配置与管理nat服务器实施过程（NAT详述及配置案例）

1、NAT的含义

实现网络地址转换(Network Adress Translation)，本质上是将IP数据报文头中的源IP地址转换成另一个IP地址的过程。

2、目的

节约公网IPv4地址，实现内部网络访问外部网络的功能。当内网主机访问外网时，通过NAT可以将私网转换成公网地址，多个私网用户共用一个公网地址访问外部网络。

通常情况下，NAT技术只适合私网方面向公网方面发送通信的场景，反之则不行。

3、公网和私网

私网IP地址

A类：10.0.0.0~10.255.255.255.

B类:172.16.0.0~172.31.255.255

C类:192.168.0.0~192.168.255.255

公网中不能有私网IP地址，公网中的所有网络设备的网络接口必须使用公网IP，公网中出现的IP报文，目的IP地址和源IP地址必须是公网IP地址，而且在公网中必须保证IP地址的唯一性。IPv4地址的长度是32位，包含了大约43亿个地址，已经分配完毕。

4、NAT的好处

NAT可以有效缓解IP地址枯竭，通过地址重用来满足IP地址的需求，有三点好处：

缓解IPv4地址枯竭的问题；
避免外网攻击，一定程度上提高了网络安全性；
控制内网访问外网，也可以控制外网主机访问内网，解决了内外网互通的问题。

5、NAT原理概述

NAT是将IP数据报文头中的IP地址转换成另一个IP地址的过程，常见的模式有：

5.1 Basic NAT

静态NAT，私网地址和公网地址一对一，只进行IP地址转换，不处理TCP/UDP协议的端口号，这种方式不常用。

配置与管理nat服务器实施过程（NAT详述及配置案例）(1)

实现过程：

Router收到内网侧Host发送的访问公网侧Server的报文，其源IP地址为10.1.1.100；
Router从地址池中选取一个空闲的公网IP地址，建立与内网侧报文源IP地址间的NAT转换表项（正反向），并依据查找正向NAT表项的结果将报文转换后向公网侧发送，其源IP地址是162.105.178.65，目的IP地址是211.100.7.34；
Router收到公网侧的回应报文后，根据其目的IP地址查找反向NAT表项，并依据查表结果将报文转换后向私网侧发送，其源IP地址是2.2.2.2，目的IP地址是10.1.1.100。

5.2、NAPT（Network Adress Port Translation)

网络地址端口转换，允许多个内部地址映射到同一个公网地址，实现“多对一地址转换”，通过“IP地址端口号"的形式进行转换。

配置与管理nat服务器实施过程（NAT详述及配置案例）(2)

实现过程：

Router收到内网侧Host发送的访问公网侧Server的报文。比如收到Host A报文的源地址是10.1.1.100，端口号1025；
Router从地址池中选取一对空闲的“公网IP地址＋端口号”，建立与内网侧报文“源IP地址＋源端口号”间的NAPT转换表项（正反向），并依据查找正向NAPT表项的结果将报文转换后向公网侧发送。比如Host A的报文经Router转换后的报文源地址为162.105.178.65，端口号16384；
Router收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向NAPT表项，并依据查表结果将报文转换后向私网侧发送。比如Server回应Host A的报文经Router转换后，目的地址为10.1.1.100，端口号1025。

6、NAT实现

Basic NAT实现了一对一的地址转换，NAPT实现了多对一的地址转换。NAT的实现主要包括：Easy IP、地址池NAT、NAT Server和静态NAT/NAPT。

6.1 Easy IP

利用访问控制列表控制哪些地址可以实现地址转换，适合小型局域网访问internet的情况。

配置与管理nat服务器实施过程（NAT详述及配置案例）(3)

处理过程

Router收到内网侧主机发送的访问公网侧服务器的报文。
Router利用公网侧接口的“公网IP地址＋端口号”，建立与内网侧报文“源IP地址＋源端口号”间的Easy IP转换表项（正反向），并依据查找正向Easy IP表项的结果将报文转换后向公网侧发送。
Router收到公网侧的回应报文后，根据其“目的IP地址＋目的端口号”查找反向Easy IP表项，并依据查表结果将报文转换后向内网侧发送。

6.2 NAT Server

NAT具有”屏蔽“内部主机的作用，如果内网需要对外提供服务，比如www服务、ftp服务，可以通过NAT Server（端口映射）的方式解决这个问题。在NAT Server事先配置好”公网IP 端口“与”私网IP 端口“之间的映射关系，将服务器的"公网IP 端口号"根据映射关系替换成对应的"私网IP 端口"。

配置与管理nat服务器实施过程（NAT详述及配置案例）(4)

实现过程

Router收到公网用户发起的访问请求，设备根据该请求的“目的IP 端口号”查找NAT Server转换表项，找出对应的“私网IP 端口号”，然后用查找结果替换报文的“目的IP 端口号”；
Router收到内网服务器的回应报文后，根据该回应报文的“源IP地址＋源端口号”查找NAT Server转换表项，找出对应的“公网IP 端口号”，然后用查找结果替换报文的“源IP地址＋源端口号”。

6.3 静态NAT和NAPT

静态NAT，内部主机与公网IP一一对应。

静态NAPT，内网主机的”IP地址协议号端口号"与“公网IP 协议号端口号"一一对应。

静态NAT和静态NAPT，可以实现内网主机和外网的相互访问，外部直接访问对应的内网主机。

6.4 其它

NAT ALG：NAT和NAPT只能对IP报文的头部地址和TCP/UDP头部的端口信息转换，对于一些特殊的应用，比如FTP，数据部分可能包含IP地址信息或者端口信息，这些内容不能被NAT有效转换，就需要用到NAT的应用层网关ALG（application level gateway）功能，对应用层协议进行NAT转换；
DNS Maping：私网用于通过域名访问位于私网的内部服务器；
NAT关联VPN：包括VPN关联源NAT、VPN关联NAT Server、两次NAT。

7、NAT的配置

7.1 动态地址转换

实现内网主机使用内网IP地址访问外网主机，即实现内网用户访问外网。

配置步骤

配置地址转换的ACL规则，rule配置为permit；
配置出接口的地址关联，有两种情况：

带地址池的NAT Outbound:

执行命令nat address-group group-index start-address end-address，配置公网地址池。
执行命令interface interface-type interface-number [ .subnumber ]，进入接口或子接口视图。
执行命令nat outbound acl-number address-group group-index [ no-pat ]，配置带地址池的NAT Outbound。

不带地址池的easy ip，使用nat设备出接口IP地址完成NAT：

执行命令interface interface-type interface-number [ .subnumber ]，进入接口或子接口视图。
执行命令nat outbound acl-number [ interface interface-type interface-number [ .subnumber ] ] [ vrrp vrrpid ]，配置Easy IP。