前言

随着网络的不断发展，对公网IP地址的需求与日俱增，为了缓解公网IP地址的不足，并且保护公司内部服务器的私网地址，可以使用网络地址转换（NAT）技术将私网地址转换为公网地址

一、NAT是什么？

NAT就是网络地址转换，是一种将内部网络的私网IP地址翻译成全球唯一的公网IP地址的技术

二、NAT简述

1.原理

NAT是用来将内网地址与端口号转换成合理地公网地址和端口号，建立公网与私网之间的会话，实现跨网通信（一个公网地址可以对应多个私网地址）
特点：NAT外部的主机无法主动跟位于NAT内部的主机通信，而内部主机想要通信必须要主动与公网的IP通信（其中路由负责建立映射关系来实现数据的转发功能）
数据有来也有回
从内网–>外网：会转换源IP地址，由私网地址转换成公网地址
从外网–>内网：会转换目的IP地址，由公网地址转换成内网地址

2.NAT类型

静态NAT：将内部网络的私有IP地址转换为公用合法的IP地址，IP地址的对应关系是一对一的，而且是不变的
动态NAT ：将内部网络的私有地址转换为公网地址时，IP地址的对应关系时不确定的、随机的，所有被授权访问互联网的私有地址可随即转换为任何指定的合法的外部地址，不过动态转换也是一对一的，所以只有内部网络同时访问Internet的主机数少于配置的合法地址池中的IP地址数时，才可以使用动态nat
NAPT：改变外出数据包的源IP地址和源端口，并进行端口转换。内部网络的所有主机均可共享一个合法的外部IP地址，从而节约公网IP地址资源
Easy IP ：将多个内部地址映射到网管出接口地址上的不同接口

3.NAT优点

节省公有合法IP地址、地址处理重叠、增量灵活性、安全性

缓解公网地址紧缺问题
解决IP地址空间冲突或重叠的问题
网络扩展性更高，本地控制也更容易
内网结构及相关操作对外边的不可见
增加了安全性

4.缺点

存在转发延迟
端到端寻址变得困难
某些应用不支持NAT（VPN）
NAT产生的表项需占用设备的内存空间
设备性能问题

三、NAT的实现方式

1、静态转换（Static Translation）

静态NAT可以实现私网地址和公网地址的一对一转换，有多少个私网就要配置多少个公网地址
缺点：不能节省公网地址
优点：可以隐藏内部网络
内部网络向外部网络发送报文时，静态NAT将报文的源IP地址转换为所对应的公网地址，而外部网络向内部网络发送报文时，静态NAT会将报文的目的地址转换为其所对应的私网地址

配置方法

1、全局模式下配置：
nat static global 8.8.8.8 inside 192.168.10.10 #设置静态NAT
int g0/0/1 #进入外网口
nat static enable #启动静态NAT
2、接口上配置：
int g0/0/1 #进入外网口
nat static global 8.8.8.8 inside 192.168.10.10 #设置静态NAT
display nat static #查看静态NAT配置信息

2、动态转换（dynamic Translation）

多个私网IP地址需要对应多个公网IP地址，是基于地址池的一对一映射，配置指令如下：
1、配置外部网口和内部网口的IP地址
2、定义合法的IP地址
nat address-group1 20.0.0.100 20.0.0.200 #新建一个名为1的nat地址池
3、定义访问控制列表
acl 2000 #创建acl（允许源IP为192.168.10.0/24网段和10.0.0.0/24的数据通过）
rule permit source 192.168.10.0 0.0.0.255 #源地址+反掩码
rule permit source 10.0.0.0 0.0.0.255

3、端口多路复用（Port Address Translation—-PAT）

PAT端口多路复用（Network Address PORT Translation）

3.1基本原理

是将不同的私网地址源IP转换为同一公网地址（不同端口号-1~65535对应不同服务）
公网——私网（一对多）作用：改变数据包的IP地址和端口号；节约公共网地址

3.2类型

静态PATNAT Server：内网地址+端口——–公网地址+端口
动态PATNAPT：网络地址端口转换——允许多个内部地址映射到同一个公有地址的不同端口
NAPT实现了私有地址对共有地址多对一
Easy IP：Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet（主要是应用在小规模局域网中）
从哪个内网客户端访问外网服务器就是把外网地址转换成其所绑定的内网地址，然后再对这个内网地址进行转发
进程之间都是通过端口来进行通讯的，不同的进程通信应该走不同的端口，且不能有冲突

4、ACL控制访问

4.1ACL的作用

是用于控制设备之间的数据包的互通。

4.2ACL的应用原则

基本ACL：尽量用在靠近目的点
高级ACL：尽量用在靠近源的地方（可以保护带宽和其他资源）

4.3ACL类型

5、NAT配置

5.1 NAPT配置

nat address-group 1 200.1.1.20 200.1.1.20 #配置NAPT（多个内网地址对应固定外网地址）
acl 2000 #允许目标网段通过
rule permit source 192.168.10.0/24 #允许网段的数据通过
nat outbound 2000 address-group 1 #在外网口上设置IP地址转换

5.2 Easy IP配置

1、配置外网口和内网口IP地址
2、定义合法合理的外网口IP地址
3、定义访问控制列表
4、在外网口设置IP转换地址，到接口时，自动转变为公网地址，不需要再配置公网地址
display nat session all #显示NAT流表信息

5.3NAT Server 配置

nat server protocol tcp global 9.9.9.9 www inside 10.1.1.1 www #公网地址映射成内网地址
##www是指80端口；ftp是指21端口

实验

实验要求：client为公网上的一个用户，R1为内网出口路由器，
内网PC可以访问web server，并且pc和webserver可以访问公网client，
client可以访问内网的web server

（1）R1配置

（2）R2配置

（3）SW1配置

（4）SW2配置

（5）检验
①PC可以访问web server（模拟器只能ping测试）

②pc和web server可以访问公网client

③client可以访问内网的web server （将内部webserver地址映射成12.0.0.50）