NAT网络地址转换和配置

目录

一、NAT产生背景

二、NAT概述

三、NAT的种类

四、配置实验

Easy ip 设置实验（重要）

---

一、NAT产生背景

• 为了节省IP地址和费用，一般企业内部都是使用私有IP地址
• Internet网路的组成设备，使用的都是公有IP地址
• 企业内网要与internet互通，必须拥有公有IP地址
• 企业内网中的设备，无法使用私有地址与internet互通

二、NAT概述

NAT是网络地址转换，是用于在本地网络中使用私有地址，在连接互联网时转而使用全局 IP 地址的技术。将内网的IP地址转换为可以通外网的IP地址。缓解可用IP不够用的状况，增强内网的网络安全。作用在路由器或防火墙上。

 （从内到外，改源IP地址，从外到内，改目标IP地址）

三、NAT的种类

静态

• NAT表条目是通过手动配置的方式添加进去的
• 私有IP地址和公有IP地址是 1对1 的关系，不节省公网IP地址
• 每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间的关系是一对一映射。实现本地地址和全局地址的一对一映射，这些映射由网络管理员进行配置。当配置静态 NAT 的设备向互联网发送流量时，内部本地地址会被转换为已配置的内部全局地址，内部全局地址是共有的 IPv4 地址。
• 一个私网IP对应一个公网IP（没有节约公网IP，浪费资源）
• 

 动态

在内部本地地址转换的时候，在地址池中选择一个空闲的，没有正在被使用的地址，来进行转换，一般选择的是在地址池定义中排在前面的地址，当数据传输或者访问完成时就会放回地址池中，以供内部本地的其他主机使用，但是，如果这个地址正在被使用的时候，是不能被另外的主机拿来进行地址转换的

 

NAPT 
因为动态NAPT无法转化端口（还是一对一），无法提高公有网P地址利用效率

NAPT在IP地址转换的同时也会转换对应端口，从而实现公网IP地址通过多端口复用，实现公网和私网之间的N:1    

当内网主机需要访问公网设备时，NAT设备从地址池中选取一对空闲的“公网ip地址+端口号”，

根据表项把报文“源ip和源端口”改成“公网ip和端口”后转发出去。

NAT设备收到公网主机的回应报文后，根据其“目的IP地址+目的端口号”查找反向NAPT表项，依据查表结果将报文转换后向私网主机发送。

 

Easy IP 
在实现NAPT的同时，使端口进行随机转化（端口号发生变化），从而进一步提高利用效率。适用于不具备固定公网IP地址场景，通过DHCP，PPPoE拨号获取地址的私有网络出口，可以直接获取到的动态地址进行转换。Easy IP 最大的优点是可以为网络设备自动配置 IP 地址和其他网络参数，降低了管理员的工作量。

（没有地址池）

端口映射

直接将内网服务器映射到外网主机的一个端口上，当用户访问外网IP的这个端口时，服务器自动将请求映射到对应局域网内部的机器上。

端口映射又称虚拟服务器，当内网使用私有地址时，可通过在路由器上做端口映射，配置内网服务器的IP地址与端口，从而使用内网提供的服务。

四、配置实验

 （先配置主机的网关，IP地址和子网掩码）

配置端口

[Huawei]int g0/0/0
[Huawei-GigabitEthernet0/0/0]ip add 192.168.1.254 24
[Huawei-GigabitEthernet0/0/0]int g0/0/1
[Huawei-GigabitEthernet0/0/1]ip add 12.0.0.254 24

静态设置

端口与内网IP对应，在路由器端口上启用配置

[Huawei]nat static global 8.8.8.8 inside 192.168.1.10
[Huawei]int g0/0/2
[Huawrei-GigabitEthernet0/0/2]nat atatic enable

动态设置实验

端口与内网网段对应，在路由器端口上启用配置

[Huawei]nat static global 8.8.8.8 inside 192.168.1.0 netmark 255.255.255.0
[Huawei]int g0/0/2
[Huawrei-GigabitEthernet0/0/2]nat atatic enable  

Easy ip 设置实验（重要）

配置acl，允许内网网段IP协议通过，在靠近源的端口启用配置

[Huawei]acl number 3000
[Huawei-acl-adv-3000]rule permit ip source 192.168.1.0 0.0.0.255
[Huawei-acl-adv-3000]q
[Huawei]int g0/0/1
[Huawei-GigabitEthernet0/0/1]nat outbound 3000