NAT的类型与配置（学习笔记）

1、静态NAT
静态NAT是指在路由器中，将内网IP地址固定地转换为外网IP地址，通常应用在允许外网用户访问内网服务器的场景中。
2、动态NAT
动态NAT指将一个内部IP地址转换为一组外部IP地址池中的一个IP地址（公有IP地址）。动态NAT和静态NAT在地址转换上很相似，只是可用的公有IP地址不能被某个私有网络的计算机永久独自占有。
3、动态NAPT
动态NAPT指以IP地址及端口号（TCP或UDP）为转换条件，将专用网络的内部私有IP地址及端口号转换成外部公有IP地址及端口号
4、静态NAPT
静态NAPT指在路由器中以“IP地址+端口号”形式，将内网IP地址及端口号固定地址转换为外网IP地址及端口号，适用于允许外网用户访问内网计算机特定服务的场景中。
5、Easy IP
Easy IP 技术是NAPT的一种简化情况。Easy IP无须建立公有IP地址池，因为Easy IP只会用到路由器的出口IP地址，也会建立并维护一张动态地址及端口映射表，Easy IP会将这张表中的公有IP地址绑定为路由器R1的公网的出口IP地址。

实验要求:公司通过路由器R1接入Internet，并向Internet申请了两个公网IP地址：200.10.1.2和200.10.1.3。公司的Web服务器需要以静态NAT的方式对外提供服务，映射IP地址为200.10.1.3。拓扑图

配置思路
（1）为各设备的接口配置IP地址
（2）在路由器R1上配置NAT，将Web服务器的IP地址映射到200.10.1.3配置过程
（１）服务器的配置

（２）Ｒ１的配置

system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.0.254 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.10.1.2 24
[R1-GigabitEthernet0/0/1]nat static global 200.10.1.3 inside 192.168.0.2 　## 将公网IP：200.10.1.3映射到私有网络IP地址192.168.0.2
[R1-GigabitEthernet0/0/1]quit

查看映射关系

（3）将PC1配置上，验证映射是否成功


可以ping同200.10.1.3，抓包验证

可以看到，确实是服务器回复了PC1。

要求：公司通过路由器R1接入Internet，并向IInternet申请了一批公网IP地址：200.10.1.1~200.10.1.20，内网计算机（192.168.1.0/24）可通过路由器R1随机映射到公网，实现内外网互访。

拓扑图

配置思路
（1）为各设备的接口配置IP地址
（2）在路由器R1上配置公网IP地址
（3）在路由器R1上配置ACL规则，该规则定义了可用于映射公网的主机。
（4）在路由器R1上配置动态NAT，将符合ACL规则的主机自动映射到公网IP地址池中。

配置过程
（1）主机配置
PC1

PC2

PC3

（2）路由器配置

system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 
[R1-GigabitEthernet0/0/0]quit
[R1]int	
[R1]interface g	
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.10.1.1 24
[R1-GigabitEthernet0/0/1]quit

[R1]nat address-group 1 200.10.1.2 200.10.1.20
[R1]acl 2000
[R1-acl-basic-2000]rule 3 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit

[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat  ## no-pat参数指只转换地址，不转换端口
[R1-GigabitEthernet0/0/1]QUIT
[R1]

（3）验证
R2路由器查看信息

使用PC2pingInternet，然后在路由器GE0/0/1抓包查看

可以看到，一直是200.1.10.0网段与200.1.10.201通信，可知192.168.1.1网络转换成200.1.10.0网段

要求：基于动态NAT实现内网主机与外网通信，并希望采用NAPT来满足更多员工的外网接入需求配置思路
（1）为各设备的接口配置IP地址
（2）在路由器R1上配置公网IP地址池
（3）在路由器R1上配置ACL规则，该规则定义了可用于映射公网的主机。
（4）在路由器R1上配置动态NAT，将符合ACL规则的主机挨冻映射到公网IP地址池。配置过程
他的配置不变，所以只看路由器的配置

system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]int GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24 
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.10.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]nat address-group 1 200.10.1.2 200.10.1.2   ## 创建地址池，不能是已经在使用的地址
[R1]interface GigabitEthernet 0/0/1	
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  ## 没有no-pat就是转换数据报文的IP地址和端口
[R1-GigabitEthernet0/0/1]quit

查看NAPT会话信息

可以看到每次转换的地址虽然都一样，但是端口确不一样。

要求：公司通过路由器R1接入Internet，并申请到一个固定公网IP地址：200.10.1.1，要求使用Easy IP 技术实现全部内网计算快速访问Internet。拓扑图还是那一个配置思路
（1）为各设备接口配置IP地址
（2）在路由器R1上配置公网IP地址
（3）在路由器R1上配置ACL规则，该规则定义了可用于映射公网的主机
（4）在路由器R1上配置Easy IP，使符合ACL规则的主机可以访问公网配置过程
其他配置相同，只有路由器不同

sys	
system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname R1
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 192.168.1.254 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 200.10.1.1 24
[R1-GigabitEthernet0/0/1]quit
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000
[R1-GigabitEthernet0/0/0]quit

验证

[R1]dis nat outbound 
 NAT Outbound Information:
 --------------------------------------------------------------------------
 Interface                     Acl     Address-group/IP/Interface      Type
 --------------------------------------------------------------------------
 GigabitEthernet0/0/0         2000                  192.168.1.254    easyip  
 --------------------------------------------------------------------------
  Total : 1