1.6-1 NAT技术资料文件与下载

1.6 NAT技术

1 NAT技术概述

NAT技术提供了一种在末节网络（末梢网络）中使用相同的私有IP地址空间，通过网络地址转换技术，使用少量公网IP地址使得内用大量用户可以访问互联网，从而减少所需公有IP地址的解决方案。

对于大多数需要接入Internet的企业来说，都必须使用NAT。NAT技术作为减缓IP地址枯竭的一种过渡方案，NAT通过地址重用的方法来满足IP地址的需要，可以在一定程度上缓解IP地址空间枯竭的压力。NAT除了解决IP地址短缺的问题，还带来了两个好处：

（1）有效避免来自外网的攻击，可以很大程度上提高网络安全性。

（2）控制内网主机访问外网，同时也可以控制外网主机访问内网。

2 NAT的实现方式

网络地址转换技术主要包含两大类：基本网络地址转换（Basic NAT）和基于端口网络地址转换（NAPT）。

（1） 基本网络地址转换Basic NAT

基本网络地址转换是公网IP地址和私有IP地址之间的一对一的转换，在这种方式下只对IP地址进行转换，而不处理TCP/UDP协议的端口号，一个公网IP地址不能同时被多个私网用户使用，如图所示。基本网络地址转换（Basic NAT）由于不能将一个公网IP地址提供给多个私网用户使用，一般很少使用。往往用在将内部服务器映射为外部服务器时使用。实现的方式分为：静态NAT（NAT STATIC和NAT SERVER）和一对一动态NAT。

（2）基于端口网络地址转换NAPT

基于端口网络地址转换NAPT（Network Address Port Translation）可以实现并发的地址转换。它允许多个内部私有IP地址映射到同一个公有IP地址上，因此也可以称为“多对一地址转换”或地址复用。NAPT方式属于多对一的地址转换，它通过使用“IP地址＋端口号”的形式进行转换，使多个私网用户可共用一个公网IP地址访问外网。

基于端口网络地址转换（NAPT）是目前主要采用的网络地址转换技术。它的实现方式分为两种：基于地址池NAPT（华为称为地址池NAT）和基于接口IP地址NAPT（华为称为Easy IP）。

3 NAT配置方法

NAT配置主要包括两种情况，一是动态地址转换配置，二时静态地址转换配置。

动态地址转换配置，包括动态一对一动态地址转换和多对一的基于端口的动态地址转换配置，采用的命令是NAT outbound；

静态地址转换配置，包括静态地址转换和内部服务器地址转换配置。静态地址转换配置使用的命令是NAT STATIC；内部服务器地址转换配置，使用命令是NAT Server。

下面根据三种NAT配置命令介绍NAT配置使用方法。

1. 配置动态地址转换（NAT outbound）

配置动态地址转换，需要配置访问控制列表ACL，用于限定需要进行地址转换的源地址范围，以及用户地址转换的公网地址池。所以，配置过程包含三个步骤。

第一步，配置访问控制列表（基本ACL和高级ACL），用于限定可以进行地址转换的源地址范围。仅当ACL的rule配置为permit时，设备允许匹配该规则中指定的源IP地址使用地址池进行地址转换。

第二步，配置公网地址池，使用命令nat address-group group-index start-address end-address。

第三步，配置动态地址转换。首先进入地址转换的接口视图，使用命令interface interface-type interface-number；然后执行动态地址转换。

（1）如果采用带地址池的动态地址转换，采用命令使用参数no-pat，则为一对一动态地址转换。不使用参数no-pat，则为多对一基于端口动态地址专业（NAPT）。

（2）如果采用外部接口地址进行动态地址专业，采用命令nat outbound acl-number [interface interface-type interface-number。这种方式华为称为Easy IP。

2. 配置静态地址转换（NAT static）

静态地址转换，可以在接口视图下配置，也可以在全局视图下配置，一般采用接口视图下配置，这里介绍在接口视图下配置。

在接口视图下，配置静态地址转换，根据实际情况选择下面的一条命令执行。

nat static protocol { tcp | udp } global { global-address |current-interface| interface interface-type interface-number} global-port [global-port2] inside host-address [host-address2] [host-port] [netmask mask] [acl acl-number]

或

nat static [protocol {protocol-number | icmp | tcp | udp } ] global {global-address |current-interface |interface interface-type interface-number} inside host-address [ netmask mask] [acl acl-number]

3. 配置内部服务器网络地址转换（NAT server）

内部服务器地址转换只要用于内部服务器向外提供网络网络服务。首先进入接口视图，采用命令

interface interface-type interface-number。然后配置内部服务器网络地址转换。根据实际情况选择一条命令配置执行。

nat server protocol{tcp | udp } global { global-address |current-interface |interface interface-type interface-number} global-port [global-port2]  inside host-address [host-address2] [host-port] [acl acl-number]

或

nat server [protocol {protocol-number |icmp |tcp |udp} ] global { global-address |current-interface | interface interface-type interface-number }  inside host-address [acl acl-number]

NAT Server配置主要是针对网络具体应用服务的的地址转换，一般需要指定应用服务对应的端口。对于指定对应服务端口的地址转换，NAT server和NAT static的区别就是NAT Server对于内网主动访问外网的情况不做端口替换，仅作地址替换。

后面通过示例介绍网络地址转换（NAT）配置方法。