【华为】NAT的分类和实验配置

NAT产生的技术背景

随着互联网用户的增多，IPv4的公有地址资源显得越发短缺。
同时IPV4公有地址资源存在地址分配不均的问题，这导致部分地区的IPv4可用公有地址严重不足。
一方面NAT缓解IPv4地址短缺的问题，另一方面NAT技术让外网无法直接与使用私有地址的内网进行通信，提升了内网的安全性。

IP地址分类

公有地址： 公有地址是互联网上全局唯一且可访问的地址，就是可以直接上网，由Internet NIC（Internet Network Information Center，因特网信息中心）负责分配和管理。
私有地址： 私有地址则是一类特殊的IPv4地址，主要用于内部网络（如企业局域网、家庭网络等）之间的通信。这些地址在公共互联网上不被识别和使用，因此不能直接从互联网上进行访问。

A、B、C类地址中格预留一些地址专门作为私有地址：
A类：10.0.0.0 - 10.255.255.255
B类：172.16.0.0 - 172.31.255.255
C类：192.168.0.0 - 192.168.255.255

NAT技术原理

NAT是将IP数据报文头中的IP地址转换为另一个IP地址的过程，主要用于实现内部网络（私有IP地址）访问外部网络（公有IP地址）的功能。

NAT的典型应用场景:在私有网络内部(园区、家庭)使用私有地址，出口设备部署NAT，对于“从内到外”的流量，网络设备通过NAT将数据包的源地址进行转换(转换成特定的公有地址)，而对于“从外到内的”流量，则对数据包的目的地址进行转换。

通过私有地址的使用结合NAT技术，可以有效节约公网IPv4地址。

NAT分类

静态NAT

静态NAT通过建立一对一的地址映射关系来实现内外网之间的通信。
内部主机的私有IP地址被手动配置映射到一个公有IP地址。当内部主机发送数据包时，NAT设备会检查数据包的源IP地址，并在静态NAT转换表中查找与源IP地址匹配的映射规则。
将内接口192.168.10.1 转换成 全局接口IP（公有IP地址） 202.101.1.100

动态NAT

动态NAT使用地址池中的公有IP地址来动态地为内部网络的主机分配地址。
当内部主机需要访问外部网络时，NAT设备会从地址池中选取一个未使用的公有IP地址，并将其与内部主机的私有IP地址建立映射关系。
现网中几乎没有用，当作了解即可

NAPT

NAPT（Network Address Port Translation，网络地址端口转换）
NAPT是NAT的一种扩展形式，它允许多个内部主机共享一个公有IP地址，NAPT不仅转换IP地址，还转换TCP或UDP端口号。

当内部主机向外部网络发送数据包时，NAPT设备会将源IP地址和源端口号替换为公有IP地址和一个不冲突的端口号，并在转换表中记录这个映射关系。

Easy IP（PAT）

实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于EasyIP没有地址池的概念,直接用出接口IP地址作为NAT转换的公有地址。

Easy IP适用于不具备固定公网IP地址的场景: 如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用获取到的动态地址进行转换。

NAT Server

NAT Server是一种在NAT设备上实现的特定服务，它允许内部网络中的特定服务器通过公有IP地址暴露给外部网络。

指定[公有地址:端口]与[私有地址:端口]的一对一映射关系，将内网服务器映射到公网
当私有网络中的服务器需要对公网提供服务时使用。
外网主机主动访问[公有地址:端口]实现对内网服务器的访问。

外部网络的客户端可以通过这些公有IP地址访问内部服务器，而NAT设备会负责将外部请求转发给内部服务器，并将内部服务器的响应返回给外部客户端。
（就是能够从公网访问到我内部服务器）

配置

拓扑

静态NAT

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

##配置IP地址
[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 1、全局下开启，需要在接口下调用
[AR1]nat static global 202.101.1.100 inside 192.168.10.1[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] nat static enable'## 2、直接在接口下调用
[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0]nat static global 202.101.1.100 inside 192.168.10.1'

测试

抓包

转换成功

动态NAT

配置步骤
① 先创建一个地址池
② 配置地址转换的ACL规则（感兴趣流量）
③ 接口视图下部署带地址池的NAT outbound（no-pat）

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 创建NAT地址池 1
[AR1]nat address-group 1 202.101.1.10 202.101.1.12## 创建ACL规则，匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255 
[AR1-acl-basic-2000]quit ## 进入接口视图下部署带地址池的NAT outbound，并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat    
[AR1-GigabitEthernet0/0/0]quit
## no-pat参数指定不进行端口转换[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1

测试

通信虽然成功了，但因为我们NAT地址池中只有三个公有地址，会导致ping包不够用，这个就是动态NAT的缺陷
我们在现网当中，常用的是NAPT和Easy IP，所以这个动态NAT当作一个了解就好

抓包

在抓到的数据包中会更明显

NAPT

配置步骤
① 先创建一个地址池
② 配置地址转换的ACL规则（感兴趣流量）
③ 接口视图下部署带地址池的NAT outbound

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 创建NAT地址池 1
[AR1]nat address-group 1 202.101.1.10 202.101.1.12## 创建ACL规则，匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255 
[AR1-acl-basic-2000]quit ## 进入接口视图下部署带地址池的NAT outbound，并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1   ## 默认是端口转换
[AR1-GigabitEthernet0/0/0]quit[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1

测试

这个就已经是5个报文全通了，和上面的动态NAT有区别了
NAPT是用一个公有IP地址的端口来进行转换，而伪端口又有很多个，所以完全够用

抓包

PAT

配置步骤
① 配置地址转换的ACL规则（感兴趣流量）
② 接口视图下部署NAT outbound

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

[AR1]interface GigabitEthernet0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]quit ## 创建ACL规则，匹配哪些流量可以进行地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule 10 permit source 192.168.10.0 0.0.0.255
[AR1-acl-basic-2000]quit ## 进入出接口部署 NAT outbound，并关联ACL 2000
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000
[AR1-GigabitEthernet0/0/0]quit[AR1]ip route-static 0.0.0.0 0.0.0.0 202.101.1.1

测试

抓包

直接将出接口IP地址202.101.1.2 拿来做端口转换

NAT Server

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname AR1[AR1]undo info-center enable 
Info: Information center is disabled.

## 将192.168.10.100 端服务器地址端口8080 映射给 公网地址202.101.1.200 的 80 端口上
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0] ip address 202.101.1.2 255.255.255.0 
[AR1-GigabitEthernet0/0/0]nat server protocol tcp global 202.101.1.200 www insid
e 192.168.10.100 8080  

检测

抓包

能看到我的202.101.1.1 去ping 202.101.1.200 80 端口，就说明这个配置没有问题，只是模拟器的服务器不支持Telnet登入，所以才会导致失败，命令是没有问题的

PC1

PC2

服务器