huawei ict day10 nat

NAT（网络地址转换）

原理：通过该NAT技术，实现私网地址转换公网地址，进行私网设备访问公网设备功能

应用：

①静态NAT： 一个私有地址只能转换一个公有地址，一对一的映射转换，需要额外占用公网，浪费公网ip地址使用；
缺陷： 1.配置繁琐，需要手工一对一配置
2.浪费公网ip地址，不太适用于园区部署

配置：
int g 0/0/1 //在连接公网的出接口
nat static global 122.1.2.11 inside 192.168.1.1 //配置静态nat映射表项，将私网地址192.168.1.1 映射为公网地址122.1.2.11

②动态NAT：可以创建私网，公网地址池，根据公网地址池空闲的地址实现动态NAT的转换，不需要人为一对一绑定，较灵活；
缺点：1.在大型网络中，由于公网地址池的接口数量少，导致批量pc映射时失败，丢包的问题，不稳定；

配置：
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255 //创建私网地址池 为 192.168.1.0 24 网段

nat address-group 1 122.1.2.11 122.1.2.20 //创建公网地址池为122.1.2.11-20

int g 0/0/1
ip address 122.1.2.1 255.255.255.0
nat outbound 2000 address-group 1 no-pat //在出接口调用绑定私网地址池和公网地址池

③动态NAPT：在动态NAT的基础上，增加port ID进行标识，实现N：1映射（多个私网地址共同转换为一个公网地址），在大型网络中映射时，相比动态NAT稳定，不会出现公网不够用映射失败的问题，基于端口号映射；
缺点：需要额外使用公网地址作为映射，至少消耗两个公网地址，成本高；

配置：
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255 //创建私网地址池 为 192.168.1.0 24 网段

nat address-group 1 122.1.2.11 122.1.2.11 //创建公网地址池为122.1.2.11

int g 0/0/1
ip address 122.1.2.1 255.255.255.0
nat outbound 2000 address-group 1 //在出接口调用绑定私网地址池和公网地址池

④Easy IP：实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于Easy IP没有地址池的概念，只用接口地址作为NAT转换的公有地址即可（最常使用的配置）；

配置：

acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255 //创建私网地址池 为 192.168.1.0 24 网段

interface GigabitEthernet0/0/1
ip address 122.1.2.1 255.255.255.0
nat outbound 2000 //在出接口调用绑定私网地址池即可

以上四种nat都是基于数据包的源ip地址进行nat映射，公网访问私网时基于目的ip地址进行nat映射

⑤nat server：公网访问私网时，基于目的ip地址进行nat映射

int g 0/0/1
nat server global 122.1.2.100 inside 192.168.1.1

display nat session all //用于查看nat映射信息