网络地址转换技术NAT

NAT

NAT (Network Address Translator )的主要原理是通过解析IP报文头部，自动替换报文头中的源地址或目的地址，实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。

1、内部地址访问外部地址 园区网内部，私有地址是不能上公网的，公网路由器上没有私网的路由

2、多个内部地址同时访问外部

3、NAT的形式

静态NAT 一个公网IP只会分配给唯一且固定的内网主机。 实际上是一对一的地址转换动态NAT（NAT-NOPAT） 基于地址池的转换 （地址池不是自己随意配置的，是运营商分配的） 实际上还是一对一的地址转换同时地址转换，他的含义，仅限于地址池有多少个IP，地址池有两IP，同时就只能转换两个IP 内部地址访问外部地址 对外发布服务器 =======================================NAPT 是多对一的地址转换 借用了端口号 基于地址池的多对一的转换Easy ip基于接口的多对一的地址转换 小规模局域网中的主机访问Internet的场景 1023-65535打破了端到端的通信过程 内网只能主动访问外网 外网不能主动访问内网==================================服务器的特殊性决定，它必须能够被外网访问以提供服务有两种办法可以实现内网发布服务器 静态NAT 直接一对一的绑定浪费公网IP 不适用于是有一个公网IP的网络环境NAT server利用绑定的PAT端口号来实现 类似家庭用路由器的DMZ主机

4、NAT的基本概念

外部全局网络:是指与位于LAN外部的路由器相连、无法识别LAN主机私有地址的任何网络。内部本地网络︰是指连接到私有寻址LAN中路由器接口的任何网络。内部网络中主机的IP地址在传输到外部目的地之前需要先进行转换。外部本地接口调用的方向 inside outside源地址转换和目标地址转换源地址转换表示的NAT转换的时源IP地址目标地址转换表示的NAT转换的是目标IP地址

5.NAT的工作原理

1）.PC1 ( 192.168.10.10)希望与外部 Web服务器(209.205.201.1)通信。它发送数据包给配置了NAT的网络边界网关R1。2）.R1读取数据包的目的IP地址，并检查数据包是否符合规定的转换标准。3）.R1有一个ACL，它确定该数据包的源IP地址是否可进行转换。若可以转换。4）.R1将内部本地IP地址转换成内部全局IP地址。5）.并将本地与全局地址映射关系存储在NAT表中。6）.沿途路由器通过查询路由表将数据包转发到目的地。7）.WEB服务器回应时，数据包回到R1的内部全局地址。8）.R1参考NAT表，发现这是原先转换的IP地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给P地址为192.168.10.10的PC1.9）.如果它没有找到映射关系，数据包将被丢弃。

6.NAT的优缺点

优点

缓解公网地址紧缺问题解决IP地址空间冲突或重叠的问题网络扩展性更高，本地控制也更容易内网结构及相关操作对外变得不可见增加了安全性

缺点

存在转发延迟端到端寻址变得困难某些应用不支持NATNAT产生的表项需占用设备的内存空间设备性能问题

5、NAT配置

需要和ACL结合

静态一对一IP映射

现在PC有需求要访问外网,在OR.上部署静态一对一IP映射,分配给内网PC192.168.1.1的公网地址是200.1.1.100[OR-GigabitEthernet0/0/1] nat static global 200.1.1.100 inside 192. 168.1.1

基于动态地址池的一对—IP映射( no-pat )

现在192.168.1.0/24网段的PC均需访问外网,申请到的公网地址池是200.1.1.100~200.1.1.110, 部署 一对一 的地址转换,也就是只转换数据包的地址而不转换端口信息。[OR-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

基于动态地址池的多对一 IP、端口映射

[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1

Easy IP

现在192.168.1.0/24网段的PC均需访问外网,现在希望内网能够使用GE0/0/1的公网IP .以Easy IP的方式访问公网。[OR-GigabitEthernet0/0/1] nat outbound 2000

内部服务器映射( nat server )

现在内网的Server需要对外提供WEB服务，申请到的公网地址是200.1.1.100,现在要将内网这台Server的TCP80端口映射到200.1.1.100的TCP 8080端口,使得外网能够访问。[OR-GigabitEthernet0/0/1] nat server protocol tcp global 200.1.1.100 8080 inside 192.168.1.100 80

如果觉得《网络地址转换技术NAT》对你有帮助，请点赞、收藏，并留下你的观点哦！