1、NAT的含義

實現網路地址轉換(Network Adress Translation)，本質上是將IP資料報文頭中的源IP地址轉換成另一個IP地址的過程。

2、目的

節約公網IPv4地址，實現內部網路訪問外部網路的功能。當內網主機訪問外網時，通過NAT可以將私網轉換成公網地址，多個私網使用者共用一個公網地址訪問外部網路。

通常情況下，NAT技術只適合私網方面向公網方面傳送通訊的場景，反之則不行。

3、公網和私網

私網IP地址

A類：10.0.0.0~10.255.255.255.

B類:172.16.0.0~172.31.255.255

C類:192.168.0.0~192.168.255.255

公網中不能有私網IP地址，公網中的所有網路裝置的網路介面必須使用公網IP，公網中出現的IP報文，目的IP地址和源IP地址必須是公網IP地址，而且在公網中必須保證IP地址的唯一性。IPv4地址的長度是32位，包含了大約43億個地址，已經分配完畢。

4、NAT的好處

NAT可以有效緩解IP地址枯竭，通過地址重用來滿足IP地址的需求，有三點好處：

• 緩解IPv4地址枯竭的問題；
• 避免外網攻擊，一定程度上提高了網路安全性；
• 控制內網訪問外網，也可以控制外網主機訪問內網，解決了內外網互通的問題。

5、NAT原理概述

NAT是將IP資料報文頭中的IP地址轉換成另一個IP地址的過程，常見的模式有：

5.1 Basic NAT

靜態NAT，私網地址和公網地址一對一，只進行IP地址轉換，不處理TCP/UDP協議的埠號，這種方式不常用。

實現過程：

• Router收到內網側Host傳送的訪問公網側Server的報文，其源IP地址為10.1.1.100；
• Router從地址池中選取一個空閒的公網IP地址，建立與內網側報文源IP地址間的NAT轉換表項（正反向），並依據查詢正向NAT表項的結果將報文轉換後向公網側傳送，其源IP地址是162.105.178.65，目的IP地址是211.100.7.34；
• Router收到公網側的迴應報文後，根據其目的IP地址查詢反向NAT表項，並依據查表結果將報文轉換後向私網側傳送，其源IP地址是2.2.2.2，目的IP地址是10.1.1.100。

5.2、NAPT（Network Adress Port Translation)

網路地址埠轉換，允許多個內部地址對映到同一個公網地址，實現“多對一地址轉換”，通過“IP地址+埠號"的形式進行轉換。

實現過程：

• Router收到內網側Host傳送的訪問公網側Server的報文。比如收到Host A報文的源地址是10.1.1.100，埠號1025；
• Router從地址池中選取一對空閒的“公網IP地址＋埠號”，建立與內網側報文“源IP地址＋源埠號”間的NAPT轉換表項（正反向），並依據查詢正向NAPT表項的結果將報文轉換後向公網側傳送。比如Host A的報文經Router轉換後的報文源地址為162.105.178.65，埠號16384；
• Router收到公網側的迴應報文後，根據其“目的IP地址＋目的埠號”查詢反向NAPT表項，並依據查表結果將報文轉換後向私網側傳送。比如Server迴應Host A的報文經Router轉換後，目的地址為10.1.1.100，埠號1025。

6、NAT實現

Basic NAT實現了一對一的地址轉換，NAPT實現了多對一的地址轉換。NAT的實現主要包括：Easy IP、地址池NAT、NAT Server和靜態NAT/NAPT。

6.1 Easy IP

利用訪問控制列表控制哪些地址可以實現地址轉換，適合小型區域網訪問internet的情況。

處理過程

• Router收到內網側主機發送的訪問公網側伺服器的報文。
• Router利用公網側介面的“公網IP地址＋埠號”，建立與內網側報文“源IP地址＋源埠號”間的Easy IP轉換表項（正反向），並依據查詢正向Easy IP表項的結果將報文轉換後向公網側傳送。
• Router收到公網側的迴應報文後，根據其“目的IP地址＋目的埠號”查詢反向Easy IP表項，並依據查表結果將報文轉換後向內網側傳送。

6.2 NAT Server

NAT具有”遮蔽“內部主機的作用，如果內網需要對外提供服務，比如www服務、ftp服務，可以通過NAT Server（埠對映）的方式解決這個問題。在NAT Server事先配置好”公網IP+埠“與”私網IP+埠“之間的對映關係，將伺服器的"公網IP+埠號"根據對映關係替換成對應的"私網IP+埠"。

實現過程

• Router收到公網使用者發起的訪問請求，裝置根據該請求的“目的IP+埠號”查詢NAT Server轉換表項，找出對應的“私網IP+埠號”，然後用查詢結果替換報文的“目的IP+埠號”；
• Router收到內網伺服器的迴應報文後，根據該回應報文的“源IP地址＋源埠號”查詢NAT Server轉換表項，找出對應的“公網IP+埠號”，然後用查詢結果替換報文的“源IP地址＋源埠號”。

6.3 靜態NAT和NAPT

靜態NAT，內部主機與公網IP一一對應。

靜態NAPT，內網主機的”IP地址+協議號+埠號"與“公網IP+協議號+埠號"一一對應。

靜態NAT和靜態NAPT，可以實現內網主機和外網的相互訪問，外部直接訪問對應的內網主機。

6.4 其它

• NAT ALG：NAT和NAPT只能對IP報文的頭部地址和TCP/UDP頭部的埠資訊轉換，對於一些特殊的應用，比如FTP，資料部分可能包含IP地址資訊或者埠資訊，這些內容不能被NAT有效轉換，就需要用到NAT的應用層閘道器ALG（application level gateway）功能，對應用層協議進行NAT轉換；
• DNS Maping：私網用於通過域名訪問位於私網的內部伺服器；
• NAT關聯VPN：包括VPN關聯源NAT、VPN關聯NAT Server、兩次NAT。

7、NAT的配置

7.1 動態地址轉換

實現內網主機使用內網IP地址訪問外網主機，即實現內網使用者訪問外網。

配置步驟

• 配置地址轉換的ACL規則，rule配置為permit；
• 配置出介面的地址關聯，有兩種情況：

帶地址池的NAT Outbound:

1. 執行命令nat address-groupgroup-index start-address end-address ，配置公網地址池。
2. 執行命令interfaceinterface-type interface-number [ .subnumber ]，進入介面或子介面檢視。
3. 執行命令nat outboundacl-numberaddress-groupgroup-index [no-pat]，配置帶地址池的NAT Outbound。

不帶地址池的easy ip，使用nat裝置出介面IP地址完成NAT：

1. 執行命令interfaceinterface-type interface-number [ .subnumber ]，進入介面或子介面檢視。
2. 執行命令nat outboundacl-number [interfaceinterface-type interface-number [ .subnumber ] ] [vrrpvrrpid ]，配置Easy IP。

7.2 配置靜態地址轉換

實現內網重要主機IP使用固定的公網IP地址訪問外網。

可以在介面檢視或者全域性檢視下配置，通常在介面下配置

7.3 配置內部伺服器

實現外網使用者訪問內部伺服器。

進入介面後，使用nat server命令。

8、配置案例

8.1 實驗拓撲

R2模擬外部網路，R1為內網路由器，內網通過NAT的方式訪問外網。

8.2 相關資訊

PC1：192.168.10.1/24，閘道器：192.168.10.254，屬於VLAN10

PC2：192.168.20.1/24，閘道器：192.168.20.254，屬於VLAN20

互聯地址：

SW G0/0/1：20.0.0.1/30 <-> R1 G0/0/1：20.0.0.2/30

R1 G0/0/0：30.0.0.1/30 <-> R2 G0/0/0：30.0.0.2/30

SW和R1之間通過OSPF相連。

8.3 實驗內容

基礎配置

實現內網的互聯互通，以及網路裝置互聯地址的配置。

內網交換機SW，開啟了telnet遠端訪問功能。

R1的配置，SW和R1之間通過OSPF協議互聯

R2的配置

用於模擬外網環境

1）靜態NAT的配置

靜態NAT，私網IP地址與公網IP一一對應，不進行埠複用，不能節省IP地址，通常用於對外為伺服器。

已知：公網地址202.106.1.1/32、202.106.1.2/32。

R1的配置

在R1的介面G0/0/0配置靜態NAT

R2的配置

配置回程路由

配置成功之後，PC1和PC2就可以與外網通訊了。

PC1

在R2上抓包分析，可以看到源IP變成了202.106.1.1。

2）動態NAT

動態NAT在出口路由器中做了一個地址池，內網PC訪問外網時，從地址池內獲取一個公網IP，既可以選擇埠複用，也可以禁止埠複用（no-pat)。

已知公網IP：202.106.1.0/24

R1的配置

首先配置公網地址池，然後配置acl，最後在介面應用nat outbound，並且配置no-pat，不進行埠轉換，也就是公網IP地址不可複用。

R2配置回程路由

3）NAPT的配置

NATP，公網IP可以反覆使用，所有主機都可以通過它來訪問外網。

已知：有一個公網IP地址202.106.1.1/32。

R1的配置

R2的配置

配置回程路由

PC1的訪問外網，以及在R2上的抓包分析

如果沒有公網地址，只有一個外網網口G0/0/0的IP：30.0.0.1

R1的配置

埠對映

R1的配置

在R2上遠端連線SW交換機

返回搜狐，檢視更多