1、NAT的含義

實現網絡地址轉換(Network Adress Translation)，本質上是将IP數據報文頭中的源IP地址轉換成另一個IP地址的過程。

2、目的

節約公網IPv4地址，實現内部網絡訪問外部網絡的功能。當内網主機訪問外網時，通過NAT可以将私網轉換成公網地址，多個私網用戶共用一個公網地址訪問外部網絡。

通常情況下，NAT技術隻适合私網方面向公網方面發送通信的場景，反之則不行。

3、公網和私網

私網IP地址

A類：10.0.0.0~10.255.255.255.

B類:172.16.0.0~172.31.255.255

C類:192.168.0.0~192.168.255.255

公網中不能有私網IP地址，公網中的所有網絡設備的網絡接口必須使用公網IP，公網中出現的IP報文，目的IP地址和源IP地址必須是公網IP地址，而且在公網中必須保證IP地址的唯一性。IPv4地址的長度是32位，包含了大約43億個地址，已經分配完畢。

4、NAT的好處

NAT可以有效緩解IP地址枯竭，通過地址重用來滿足IP地址的需求，有三點好處：

• 緩解IPv4地址枯竭的問題；
• 避免外網攻擊，一定程度上提高了網絡安全性；
• 控制内網訪問外網，也可以控制外網主機訪問内網，解決了内外網互通的問題。

5、NAT原理概述

NAT是将IP數據報文頭中的IP地址轉換成另一個IP地址的過程，常見的模式有：

5.1 Basic NAT

靜态NAT，私網地址和公網地址一對一，隻進行IP地址轉換，不處理TCP/UDP協議的端口号，這種方式不常用。

實現過程：

• Router收到内網側Host發送的訪問公網側Server的報文，其源IP地址為10.1.1.100；
• Router從地址池中選取一個空閑的公網IP地址，建立與内網側報文源IP地址間的NAT轉換表項（正反向），并依據查找正向NAT表項的結果将報文轉換後向公網側發送，其源IP地址是162.105.178.65，目的IP地址是211.100.7.34；
• Router收到公網側的回應報文後，根據其目的IP地址查找反向NAT表項，并依據查表結果将報文轉換後向私網側發送，其源IP地址是2.2.2.2，目的IP地址是10.1.1.100。

5.2、NAPT（Network Adress Port Translation)

網絡地址端口轉換，允許多個内部地址映射到同一個公網地址，實現“多對一地址轉換”，通過“IP地址 端口号"的形式進行轉換。

實現過程：

• Router收到内網側Host發送的訪問公網側Server的報文。比如收到Host A報文的源地址是10.1.1.100，端口号1025；
• Router從地址池中選取一對空閑的“公網IP地址＋端口号”，建立與内網側報文“源IP地址＋源端口号”間的NAPT轉換表項（正反向），并依據查找正向NAPT表項的結果将報文轉換後向公網側發送。比如Host A的報文經Router轉換後的報文源地址為162.105.178.65，端口号16384；
• Router收到公網側的回應報文後，根據其“目的IP地址＋目的端口号”查找反向NAPT表項，并依據查表結果将報文轉換後向私網側發送。比如Server回應Host A的報文經Router轉換後，目的地址為10.1.1.100，端口号1025。

6、NAT實現

Basic NAT實現了一對一的地址轉換，NAPT實現了多對一的地址轉換。NAT的實現主要包括：Easy IP、地址池NAT、NAT Server和靜态NAT/NAPT。

6.1 Easy IP

利用訪問控制列表控制哪些地址可以實現地址轉換，适合小型局域網訪問internet的情況。

處理過程

• Router收到内網側主機發送的訪問公網側服務器的報文。
• Router利用公網側接口的“公網IP地址＋端口号”，建立與内網側報文“源IP地址＋源端口号”間的Easy IP轉換表項（正反向），并依據查找正向Easy IP表項的結果将報文轉換後向公網側發送。
• Router收到公網側的回應報文後，根據其“目的IP地址＋目的端口号”查找反向Easy IP表項，并依據查表結果将報文轉換後向内網側發送。

6.2 NAT Server

NAT具有”屏蔽“内部主機的作用，如果内網需要對外提供服務，比如www服務、ftp服務，可以通過NAT Server（端口映射）的方式解決這個問題。在NAT Server事先配置好”公網IP 端口“與”私網IP 端口“之間的映射關系，将服務器的"公網IP 端口号"根據映射關系替換成對應的"私網IP 端口"。

實現過程

• Router收到公網用戶發起的訪問請求，設備根據該請求的“目的IP 端口号”查找NAT Server轉換表項，找出對應的“私網IP 端口号”，然後用查找結果替換報文的“目的IP 端口号”；
• Router收到内網服務器的回應報文後，根據該回應報文的“源IP地址＋源端口号”查找NAT Server轉換表項，找出對應的“公網IP 端口号”，然後用查找結果替換報文的“源IP地址＋源端口号”。

6.3 靜态NAT和NAPT

靜态NAT，内部主機與公網IP一一對應。

靜态NAPT，内網主機的”IP地址 協議号 端口号"與“公網IP 協議号 端口号"一一對應。

靜态NAT和靜态NAPT，可以實現内網主機和外網的相互訪問，外部直接訪問對應的内網主機。

6.4 其它

• NAT ALG：NAT和NAPT隻能對IP報文的頭部地址和TCP/UDP頭部的端口信息轉換，對于一些特殊的應用，比如FTP，數據部分可能包含IP地址信息或者端口信息，這些内容不能被NAT有效轉換，就需要用到NAT的應用層網關ALG（application level gateway）功能，對應用層協議進行NAT轉換；
• DNS Maping：私網用于通過域名訪問位于私網的内部服務器；
• NAT關聯VPN：包括VPN關聯源NAT、VPN關聯NAT Server、兩次NAT。

7、NAT的配置

7.1 動态地址轉換

實現内網主機使用内網IP地址訪問外網主機，即實現内網用戶訪問外網。

配置步驟

• 配置地址轉換的ACL規則，rule配置為permit；
• 配置出接口的地址關聯，有兩種情況：

帶地址池的NAT Outbound:

1. 執行命令nat address-group group-index start-address end-address，配置公網地址池。
2. 執行命令interface interface-type interface-number [ .subnumber ]，進入接口或子接口視圖。
3. 執行命令nat outbound acl-number address-group group-index [ no-pat ]，配置帶地址池的NAT Outbound。

不帶地址池的easy ip，使用nat設備出接口IP地址完成NAT：

1. 執行命令interface interface-type interface-number [ .subnumber ]，進入接口或子接口視圖。
2. 執行命令nat outbound acl-number [ interface interface-type interface-number [ .subnumber ] ] [ vrrp vrrpid ]，配置Easy IP。

7.2 配置靜态地址轉換

實現内網重要主機IP使用固定的公網IP地址訪問外網。

可以在接口視圖或者全局視圖下配置，通常在接口下配置

7.3 配置内部服務器

實現外網用戶訪問内部服務器。

進入接口後，使用nat server命令。

8、配置案例

8.1 實驗拓撲

R2模拟外部網絡，R1為内網路由器，内網通過NAT的方式訪問外網。

8.2 相關信息

PC1：192.168.10.1/24，網關：192.168.10.254，屬于VLAN10

PC2：192.168.20.1/24，網關：192.168.20.254，屬于VLAN20

互聯地址：

SW G0/0/1：20.0.0.1/30 <-> R1 G0/0/1：20.0.0.2/30

R1 G0/0/0：30.0.0.1/30 <-> R2 G0/0/0：30.0.0.2/30

SW和R1之間通過OSPF相連。

8.3 實驗内容

基礎配置

實現内網的互聯互通，以及網絡設備互聯地址的配置。

内網交換機SW，開啟了telnet遠程訪問功能。

R1的配置，SW和R1之間通過OSPF協議互聯

R2的配置

用于模拟外網環境

1）靜态NAT的配置

靜态NAT，私網IP地址與公網IP一一對應，不進行端口複用，不能節省IP地址，通常用于對外為服務器。

已知：公網地址202.106.1.1/32、202.106.1.2/32。

R1的配置

在R1的接口G0/0/0配置靜态NAT

R2的配置

配置回程路由

配置成功之後，PC1和PC2就可以與外網通信了。

PC1

在R2上抓包分析，可以看到源IP變成了202.106.1.1。

2）動态NAT

動态NAT在出口路由器中做了一個地址池，内網PC訪問外網時，從地址池内獲取一個公網IP，既可以選擇端口複用，也可以禁止端口複用（no-pat)。

已知公網IP：202.106.1.0/24

R1的配置

首先配置公網地址池，然後配置acl，最後在接口應用nat outbound，并且配置no-pat，不進行端口轉換，也就是公網IP地址不可複用。

R2配置回程路由

3）NAPT的配置

NATP，公網IP可以反複使用，所有主機都可以通過它來訪問外網。

已知：有一個公網IP地址202.106.1.1/32。

R1的配置

R2的配置

配置回程路由

PC1的訪問外網，以及在R2上的抓包分析

如果沒有公網地址，隻有一個外網網口G0/0/0的IP：30.0.0.1

R1的配置

端口映射

R1的配置

在R2上遠程連接SW交換機

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!