NAPT（同时转换地址和端口）

1、NAPT。

        NAPT是一种转换时同时转换地址和端口，实现多个私网地址共用一个或多个公网地址的地址转换方式。适用于公网地址数量少，需要上网的私网用户数量大的场景。

NAPT工作原理：

2、当Host访问Web Server时，FW的处理过程如下：

1. FW收到Host发送的报文后，根据目的IP地址判断报文需要在Trust区域和Untrust区域之间流动，通过安全策略检查后继而查找NAT策略，发现需要对报文进行地址转换。

2. FW根据源IP Hash算法从NAT地址池中选择一个公网IP地址，替换报文的源IP地址，同时使用新的端口号替换报文的源端口号，并建立会话表，然后将报文发送至Internet。

3. FW收到Web Server响应Host的报文后，通过查找会话表匹配到步骤2中建立的表项，将报文的目的地址替换为Host的IP地址，将报文的目的端口号替换为原始的端口号，然后将报文发送至Intranet。

        此方式下，由于地址转换的同时还进行端口的转换，可以实现多个私网用户共同使用一个公网IP地址上网，FW根据端口区分不同用户，所以可以支持同时上网的用户数量更多。此外，NAPT方式不会生成Server-map表，这一点也与NAT No-PAT方式不同。

3、NAPT实验。

实验拓扑：

1、FW1配置。

##基础IP地址配置
[FW1]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 10.1.1.254 24 
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 1.1.1.1 24 
[FW1-GigabitEthernet1/0/2]q
 
##配置安全区域分别将g1/0/1加入trust区域、g1/0/2加入untrust区域
[FW1]firewall zone trust 
[FW1-zone-trust]add int g1/0/1
[FW1]firewall zone untrust 
[FW1-zone-untrust]add int g1/0/2
 
##配置默认路由访问公网
[FW1]ip route-static 0.0.0.0 0 1.1.1.254 
 
##配置安全策略
[FW1]security-policy
[FW1-policy-security]rule name policy1  //创建策略名为policy1
[FW1-policy-security-rule-policy1]source-zone trust  //设置源区域为trust
[FW1-policy-security-rule-policy1]destination-zone untrust  //设置目标区域为untrust
[FW1-policy-security-rule-policy1]source-address 10.1.1.0 mask 255.255.255.0
[FW1-policy-security-rule-policy1]action permit  //安全规则的动作，这里表示允许该规则流量的通过
 
##创建NAT地址池
[FW1]nat address-group bdqn
[FW1-address-group-bdqn]mode pat  //设置模式为pat，因为NAPT不包含server-map所以不用配置global
[FW1-address-group-bdqn]section 0 1.1.1.10 1.1.1.11  //地址池数量由1.1.1.10~1.1.1.11
[FW1-address-group-bdqn]route enable  //开启NAT路由
 
##配置NAT策略
[FW1]nat-policy 
[FW1-policy-nat]rule name nat1
[FW1-policy-nat-rule-nat1]source-zone trust 
[FW1-policy-nat-rule-nat1]destination-zone untrust 
[FW1-policy-nat-rule-nat1]source-address 10.1.1.0 24
[FW1-policy-nat-rule-nat1]action source-nat address-group bdqn

2、R1配置。

##基础IP地址配置
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.254 24
[R1-GigabitEthernet0/0/0]int loo0
[R1-LoopBack0]ip add 172.16.1.1 32 
[R1-LoopBack0]q

3、实验结果。

因为NAPT可以实现多个私网地址共用一个或多个公网地址的地址转换方式，所以即使地址池只有两个IP地址，【pc3】也可以进行IP地址转换。

同时转换IP地址时也转换端口号

因为NAPT不包含server-map表，所以server-map表为空