华为认证知识点：网络地址转换（NAT）

NAT是一种地址转换技术，可以将私网地址转换为公网地址访问互联网。

本节重点：了解NAT的原理以及NAPT和Easy-IP的配置

本节难点：理解为什么私网地址不能直接访问公网以及公网上为什么不能出现私网的路由

1.NAT的原理和分类

NAT的原理：

对于“从内到外"的流量，网络设备通过NAT将数据包的源地址进行转换（转换成特定的公有地址)，而对于“从外到内的"流量，则对数据包的目的地址进行转换。

NAT分类：

静态NAT（一对一）

静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。

动态NAT（一对一）

动态NAT:静态NAT严格地一对一 进行地址映射， 这就导致即便内网主机长时间离线或者不发送数据时，与之对应的公有地址也处于使用状态。为了避免地址浪费，动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。

NAPT（一对多）

NAPT (Network Address and Port Translation, 网络地址端口转换) : 从地址池中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址的1 :n映射，可以有效提高公有地址利用率。

Easy-IP（一对多）

Easy IP:实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于Easy IP没有地址池的概念，使用接口地址作为

NAT转换的公有地址。

Nat server

NAT Server:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。

2.NAT的配置

静态NAT

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24

[R1-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1  //将内网地址192.168.1.1转换成公网地址122.1.2.1

[R1-GigabitEthernet0/0/1]nat static global 122.1.2.2 inside 192.168.1.2  //将内网地址192.168.1.2转换成公网地址122.1.2.2

[R1-GigabitEthernet0/0/1]nat static global 122.1.2.3 inside 192.168.1.3  //将内网地址192.168.1.3转换成公网地址122.1.2.3

动态NAT

[R1]nat address-group 1 122.1.2.1 122.1.2.3  //创建NAT地址池，编号为1，开始地址为122.1.2.1，结束地址为122.1.2.3

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   //匹配来自192.168.1.0/24的流量

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat  //来自192.168.1.0/24的流量在地址池1中做NAT转化且不转换端口号

NAPT

[R1]nat address-group 1 122.1.2.1 122.1.2.1  //创建NAT地址池，编号为1，开始地址为122.1.2.1，结束地址为122.1.2.1

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   //匹配来自192.168.1.0/24的流量

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1   //来自192.168.1.0/24的流量在地址池1中做NAT转化且转换端口号

Easy-IP

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   //匹配来自192.168.1.0/24的流量

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000   //来自192.168.1.0/24的流量达到此接口全部映射到此接口的不同端口号进行外网的访问

Nat server

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24

[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080  //外网访问202.10.10.1的8080端口相当于访问192.168.1.1的80端口