NAT是一種地址轉(zhuǎn)換技術(shù)，可以將私網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址訪問互聯(lián)網(wǎng)。

本節(jié)重點：了解NAT的原理以及NAPT和Easy-IP的配置

本節(jié)難點：理解為什么私網(wǎng)地址不能直接訪問公網(wǎng)以及公網(wǎng)上為什么不能出現(xiàn)私網(wǎng)的路由

1.NAT的原理和分類

NAT的原理：

對于“從內(nèi)到外"的流量，網(wǎng)絡(luò)設(shè)備通過NAT將數(shù)據(jù)包的源地址進(jìn)行轉(zhuǎn)換（轉(zhuǎn)換成特定的公有地址)，而對于“從外到內(nèi)的"流量，則對數(shù)據(jù)包的目的地址進(jìn)行轉(zhuǎn)換。

NAT分類：

靜態(tài)NAT（一對一）

靜態(tài)NAT:每個私有地址都有一個與之對應(yīng)并且固定的公有地址,即私有地址和公有地址之間的關(guān)系是一對一映射。

動態(tài)NAT（一對一）

動態(tài)NAT:靜態(tài)NAT嚴(yán)格地一對一 進(jìn)行地址映射， 這就導(dǎo)致即便內(nèi)網(wǎng)主機(jī)長時間離線或者不發(fā)送數(shù)據(jù)時，與之對應(yīng)的公有地址也處于使用狀態(tài)。為了避免地址浪費，動態(tài)NAT提出了地址池的概念:所有可用的公有地址組成地址池。

NAPT（一對多）

NAPT (Network Address and Port Translation, 網(wǎng)絡(luò)地址端口轉(zhuǎn)換) : 從地址池中選擇地址進(jìn)行地址轉(zhuǎn)換時不僅轉(zhuǎn)換IP地址，同時也會對端口號進(jìn)行轉(zhuǎn)換，從而實現(xiàn)公有地址與私有地址的1 :n映射，可以有效提高公有地址利用率。

Easy-IP（一對多）

Easy IP:實現(xiàn)原理和NAPT相同，同時轉(zhuǎn)換IP地址、傳輸層端口，區(qū)別在于Easy IP沒有地址池的概念，使用接口地址作為

NAT轉(zhuǎn)換的公有地址。

Nat server

NAT Server:指定[公有地址:端口]與[私有地址:端口]的一對一映射關(guān)系,將內(nèi)網(wǎng)服務(wù)器映射到公網(wǎng),當(dāng)私有網(wǎng)絡(luò)中的服務(wù)器需要對公網(wǎng)提供服務(wù)時使用。

2.NAT的配置

靜態(tài)NAT

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24

[R1-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1  //將內(nèi)網(wǎng)地址192.168.1.1轉(zhuǎn)換成公網(wǎng)地址122.1.2.1

[R1-GigabitEthernet0/0/1]nat static global 122.1.2.2 inside 192.168.1.2  //將內(nèi)網(wǎng)地址192.168.1.2轉(zhuǎn)換成公網(wǎng)地址122.1.2.2

[R1-GigabitEthernet0/0/1]nat static global 122.1.2.3 inside 192.168.1.3  //將內(nèi)網(wǎng)地址192.168.1.3轉(zhuǎn)換成公網(wǎng)地址122.1.2.3

動態(tài)NAT

[R1]nat address-group 1 122.1.2.1 122.1.2.3  //創(chuàng)建NAT地址池，編號為1，開始地址為122.1.2.1，結(jié)束地址為122.1.2.3

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   //匹配來自192.168.1.0/24的流量

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat  //來自192.168.1.0/24的流量在地址池1中做NAT轉(zhuǎn)化且不轉(zhuǎn)換端口號

NAPT

[R1]nat address-group 1 122.1.2.1 122.1.2.1  //創(chuàng)建NAT地址池，編號為1，開始地址為122.1.2.1，結(jié)束地址為122.1.2.1

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   //匹配來自192.168.1.0/24的流量

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1   //來自192.168.1.0/24的流量在地址池1中做NAT轉(zhuǎn)化且轉(zhuǎn)換端口號

Easy-IP

[R1]acl 2000

[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   //匹配來自192.168.1.0/24的流量

[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]nat outbound 2000   //來自192.168.1.0/24的流量達(dá)到此接口全部映射到此接口的不同端口號進(jìn)行外網(wǎng)的訪問

Nat server

[R1]interface GigabitEthernet0/0/1

[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24

[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080  //外網(wǎng)訪問202.10.10.1的8080端口相當(dāng)于訪問192.168.1.1的80端口