HCIA NAT详解

目录

一、为什么出现了NAT？

二、IPV4地址 ----- 公私有地址

三、NAT定义

四、NAT分类

        1、静态NAT

        2、动态NAT

        3、PAT（port address Translation,端口地址转换，端口地址复用）

五、配置命令

1、静态NAT（一对一）

2、动态NAT（一对多）

3、端口映射

4、多对多  

---

一、为什么出现了NAT？

        IP地址只有32位，最多只有42.9亿个地址，再去掉保留地址、组播地址，能用的地址只有36亿左右，但当下有数以万亿的主机，没有这么多IP地址怎么办，虽然后面有了IPv6，但当下IPv4还是主流，如何利用IPv4怎么满足这么多主机的IP地址呢？

        答案就是NAT，NAT技术使公司、机构以及个人产生以及局域网，然后在各个局域网的边界WAN端口使用一个或多个公网的IPv4进行一对多转换

二、IPV4地址 ----- 公私有地址

在IPV4地址中，还存在私有ip地址与公有ip地址的区分：

        公有地址：具有全球唯一性，可以在互联网中通讯，需要付费使用

        私有地址：具有本地唯一性，不能在互联网中通讯，无需付费使用

       RFC1918规定了三块专有的地址，作为私有的内部组网使用：     

                A类：        10.0.0.0/8   

                B类：        172.16.0.0/16-172.31.0.0/16      

                C类：        192.168.0.0/24-192.168.255.0/24

三、NAT定义

         NAT（Network Address Translation）即网络地址转换 —— 在网络的边界路由器上进行公有与私有ip地址间转换       
        NAT是将私有IP地址通过边界路由转换成外网IP地址，在边界路由的NAT地址转换表记录下这个转换映射记录，当外部数据返回时，路由使用NAT技术查询NAT转换表，再将目标地址替换成内网用户IP地址。

        从内网（内部）向外网（外部）传输数据包时修改源ip地址，从外部进入内部时修改目标ip地址；

四、NAT分类

        1、静态NAT

        2、动态NAT

        3、PAT（port address Translation,端口地址转换，端口地址复用）

                一对一（静）     一对多（动）      多对多（可动可静）      端口映射

一对多的缺点：用户数量有限，导致排队，延时；外部不能访问内部服务器

五、配置命令

1、静态NAT（一对一）

        标准的一种静态nat，固定将一个ip地址转换为另一个ip地址

        在边界路由器上连接外部的接口进行配置，华为要求一多一的公有ip地址，不能为外部接口上实际配置的ip地址；

        [r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.2

        公有ip地址12.1.1.3与私有ip地址192.168.1.2 进行静态转换

2、动态NAT（一对多）

        将多个私有IP地址转化为同一个公有IP地址，基于端口号进行区分；故又被称为PAT-端口地址转换；属于一种动态的nat;

        缺点：1ms内最多同时进行65535个数据包的地址转换，超过该数据包量需要排队增加延时

        由于一对多是内部多个IP地址与外部的一个IP产生临时的映射关系，故只能内部向外进行数据请求后，产生映射记录，才能让外部服务端基于该记录进行应答（内部的服务器无法为外部的设备提供服务）

 

3、端口映射

        属于静态nat;仅用于一个ip地址的一个固定端口与另一个ip地址的一个固定端口进行地址转换

        当外部访问本地G0/0/2的ip地址，且目标端口号为80时，将目标ip地址转换为192.168.1.2的80端口；

        [AR1]acl 2000

        [AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

        [AR1]int g0/0/1        

        [AR1-GigabitEthernet0/0/1]nat outbound 2000

        [r2-GigabitEthernet0/0/2]nat static protocol tcp global current-interface 80 inside 192.168.1.2 80

        Warning:The port 80 is well-known port. If you continue it may cause function failure.

        Are you sure to continue?[Y/N]:y

        [r2-GigabitEthernet0/0/2]nat static protocol tcp global current-interface 8888 inside 192.168.1.3 80

        当外部设备访问g0/0/2的接口ip地址时，且目标端口号8888，那么将被转换为192.168.1.3的80端口；

 

4、多对多  

        将多个私有ip地址转换为多个公有ip地址

        先使用ACL定义私有ip地址范围

                [r2]acl 2005   

                [r2-acl-basic-2005]rule permit source 172.16.0.0 0.0.255.255

                [r2-acl-basic-2005]q

        再设定公有ip地址范围

                [r2]nat address-group 1 12.1.1.3 12.1.1.10     从12.1.1.3到10

        最后到边界路由器上，连接外网的接口上进行多对多的配置；

                [r2-GigabitEthernet0/0/2]nat outbound 2005 address-group  1  

        注：以上的配置命令，实现的效果为，172.16.0.0 0.0.255.255范围内所有的私有ip地址进入边界路由器，向外部访问时，将以65535个端口为批次循环使用12.1.1.3到12.1.1.10的所有公有ip地址；

        实则为同时多个一对多；

        若在命令的尾部添加no-pat指令，多对多将从动态nat变成静态nat

                [r2-GigabitEthernet0/0/2]nat outbound 2005 address-group  1 no-pat

        增加no-pat后，最先来的边界的路由器的ip地址，将逐一与边界的公有ip地址进行一对一的绑定；当所有公有ip被绑定完后，其他私有地址将无法再被转发；

文章参考：https://www.cnblogs.com/beginmind/p/6380489.html