NAT网络地址转换技术

随着Internet的发展和网络应用的增多，有限的IPv4公有地址已经成为制约网络发展的瓶颈。为解决这个问题，NAT ( Network Address Translation，网络地址转换）技术应运而生。

NAT技术主要用于实现内部网络的主机访问外部网络。一方面NAT缓解了IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全性。

接下来让我们一起来了解NAT的技术背景，学习不同类型NAT的技术原理以及使用场景。

NAT:

对IP数据报文中的IP地址进行转换，是一种在现网中被广泛部署的技术，一般部署在网络出口设备，例如路由器或防火墙上。

NAT的典型应用场景∶

在私有网络内部(园区、家庭）使用私有地址，出口设备部署NAT，对于“从内到外”的流量，网络设备通过NAT将数据包的源地址进行转换（转换成特定的公有地址)，而对于“从外到内的”流量，则对数据包的目的地址进行转换。

通过私有地址的使用结合NAT技术，可以有效节约公网IPv4地址。

因为私有地址是无法在Internet上路由转发，访问Internet的IP数据包将缺乏路由，便无法到达私有网络出口设备。

但如果使用了私有地址的私有网络需要访问Internet，必须在网络出口设备配置NAT，将访问Internet的IP数据报文中的私有网络源地址转换成公有网络源地址。

静态NAT

每个私有地址都有一个与之对应并且固定的公有地址，即私有地址和公有地址之间的关系是一对一映射。

支持双向互访:私有地址访问Internet经过出口设备NAT转换时，会被转换成对应的公有地址。同时，外部网络访问内部网络时，其报文中携带的公有地址(目的地址）也会被NAT设备转换成对应的私有地址。

静态NAT转换示例

静态NAT的配置

动态NAT

静态NAT严格地一对一进行地址映射，这就导致即便内网主机长时间离线或者不发送数据时，与之对应的公有地址也处于使用状态。为了避免地址浪费，动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。

当内部主机访问外部网络时临时分配一个地址池中未使用的地址，并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址，重新标记为“Not Use”。

动态NAT转换示例

当PC1的私网地址要访问200.1.2.3时，配置了NAT的设备会从自己的地址池中分配未使用的公网地址给这台源IP为192.168.1.1的设备进行转发，并生成一个临时的NAT映射表用来暂时保存。

动态NAT的配置

NAPT

由于动态NAT选择地址池中的地址进行地址转换时不会转换端口号，即No-PAT ( No-Port Address Translation，非端口地址转换），使得公有地址与私有地址是1:1的映射关系，无法提高公有地址利用率。

而NAPT从地址池中选择地址进行地址转换时不仅转换IP地址，同时也会对端口号进行转换，从而实现公有地址与私有地址的1:N的映射，这样可以有效提高公有地址利用率。

NAPT借助端口可以实现一个公有地址同时对应多个私有地址。

该模式同时对IP地址和传输层端口进行转换，实现不同私有地址(不同的私有地址，不同的源端口）映射到同一个公有地址(相同的公有地址，不同的源端口)。

动态NAT转换示例

Easy IP

实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于Easy lP没有地址池的概念，使用接口地址作为NAT转换的公有地址。

Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换。

以上都是由内网访问外网四种不同的NAT类型

NAT Server

指定[公有地址:端口]与[私有地址:端口]的一对一映射关系，将内网服务器映射到公网，当私有网络中的服务器需要对公网提供服务时使用。

外网主机主动访问[公有地址:端口]实现对内网服务器的访问。

NAT Server实现了内网主机对公网提供服务。

NAT Server转换示例

NAT实验

最后，我们再对以上几种网络地址转化技术做一个实践，加深理解，拓扑图如下：

地址规划

整体分内网和外网两大部分用来体现NAT使用

内网地址段规划：192.168.1.0/24

ISP到AR2地址段：21.1.10/24

外网地址规划：202.1.1.0/24

内网三台PC基础配置：

外网三台服务器基础配置：

配置示例：

1、基础配置

ISP：

[ISP]int GigabitEthernet 0/0/0[ISP-GigabitEthernet0/0/0]ip address 192.168.1.254 24[ISP-GigabitEthernet0/0/0]int g0/0/1 [ISP-GigabitEthernet0/0/1]ip address 21.1.1.1 24[ISP-GigabitEthernet0/0/1]q[ISP]ip route-static 0.0.0.0 0 21.1.1.2

AR2：

[AR2]int GigabitEthernet 0/0/0[AR2-GigabitEthernet0/0/0]ip address 21.1.1.2 24[AR2-GigabitEthernet0/0/0]int g0/0/1[AR2-GigabitEthernet0/0/1]ip address 202.1.1.254 24

LSW2：

# 在交换机上执行stp disable命令便于浏览抓包[Huawei]stp disable Warning: The global STP state will be changed. Continue? [Y/N]yInfo: This operation may take a few seconds. Please wait for a moment...done.[Huawei]

PC1测试到网关的连通性：

ISP测试与AR2的连通性：

AR2测试与服务器之间的连通性：

基础配置完成，测试PC1能否到达服务器（server1）

很显然是不通的，我们通过抓包发现请求出去的数据在AR2与服务器之前来回通信，但是数据包并没有到达ISP设备，由此可得内网不能直接访问公网IP。

接下来进行NAT技术的实验配置

静态NAT配置

例如将三个公网地址进行1:1映射给私网地址：

[ISP]int GigabitEthernet 0/0/1# 开启NA的T静态功能[ISP-GigabitEthernet0/0/1]nat static enable [ISP-GigabitEthernet0/0/1]nat static global 21.1.1.10 inside 192.168.1.1[ISP-GigabitEthernet0/0/1]nat static global 21.1.1.30 inside 192.168.1.2[ISP-GigabitEthernet0/0/1]nat static global 21.1.1.50 inside 192.168.1.3

再次进行测试，抓包发现由ISP发出的地址变为了公网地址21.1.1.10

动态NAT配置

ISP地址池配置：

21.1.1.10~21.1.1.15 例如地址池有5个公网地址，进行如下配置

# 配置编号为1，地址由21.1.1.10-21.1.1.15的地址池[ISP]nat address-group 1 21.1.1.10 21.1.1.15# 验证地址池配置 [ISP]dis nat address-group NAT Address-Group Information: -------------------------------------- Index Start-address End-address -------------------------------------- 1 21.1.1.10 21.1.1.15 -------------------------------------- Total : 1[ISP]

使用ACL关联地址池

[ISP]acl 2000[ISP-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255[ISP-acl-basic-2000]

或者直接使用 rule permit 命令，这代表所有网段都能匹配不做限制

关联方式：

进行动态NAT关联

[ISP]in g0/0/1 [ISP-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

进行测试

这里可以看到发出去的包都是使用不同地址，这是因为ICMP的特殊性，由于没有端口号，所以每次进行ping测试的时候会根据Identifier来区分，通过抓包可以看见21.1.1.10发出去与202.1.1.1回应的Identifier相同

但是查看下一个报文就会发现Identifier是不一样的

使用命令查看会话表

[ISP]dis nat session all NAT Session Table Information: Protocol : ICMP(1) SrcAddr Vpn : 192.168.1.1 DestAddr Vpn : 202.1.1.1 Type Code IcmpId : 0 8 17391 NAT-Info New SrcAddr : 21.1.1.13 New DestAddr : ---- New IcmpId : ---- Protocol : ICMP(1) SrcAddr Vpn : 192.168.1.1 DestAddr Vpn : 202.1.1.1 Type Code IcmpId : 0 8 17389 NAT-Info New SrcAddr : 21.1.1.11 New DestAddr : ---- New IcmpId : ---- Protocol : ICMP(1) SrcAddr Vpn : 192.168.1.1 DestAddr Vpn : 202.1.1.1 Type Code IcmpId : 0 8 17388 NAT-Info New SrcAddr : 21.1.1.10 New DestAddr : ---- New IcmpId : ---- Protocol : ICMP(1) SrcAddr Vpn : 192.168.1.1 DestAddr Vpn : 202.1.1.1 Type Code IcmpId : 0 8 17390 NAT-Info New SrcAddr : 21.1.1.12 New DestAddr : ---- New IcmpId : ---- Total : 4[ISP]

若是输入命令没有查到，是因为ICMP的过期时间短，可以在进行一次ping测试之后立刻使用命令查看！

通过命令可以很清楚的看到ICMP报文中的Identifier。

动态NAT的缺点就是当会话表被占用时可能会对其他设备造成网路延迟或中断，如图

所以为了解决这种问题我们进行NAPT的配置

[ISP-GigabitEthernet0/0/1]un nat outbound 2000 address-group 1 no-pat[ISP-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 [ISP-GigabitEthernet0/0/1]

再次查看两台PC

Easy IP配置

# 删除地址池，直接进行配置[ISP-GigabitEthernet0/0/1]un nat outbound 2000 address-group 1 [ISP-GigabitEthernet0/0/1]nat outbound 2000[ISP-GigabitEthernet0/0/1]

NAT Server配置

在内网添加一台服务器，外网添加Client设备，实现外网设备可以访问内网服务器 拓扑图如下

服务器配置：

Client配置：

在ISP接口下配置NAT Server

将内网服务器192.168.1.5的80端口映射到公有地址21.1.1.50的80端口。

nat server protocol tcp global 21.1.1.50 www inside 192.168.1.5 www

最后直接输入映射的公网地址进行测试，可以看到访问成功！