NAT网络地址转换

概述

        NAT网络地址转换能实现在私有网络和公有网络之间相互访问。它通过将私有网络的IP地址转换成公有网络中的IP地址，从而允许私有网络中的设备能够访问外部网络，同时保护私有网络不被外部网络直接访问。

工作原理

内网到外网的转换

        数据包从内网发向外网，经过网络边界设备（如路由器、防火墙）时，NAT会将数据包的源IP地址从私有地址转换成公有地址

外网到内网的转换

        响应的数据包从外网发向内网，经过网络边界设备（如路由器、防火墙）时，NAT会将数据包的源IP地址从公有地址转换回私有地址

NAT类型

        NAT类型主要分别有：静态NAT、动态NAT、NAPT、Easy-IP、NAT Server等

静态NAT

        静态NAT是一种将内部网络中的私有IP地址一对一地映射到外部网络上的公有IP地址的技术

适用于需要对外提供服务的服务器，如Web服务器、邮件服务器等或是网络安全控制，通过映射特定内部主机到公有IP地址来控制访问。（几乎不会用！）

静态NAT配置

方式一、接口视图下配置静态NAT

[Huawei-GigabitEthernet0/0/0] nat static global { global- address} inside {host address }

global参数用于配置外部公有地址，inside参数用于配置内部私有地址

方式二、系统视图下配置静态NAT

[Huawei] nat static global { global-address} inside {host- address }

配置命令相同，视图为系统视图，之后在具体接口下开始静态NAT

[Huawei-GigabitEthernet0/0/0] nat static enable

在接口下使能nat static功能

动态NAT

        动态NAT允许内部网络中的多个主机动态地共享一组外部网络上的公有IP地址。（多对一转换，但不能同时用）

适用于内部网络中有大量主机需要访问外部网络，但公有IP地址资源有限或是需要动态管理IP地址分配的场景。（现在基本也不会用）

动态NAT配置

1.创建地址池

[Huawei] nat address-group group-index start-address end-address

配置公有地址范围,其中group-index为地址池编号, start-address、end- address分别为地址池起始地址、结束地址

2.配置地址转换的ACL规则

[Huawei] acl number
[Huawei-acl-basic-number] rule permit source source-address source -wildcard

配置基础ACL ,匹配需要进行动态转换的源地址范围

3. 接口视图下配置带地址池的NAT Outbound

[Huawei-GigabitEthernet0/0/0] nat outbound acl-number address-group group-index [ no-pat ]

接口下关联ACL与地址池进行动态地址转换, no-pat参数指定不进行端口转换。

例子

[R1]nat address group 1 122.1.2.1 122.1.2.3
[R1]acl 2000
[R1-acl-basic 2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic 2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernetO/0/1]nat outbound 2000 address-group 1 no-pat

NAPT

        NAPT是一种更高级的NAT技术，它通过将内部私有IP地址和端口号组合映射到外部公有IP地址和端口号上，实现多个内部主机共享一个外部公有IP地址。（多对一转换且能同时用）

• 端口复用：不同的内部主机可以通过不同的端口号映射到同一个外部公有IP地址上。
• 资源高效：极大地提高了外部公有IP地址的利用率。
• 转换复杂：需要同时处理IP地址和端口号的转换。
• 适用于家庭网络、小型办公室网络等公有IP地址资源有限的场景或需要实现网络负载均衡、透明代理等高级功能的场景。（主流）

例子

[R1]nat address-group 1 122.1.2.1 122.1.2.1
[R1]acl 2000
[R1-acl-basic 2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic 2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernetO/0/1]nat outbound 2000 address-group 1

Easy-IP

        Easy-IP是一种简化的NAT技术，它类似于NAPT，但通常不需要配置地址池，直接使用接口地址进行转换。

• 配置简单：适用于DHCP或PPPoE等动态获取公网IP地址的场景
• 直接使用接口地址：不需要额外的地址池配置
• 适用于动态获取公网IP地址的网络环境，如拨号上网、移动宽带等

例子

[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000

NAT Server

        NAT Server是一种特殊的NAT应用，它通常用于将内部网络中的特定服务器映射到外部网络的公有IP地址上，并提供额外的负载均衡、安全控制等功能。

• 负载均衡：可以将外部访问请求分散到内部网络中的多台服务器上
• 安全控制：可以配置访问控制列表（ACL）来限制对内部服务器的访问
• 高性能：通常部署在高性能的网络设备上，以处理大量的访问请求
• 适用于需要对外提供高可用性、高性能服务的场景，如大型网站、电子商务平台等

例子

[R1]interface GigbitEthernet0/0/1
[R1-GigbitEthernet0/0/1] ip address 122.1.2.1 24
[R1-GigbitEthernet0/0/1]nat server protocol tcp global 202.10.20.1 www inside 192.168.1.1 8080