NAT—地址转换（理论篇）

NAT

IPv4地址无法满足网络的发展，为了节约IPv4地址，

将IPv4地址分为公有地址和私有地址

公有IP地址应用在广域网，全球唯一，私有IP地址可以重复的使用，但会出现IP重叠，因此广域网中的路由器都不会给私有IP地址做路由，所以需要NAT进行地址转换

NAT的作用是网络地址转换

NAT的作用

• 对IP报头中的“私有IP地址”和“公有IP地址”进行转换，实现内网到外网的访问
• 隐藏内网，提高网络安全性

NAT应用场景：

企业园区网的边界设备（出口设备）

NAT工作原理：

1）NAT工作依赖一张表： NAT会话转换表

在NAT会话表中记录了 私有IP地址公有IP地址的绑定关系（映射关系）

私有IP                   公有IP

192.168.1.1          100.1.1.3

数据包从内向外发送时

转换的是数据包的：“源IP地址”，由私转公

先经过路由表，再经过NAT表

数据包从外向内返回时

转换的是数据包的：“目标IP地址” 由公转私

先经过NAT表，再经过路由表

数据包从内网到外网的时候，首先查找路由表，再次查找NAT表；

转换的是源IP地址，将私有地址，转换成公有IP地址。

数据包从外网到内网的时候，首先查找NAT表，再次查找路由表；

转换的是目标IP地址，将公有地址，转换成私有IP地址。

NAT分类

静态NAT:

1）静态1对1：私网 IP 地址与公网 IP 地址进行一对一的固定映射

优点：

地址固定：每个私网地址都有一个固定的公网地址对应，便于管理

：主要应用场景：服务器映射（对网络稳定要求高的）

双向互通：私网可以访问公网，公网用户也可以直接访问私网中的服务器

：只有静态NAT可以实现双向互访

不足：

• 浪费公网地址：每一个私网地址都需要绑定一个公网地址，无法节省公网地址资源
• 维护难度大：随着网络规模的扩大，维护一对一映射的地址表变得更加困难。每次添加或删除内部设备，都需要相应地更新 NAT 配置，增加了管理负担
• 存在安全隐患：虽然便于管理和监控，但也暴露了内网设备，容易成为攻击目标

应用场景：

• 服务器映射：企业将内部的 Web 服务器、邮件服务器或 FTP 服务器等映射到公网 IP 地址上
• 安全控制：对于内部网络中的关键服务器或重要工作站，通过将其映射到特定的公有 IP 地址来实现访问限制，防止未经授权的访问

动态NAT:

• 动态 NAT 使用一个公网地址池
• 私有 IP 地址的主机访问外部网络时，NAT 设备会从地址池中选择一个未被其他主机占用的公有 IP 地址，将该私有 IP 地址与选中的公有 IP 地址进行一对一的映射转换。
• 当数据会话结束后，路由器会释放掉该公有 IP 地址，使其回到地址池，以供其他内部私有 IP 地址进行转换。

优点：在一定程度上可以实现多个内部主机共享有限的公网 IP 地址资源

不足：当多个私有IP地址同时访问公网应用时，地址池里公网地址数量如果小于私有IP地址，会导致NAT地址池枯竭，导致内网主机无法访问公网应用。出现网络访问时断时续的情况

NAPT：网络地址端口转换（ Network Address Port Translation ）

1）多对一的地址转换，使用“IP地址＋端口号”的形式进行转换，使多个私有IP地址可共用一个公网IP地址访问外网

2）允许多个私有地址同时转换为同一个公有地址，因此也称为“多对一地址转换”或地址复用

3）NAPT的实现方式主要有EasyIP（中小型网络）和地址池NAPT（大型网络）

配置NAPT之地址池NAT

边界设备/出口设备R1配置：

[R1]nat address-group 1 100.1.1.3 100.1.1.5 //创建nat地址池，注意子网数量

[R1]acl 2000

[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 //定义acl，允许192.168.1.0网段的客户机数据

[R1-acl-basic-2000]quit

[R1]int g0/0/1

[R1-G0/0/1]nat outbound 2000 address-group 1

//acl 2000 定义的内网地址段，192.168.1.0/24 绑定公网地址池 address-group 1

//表示的是利用address-group 1地址池里面的公网IP给

acl 2000定义的私有IP地址段：192.168.1.0/24 做nat转换

优点：节省公网 IP 地址

不足：端口管理复杂

应用场景：企业园区网络

EasyIP：当没有额外的公网IP地址来做NAT地址转换时，

可以利用出接口设备的IP地址进行NAT地址转换

优势：非常节约IP地址，配置简单，适用于中小型网络，网络规模小，主机数量少

不足：

性能受限：内网主机过多，流量过大，依赖这个接口做数据转发和NAT转换，会导致接口压力过大，网络延迟、丢包

扩展受限：内网主机过多，上网连接数过多时，会导致并发连接请求过多，会出现NAT地址池枯竭（总共6万多个地址），其余主机电脑访问外网请求会被丢弃，网页时断时连，微信，QQ不掉线

解决方案：增加多出口

第三步：配置NAPT之EasyIP

边界设备R1配置：

[R1]nat address-group 1 100.1.1.3 100.1.1.5 //创建nat地址池

[R1]acl 2000

[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255 //定义acl

[R1-acl-basic-2000]quit

[R1]int g0/0/1

[R1-G0/0/1]nat outbound 2000 （利用出口IP地址做转换）

//acl 2000 定义的内网地址段

NAT Server：

NATServer 是一种特殊的静态NAT

主要应用于外网用户访问企业内网服务器的场景

在内网出口进行配置：

[R1-GigabitEthernet0/0/0] nat server protocol tcp global 200.1.1.9 www inside 192.168.10.2 www