NAT技术

NAT技术（网络地址转换技术：Network AdressTranslation）

1、为什么要学习NAT？

ip地址逐渐紧缺，已经不能满足网络通信的需求，需要一个技术来对网络地址进行适度扩充。于是也就诞生了一种解决该地址危机的思路：NAT技术+公私网地址规定。

2、公私网

ABC三类中抽取一小部分地址作为私有地址，其余的地址都称为公网地址。 私有IP范围： A: 10.0.0.0—10.255.255.255； B: 172.16.0.0---172.31.255.555； C: 192.168.0.0---192.168.255.255。

3、公私网地址使用规定

局域网/私网/内网内部必须使用私有ip地址，公网/互联网/外网中必须使用公有ip地址，公网中不允许出现私有ip地址。并且不同的私网，是可以出现重复的私有ip的，并不冲突，因为内网和内网之间是不能用私有地址进行通信的，私有地址用作内网之间的主机互相通信。

4、公私网地址的应用场景

对于人们日常的居家上网来说，家里连接有线网络或者wifi的时候，我们在家使用的是私有ip，通过路由器或者网线访问外网的时候，运营商就会根据需求给每家的所有用户设置一个公网ip地址提供用户上网使用，那我们的私网地址是如何转换成公网地址完成上网的呢？又是如何做到多个私有ip转换成一个公有ip地址使用网络的呢？这就利用到了NAT技术。

5、NAT技术的实现

在公司，学校，家庭能存在内部网络环境的网络边缘设备上，启用NAT技术，实现私网地址和公网地址的互相转换。

6、NAT的工作原理

对公司出口的路由器进行配置：

int f0/0
ip nat inside       #指定为内部nat端口
int f0/1
ip nat outside    #指定为外部nat端口
exit

一旦指定了内外网端口，NAT技术就会做出以下的转换动作：

1)内网数据--->外网，NAT将源ip地址转换为公网ip地址，简称为源转换。

2)外网数据--->内网走，NAT将公网目标ip地址转换为内网目标ip地址，简称目的转换。

6.1NAT技术的转换方式：

静态地址转换（一对一地址转换）：手动配置一张NAT地址转换表，其中记录了内网ip地址和外网ip地址的对应关系，如：s 192.168.1.1------100.1.1.1

动态地址转换（一对多地址转换，也叫PAT）：内网设置一个NAT地址池，里面存放所有可以被转换为公网ip上网的内网ip地址

6.2PAT技术的命令配置

在公司边界的路由器上配置：

en

conf t

access-list 1 permit 192.168.1.0 0.0.0.255        #写一个访问列表1作为NAT内部地址池，并利用反子网掩码0.0.0.255设置一个地址匹配范围，0代表精准匹配ip地址对应的数字，255表示IP地址对应位置上0-255任意一个数字任意匹配：192.168.1.0网段中的所有主机。只要有一个该网段的主机出现，都判断为该地址池中的一员。

ip nat inside source list 1 int f0/1 overload          #将内网ip发出的数据包根据源ip地址和列表1进行匹配，匹配成功就将其转换成f0/1端口的ip地址，并且同时分配一个随机端口替换内网源端口号。

show ip nat translation                                        #查看nat地址转换表，在内网ip没有上网时是空白的，只有上网之后，才会刷新该表产生地址转换记录

6.3静态端口映射（静态目的转换）配置

静态端口映射应用在内网服务器对外发布的场景，就是为了将服务器的端口映射到公网上去。例如：将内网服务器的web服务映射到公网上，使用以下配置： 第一步：设置边界路由器的nat内网端口和外网端口。

en
conf t
int f0/0
ip nat inside
int f0/1
ip nat outside
exit

第二步：将内网服务器192.168.1.4的80端口映射到外网ip地址100.1.1.1的80端口，用于提供给外网的用户访问。

ip nat inside source static tcp 192.168.1.4 80 100.1.1.1 80

内网发布多个服务到公网的场景

实现该需求，有两种思路：

1、如果需要让两台内网web服务器都开启公网的服务，由于只购买了一个公网ip，为了防止公网ip的端口出现冲突，一般将另外一个网站的端口设置为8080，命令配置如下： ip nat inside source static tcp 192.168.1.253 80 100.1.1.1 8080

2、购买第二个ip地址，使用该地址单独作为第二个web服务器的公网地址： 如果公司管理者觉得一个公网ip不够用，想找运营商购买更多的ip地址(如100.1.1.3)，此时由于边界路由器的公网接口已经有一个ip地址霸占，不能再配置其他ip地址，所以新买的地址只需要付费并授权即可。运营商会帮助我们实现关于100.1.1.3的控制，只要公网出现了100.1.1.3这个ip地址的数据包，运营商就会将其转发给公司的边界路由器进行处理，此时我们只需要写一条nat地址转换记录完成ip映射即可。命令配置如下： ip nat inside source static tcp 192.168.1.252 80 100.1.1.3 80