华为NAT网络地址转换

　　NAT–Network Address Translation：网络地址转换
　　NAT属于接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法公网IP地址的IP地址转换技术，它被广泛应用于各种类型 Internet接入方式和各种类型的网络中。
　　NAT类型静态NAT（static NAT）：内部网络中的单个主机IP地址被永久映射成外部网络中的某个合法的公网IP地址。动态NAT（pooled NAT）：在外部网络中定义一个一系列的合法地址，采用动态分配的方法映射到内部网络。端口复用PAT（Port address Translation）：把多个内部地址映射到外内部网络的一个IP地址的不同端口上。
　　NAT介质（作用）
　　NAT地址转化技术的出现的重要价值主要体现在改善网络安全和解决IPv4地址不够用。
　　解决IPv4地址不足问题
　　这个主要通过动态NAT以及PAT来解决，其中PAT技术可以借助一个合法的公网IP地址使成百上千个内网用户达到访问外网的目标（如果不是PAT技术，IPv4那40多亿地址根本不能够满足地球人手一个可用的IPv4地址使用，更别提现在的物联网时代每个带电的设备都有属于自己的IP地址）
　　安全
　　通过地址转换将暴露的在公网的重要或核心服务器的地址映射出去，使映射的代理地址来应对攻击，相当于给受保护的地址披上了一层伪装。这是保护和隐藏重要服务器及核心设备地址不会轻易收到网络攻击的重要手段。
　　控制
　　控制内网主机访问外网，同时也可以控制外网主机访问内网，解决了内网和外网不能互通的问题。
　　NAT类型具体介绍
　　静态NAT
　　工作机制
　　NAT转换时，内部网络主机IP地址与公网IP是一对一静态绑定的，每个公网IP只能给固定的内网主机转换使用；静态NAT转换时只转换IP地址，不涉及端口号。
　　具体配置（全局配置+接口挂接）
　　（1）在NAT路由器配置好静态NAT转化映射表。   #系统视图配置将内网192.168.1.1地址转为公网地址100.1.1.1访问外网 [AR-2]nat static global 100.1.1.1 inside 192.168.1.1
　　（2）在公网接口启用静态NAT配置。   [AR-2]int G0/0/1 #此接口开启nat静态转换功能 [AR-2-GigabitEthernet0/0/1]nat static enable
　　（3）上面为全局配置，也可以直接在接口下配置   [AR-2]int G0/0/1 #接口模式下配置静态NAT的映射，将内网地址192.168.1.100映射为公网100.1.1.11访问外网 [AR-2-GigabitEthernet0/0/2]nat static global 100.1.1.11 inside 192.168.1.100
　　静态NAPT
　　工作机制
　　静态NAPT转换时，内部网络主机IP+端口号与公网IP+端口号进行一对一静态绑定的，每个公网IP只能给固定的内网主机转换使用；
　　配置
　　（1）在NAT路由器配置好静态NAPT转化映射表   [AR-2]nat static protocol tcp global 100.1.1.2 8080 inside 192.168.1.10 23
　　（2）在公网接口启用静态NAT配置。   [AR-2]int G0/0/1 [AR-2-GigabitEthernet0/0/1]nat static enable
　　动态NAT
　　Basic NAT
　　Basic NAT工作时，内部网络主机IP地址在预先设置好的公网IP地址池中的公网IP地址动态建立一对一映射；
　　Basic NAT工作时，在同一时刻的公网地址只能被一个私网地址所映射；‘’
　　Basic NAT转换时只转换IP地址，不涉及端口号。
　　配置
　　（1）在NAT路由器配置动态公网地址池   [AR-2]nat address-group 1 100.1.1.1 100.1.1.10
　　（2）用ACL匹配待转换的内网地址   [AR-2]acl 2000 [AR-2-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255 [AR-2-acl-basic-2000]quit
　　（3）在外网出口配置动态NAT，实现公网地址池和内网地址的挂接，只转换IP地址不进行端口转化。   [AR-2]int G0/0/1 [AR-2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
　　动态NPAT
　　工作机制
　　NAT转换时，内部网络主机IP+端口号与公网IP+端口号实现动态映射，实现多个内网共用一个公网IP地址访问外网。
　　配置
　　（1）在NAT路由器配置动态公网地址池   [AR-2]nat address-group 1 100.1.1.1 100.1.1.10
　　（2）用ACL匹配待转换的内网地址   [AR-2]acl 2000 [AR-2-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255 [AR-2-acl-basic-2000]quit
　　（3）在外网出口配置动态NAPT，实现公网地址池和内网地址的挂接（默认的动态NAT是动态PAT）   [AR-2]int G0/0/1 [AR-2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
　　Easy IP
　　工作机制
　　Easy IP是动态NAPT的一个特例
　　Easy IP自动将本设备的外网接口IP+端口和内网IP+端口进行映射；Easy IP无需创建公网地址池。
　　配置
　　（1）在NAT路由器通过ACL匹配待转化的内网地址   [AR-2]acl 2000 [AR-2-acl-basic-2000]rule 1 permit source 192.168.1.0 0.0.0.255 [AR-2-acl-basic-2000]quit
　　（2）在公网接口启用挂接匹配到的内网ACL。   [AR-2]int G0/0/0 [AR-2-GigabitEthernet0/0/0]nat outbound 2000
　　端口映射
　　NAT Server依然是公网IP+端口与内网IP+端口的映射；目的是解决公网IP访问内网IP的问题。
　　NAT Server依然是公网IP+端口与内网IP+端口的映射；目的是解决公网IP访问内网IP的问题。
　　NAT Server依然属于端口和IP地址都转换的NAT。
　　END