背景：

NAT在现实网络环境中大量使用，很多时候都是用在出口进行源地址转换，以达到一个公网IP地址能够给多个私网地址上网的效果。

很多环境下需要隐藏真实的IP地址，我们一步步讲解NAT的基本原理。

一、动态NAT 动态NAT（地址复用）：指将内部私有IP转换为公网IP地址时，IP的对应关系是不肯定的。也就是说只要指定哪些内部地址能够进行NAT转换，以及哪些能够的合法的IP地址能够做为外部地址，就能够进行动态转换了。也能够使用多个合法地址集。

应用场景：

源NAT（平时叫的NAT）：应用于局域网上网使用，有多个公网ip的状况下。目的NAT（平时叫的端口映射）：应用于局域网架设对外服务（web服务）场景，一个公网ip能够提供N个（端口号）服务。

二、 静态NAT

静态NAT：一对一，将内部网络的私有IP地址转换为公有合法IP地址。IP地址的对应关系是一对一的，并且是不变的

应用场景：

应用于局域网架设对外服务（web服务）场景，一个公网ip只能提供一个服务。

三、 PAT

PAT（端口复用）： 端口地址转换，把改变外出数据包的源IP地址和源端口并进行端口转换，即端口地址转换采用端口多路复用的方式。内部网络的全部主机都可共享一个合法外部IP地址实现互联网的访问。最大程度上节约IP地址资源

应用场景：

应用于局域网上网使用，只有一个公网ip的状况下。网络

总结：NAT分为动态NAT、静态NAT和PAT，而动态NAT又分为源NAT和目的NAT。

四、 拓扑图

五、 配置指令

R2配置指令：

sy

sy R2

int g0/0/0

ip add 192.168.2.2 24

int g0/0/2

ip add 192.168.1.2 24

int g0/0/1

ip add 1.1.1.2 24

R1配置指令：

sy

sy R1

int g0/0/0

ip add 1.1.1.1 24

int g0/0/1

ip add 192.168.3.1 24

acl number 2000

rule 5 permit source 192.168.1.0 0.0.0.255

rule 10 permit source 192.168.2.0 0.0.0.255

ip route-static 0.0.0.0 0 1.1.1.1

nat address-group 1 1.1.1.100 1.1.1.101

六、 动态NAT（pat=转换地址和端口号）

Int g0/0/1接口执行：

nat outbound 2000 address-group 1

PC1执行 ping 1.1.1.1后在R1和R2之间抓包，见下图：

R1执行dis nat session all，查看nat会话

从以上session可以看到：

192.168.1.100:63032转换成1.1.1.100:10270

192.168.1.100:63030转换成1.1.1.100:10268

………

注意：如果多台PC同时访问1.1.1.1的话，1.1.1.101是可能被使用的。

七、 动态NAT （no-pat=转换地址和端口号）

nat outbound 2000 address-group 1 no-pat

PC1执行 ping 1.1.1.1后在R1和R2之间抓包，见下图：

R1执行dis nat session all，查看nat会话：

从以上session可以看到没有做端口转发，只转换地址但不转换端口号，这就是ping的5个包有两个可以通，因为只有1.1.1.100和1.1.1.101两个IP可以使用，Session（会话）保持时间内，除了两个包，其他都会超时。

何为Session（会话）保持时间（在链接建立的生命周期中，内网的端口和外网的端口通过路由器建立起了映射，达到地址转换/端口转换的效果。）

八、 静态NAT

nat static global 1.1.1.103 inside 192.168.2.100 netmask 255.255.255.255

Server1执行 ping 1.1.1.1后在R1和R2之间抓包，见下图：

一对一，将内部网络的私有IP地址转换为公有合法IP地址。IP地址的对应关系是一对一的，并且是不变的。

Server1启用ftp和http服务，Client1访问Server1的ftp和http都正常，见截图：

九、 目的NAT

interface GigabitEthernet0/0/1

ip address 1.1.1.2 255.255.255.0

nat server protocol tcp global 1.1.1.104 8080 inside 192.168.2.100 www

nat server protocol tcp global 1.1.1.104 2121 inside 192.168.2.100 ftp

大家发现我已经把：nat outbound 2000 address-group 1去掉了，也就是说192.168.1.0/24和192.168.2.0/24网段不能访问外网，但是做了目的nat，将192.168.2.100：80映射到外网1.1.1.104：8080

192.168.2.100：21映射到外网1.1.1.104：2121，所以我们Client1访问Server1的ftp和http服务，见截图：

以上就是这次实验全部内容，创作不易，请各位点赞，转发，收藏，不甚感激。