Huawei-GigabitEthernet0/0/0]nat static global 24.1.1.11 inside 192.168.1.3 公有（外网） 私有（内网） ----与思科相反
[RTA]display nat static ----查看

2、动态nat – 和cisco的多对多相同
[RTA]nat address-group 1 200.10.10.1 200.10.10.200 公有ip范围[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有ip范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 在连接互联网的公有ip地址接口配置
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
私有 公有
切记：携带no-pat为静态多对多；不携带为动态多对多；[RTA]display nat address-group 1 ----查看
3、easy nat和cisco中的一对多相同：
PAT 端口地址转换–pc2与pc3都能ping通1.1.1.2
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有
[RTA-acl-basic-2000]qui
t[RTA]interface serial1/0/0 该接口为公有ip地址所在接口；
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound
4、nat服务器：和cisco的端口映射相同
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0 该接口为连接公网的接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080