NAT–Network Address Translation：網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT屬于接入廣域網(wǎng)(WAN)技術(shù)，是一種將私有（保留）地址轉(zhuǎn)化為合法公網(wǎng)IP地址的IP地址轉(zhuǎn)換技術(shù)，它被廣泛應(yīng)用于各種類型 Internet接入方式和各種類型的網(wǎng)絡(luò)中。

NAT類型

靜態(tài)NAT（static NAT）：內(nèi)部網(wǎng)絡(luò)中的單個主機IP地址被永久映射成外部網(wǎng)絡(luò)中的某個合法的公網(wǎng)IP地址。

動態(tài)NAT（pooled NAT）：在外部網(wǎng)絡(luò)中定義一個一系列的合法地址，采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。

端口復用PAT（Port address Translation）：把多個內(nèi)部地址映射到外內(nèi)部網(wǎng)絡(luò)的一個IP地址的不同端口上。

NAT介質(zhì)（作用）

NAT地址轉(zhuǎn)化技術(shù)的出現(xiàn)的重要價值主要體現(xiàn)在改善網(wǎng)絡(luò)安全和解決IPv4地址不夠用。

解決IPv4地址不足問題

這個主要通過動態(tài)NAT以及PAT來解決，其中PAT技術(shù)可以借助一個合法的公網(wǎng)IP地址使成百上千個內(nèi)網(wǎng)用戶達到訪問外網(wǎng)的目標（如果不是PAT技術(shù)，IPv4那40多億地址根本不能夠滿足地球人手一個可用的IPv4地址使用，更別提現(xiàn)在的物聯(lián)網(wǎng)時代每個帶電的設(shè)備都有屬于自己的IP地址）

安全

通過地址轉(zhuǎn)換將暴露的在公網(wǎng)的重要或核心服務(wù)器的地址映射出去，使映射的代理地址來應(yīng)對攻擊，相當于給受保護的地址披上了一層偽裝。這是保護和隱藏重要服務(wù)器及核心設(shè)備地址不會輕易收到網(wǎng)絡(luò)攻擊的重要手段。

控制

控制內(nèi)網(wǎng)主機訪問外網(wǎng)，同時也可以控制外網(wǎng)主機訪問內(nèi)網(wǎng)，解決了內(nèi)網(wǎng)和外網(wǎng)不能互通的問題。

NAT類型具體介紹

靜態(tài)NAT

工作機制

NAT轉(zhuǎn)換時，內(nèi)部網(wǎng)絡(luò)主機IP地址與公網(wǎng)IP是一對一靜態(tài)綁定的，每個公網(wǎng)IP只能給固定的內(nèi)網(wǎng)主機轉(zhuǎn)換使用；靜態(tài)NAT轉(zhuǎn)換時只轉(zhuǎn)換IP地址，不涉及端口號。

具體配置（全局配置+接口掛接）

（1）在NAT路由器配置好靜態(tài)NAT轉(zhuǎn)化映射表。

#系統(tǒng)視圖配置將內(nèi)網(wǎng)192.168.1.1地址轉(zhuǎn)為公網(wǎng)地址100.1.1.1訪問外網(wǎng) [AR-2]nat static global 100.1.1.1 inside 192.168.1.1

（2）在公網(wǎng)接口啟用靜態(tài)NAT配置。

[AR-2]int G0/0/1 #此接口開啟nat靜態(tài)轉(zhuǎn)換功能 [AR-2-GigabitEthernet0/0/1]nat static enable

（3）上面為全局配置，也可以直接在接口下配置

[AR-2]int G0/0/1 #接口模式下配置靜態(tài)NAT的映射，將內(nèi)網(wǎng)地址192.168.1.100映射為公網(wǎng)100.1.1.11訪問外網(wǎng) [AR-2-GigabitEthernet0/0/2]nat static global 100.1.1.11 inside 192.168.1.100

靜態(tài)NAPT

工作機制

靜態(tài)NAPT轉(zhuǎn)換時，內(nèi)部網(wǎng)絡(luò)主機IP+端口號與公網(wǎng)IP+端口號進行一對一靜態(tài)綁定的，每個公網(wǎng)IP只能給固定的內(nèi)網(wǎng)主機轉(zhuǎn)換使用；

配置

（1）在NAT路由器配置好靜態(tài)NAPT轉(zhuǎn)化映射表

[AR-2]nat static protocol tcp global 100.1.1.2 8080 inside 192.168.1.10 23

（2）在公網(wǎng)接口啟用靜態(tài)NAT配置。

[AR-2]int G0/0/1 [AR-2-GigabitEthernet0/0/1]nat static enable

動態(tài)NAT

Basic NAT

Basic NAT工作時，內(nèi)部網(wǎng)絡(luò)主機IP地址在預先設(shè)置好的公網(wǎng)IP地址池中的公網(wǎng)IP地址動態(tài)建立一對一映射；

Basic NAT工作時，在同一時刻的公網(wǎng)地址只能被一個私網(wǎng)地址所映射；‘’

Basic NAT轉(zhuǎn)換時只轉(zhuǎn)換IP地址，不涉及端口號。

配置

（1）在NAT路由器配置動態(tài)公網(wǎng)地址池

[AR-2]nat address-group 1 100.1.1.1 100.1.1.10

（2）用ACL匹配待轉(zhuǎn)換的內(nèi)網(wǎng)地址

[AR-2]acl 2000 [AR-2-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255 [AR-2-acl-basic-2000]quit

（3）在外網(wǎng)出口配置動態(tài)NAT，實現(xiàn)公網(wǎng)地址池和內(nèi)網(wǎng)地址的掛接，只轉(zhuǎn)換IP地址不進行端口轉(zhuǎn)化。

[AR-2]int G0/0/1 [AR-2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat

動態(tài)NPAT

工作機制

NAT轉(zhuǎn)換時，內(nèi)部網(wǎng)絡(luò)主機IP+端口號與公網(wǎng)IP+端口號實現(xiàn)動態(tài)映射，實現(xiàn)多個內(nèi)網(wǎng)共用一個公網(wǎng)IP地址訪問外網(wǎng)。

配置

（1）在NAT路由器配置動態(tài)公網(wǎng)地址池

[AR-2]nat address-group 1 100.1.1.1 100.1.1.10

（2）用ACL匹配待轉(zhuǎn)換的內(nèi)網(wǎng)地址

[AR-2]acl 2000 [AR-2-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255 [AR-2-acl-basic-2000]quit

（3）在外網(wǎng)出口配置動態(tài)NAPT，實現(xiàn)公網(wǎng)地址池和內(nèi)網(wǎng)地址的掛接（默認的動態(tài)NAT是動態(tài)PAT）

[AR-2]int G0/0/1 [AR-2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

Easy IP

工作機制

Easy IP是動態(tài)NAPT的一個特例

Easy IP自動將本設(shè)備的外網(wǎng)接口IP+端口和內(nèi)網(wǎng)IP+端口進行映射；Easy IP無需創(chuàng)建公網(wǎng)地址池。

配置

（1）在NAT路由器通過ACL匹配待轉(zhuǎn)化的內(nèi)網(wǎng)地址

[AR-2]acl 2000 [AR-2-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255 [AR-2-acl-basic-2000]quit

（2）在公網(wǎng)接口啟用掛接匹配到的內(nèi)網(wǎng)ACL。

[AR-2]int G0/0/0 [AR-2-GigabitEthernet0/0/0]nat outbound 2000

端口映射

NAT Server依然是公網(wǎng)IP+端口與內(nèi)網(wǎng)IP+端口的映射；目的是解決公網(wǎng)IP訪問內(nèi)網(wǎng)IP的問題。

NAT Server依然是公網(wǎng)IP+端口與內(nèi)網(wǎng)IP+端口的映射；目的是解決公網(wǎng)IP訪問內(nèi)網(wǎng)IP的問題。

NAT Server依然屬于端口和IP地址都轉(zhuǎn)換的NAT。