第12章網絡地址轉換12.1NAT的原理與配置12.2PAT的原理與配置本章小結

12.1NAT的原理與配置

12.1.1NAT的原理1.?NATNAT(NetworkAddressTranslation，網絡地址轉換)技術產生的背景是由于上網需求量巨大，導致IPv4公網地址短缺。如圖12.1所示，內部網絡中的主機可以使用私有地址，共用幾個公網地址，由路由器做地址轉換，從而實現上網的需求。

圖12.1NAT(1)

那么路由器如何進行地址轉換呢？路由器使用公網地址替換源IP地址，然后將數據包轉發出去，如圖12.2所示。圖12.2NAT(2)

當數據包返回時，路由器又如何處理呢？路由器會記錄一張NAT轉換表。為了便于理解，我們看一下簡化的NAT轉換表，如表12-1所示。當數據包返回時，路由器根據NAT轉換表再做處理。

2.?NAT的類型

對于NAT的分類及名稱，各廠商都有不同的標準。

NAT分為靜態NAT和動態NAT。

1)?靜態NAT

靜態NAT實現了私有地址和公網地址的一對一映射，一個公網IP地址只會分配給唯一且固定的內網主機。靜態轉換是雙向的，即內外網雙方可以互相訪問。

2)?動態NAT

動態NAT基于地址池來實現私有地址和公網地址的轉換，雖然也是一對一映射，但不是固定的，在華為也稱其為BasicNAT。動態轉換是單向的，即只能從內網去訪問外網，反之則不能訪問。

12.1.2動態NAT的配置

如圖12.3所示，使用eNSP搭建實驗環境，該環境供本章所有實驗使用。

動態NAT在實際工作中很少用到，這里通過一個實驗來熟悉其配置，要求將內部網絡地址10.1.1.0/24轉換為公網地址200.1.1.1～200.1.1.10/28來訪問外網，測試PC1能ping通Server3并抓包查看其地址轉換過程。

圖12.3動態NAT配置案例

在路由器G0/0/2接口處抓包，源地址已做轉換，如圖12.4所示。圖12.4動態NAT抓包

此時在Server3上ping不通PC1，說明動態NAT是單向的，如圖12.5所示。圖12.5動態NAT的單向測試

動態NAT的地址轉換過程如圖12.6所示。圖12.6動態NAT地址的轉換過程

12.1.3靜態NAT的配置

使用eNSP搭建實驗環境，如圖12.7所示。

要求將內部IP地址10.1.1.11/24、10.1.1.12/24靜態轉換為外部公有IP地址200.1.1.11/28、200.1.1.12/28，以便其訪問外網(Server3)或被外網(Server3)訪問，然后驗證靜態NAT是雙向轉換的，并且進行抓包分析。

圖12.7靜態NAT配置案例

查看NAT配置，如圖12.8所示。圖12.8查看NAT配置

(4)?測試：分別在Server1和Server2上可以ping通Server3。

在路由器G0/0/2口抓包，源地址已做轉換，如圖12.9所示。

圖12.9靜態NAT抓包(1)

在交換機Ethernet0/0/3口抓包，目的地址已做轉換，如圖12.10所示。圖12.10靜態NAT抓包(2)

12.2PAT的原理與配置

12.2.1PAT的原理PAT分為動態PAT和靜態PAT。1.動態PAT動態PAT改變外出數據包的源IP地址和源端口并進行端口地址的轉換，內部網絡的所有主機均可共享一個合法的外部IP地址來訪問互聯網，從而最大限度地節約IP地址資源。與動態NAT一樣，動態PAT也是單向的。

動態PAT包括NAPT和EasyIP，NAPT允許多個內部地址映射到同一個公有地址的不同端口；而EasyIP屬于NAPT的一種特例，允許將多個內部地址映射到網關出接口地址上的不同端口，即公有地址直接使用網關設備的外網口。

2.靜態PAT

靜態PAT改變數據包的IP地址和端口號。與靜態NAT一樣，靜態PAT也是雙向的。

實際應用中一般是將內網的服務器發布出去，由外網發起向內網的訪問，華為稱之為NATServer。

12.2.2動態PAT的配置

1.?NAPT的配置案例

如圖12.11所示，公司要求將內部網絡10.1.1.0/24轉換為一個公網地址200.1.1.10/28來實現上網(即可以訪問Server3)。

圖12.11NAPT配置案例

查看NAPT配置，如圖12.12所示。圖12.12查看NAPT配置

路由器G0/0/2口抓包，可以看到源端口為1320，如圖12.13所示。圖12.13NAPT抓包

總結NAPT的地址轉換過程如圖12.14所示。圖12.14NAPT地址轉換過程

2.?EasyIP的配置案例

公司路由器外部接口是動態IP，如何使內部網絡主機10.1.1.0/24利用PAT上網？

公司要求將內部網絡主機10.1.1.0/24轉換為路由器外部接口來實現上網(即可以訪問Server3)，如圖12.15所示。圖12.15EasyIP配置案例

查看EasyIP配置，如圖12.16所示。圖12.16查看EasyIP配置

在路由器G0/0/2口抓包，可以看到源端口為40，如圖12.17所示。圖12.17EasyIP抓包

12.2.3靜態PAT的配置

我們介紹實際應用比較多的NATServer，即將內網的服務器發布出去，由外網發起向內網的訪問。

如圖12.18所示，將內部地址10.1.1.11/24的80端口靜態轉換為公網地址200.1.1.11/28的80端口，將內部地址10.1.1.12/24的21端口靜態轉換為公網地址200.1.1.12/28的21端口，以便被外網(Client2)訪問。圖12.18NATServer配置案例

查看NATServer配置，如圖12.19所示。圖12.19查看NATServer配置

在交換機E0/0/3口抓包，可以看到源端口為2050，如圖12.20所示。圖12.20NATServer抓包

本章小結

NAT(NetworkAddressTranslation，網絡地址轉換)技術是改變數據包的IP地址，PAT技術(PortAddressTranslation，端口地址轉換)是改變數據包的IP地址和端口號，PAT能夠大量節省公網的IP地址，因此在實際工作中被廣泛應用。NAT分為靜態NAT和動態NAT(華為稱之為BasicNAT)，PAT分為動態PAT(包括NAPT和EasyIP)和靜態PAT(實際應用中比較多的是NATServer)。

靜態NAT實現了私有地址和公網地址的一對一映射，一個公網IP地址只會分配給唯一且固定的內網主機。靜態轉換是雙向的，即內外網雙方可以互相訪問。

動態NAT基于地址池來實現私有地址和公網地址的轉換，雖然也是一對一映射，但不是固定的，動態轉換是單向的，即只能從內網去訪問外網，反之則不能訪問。

動態PAT改變外出數據包的源IP地址和源端口并進行端口地址的轉換，內部網絡的所有主機均可共享一個合法的外部IP地址來訪問互聯網，從而最大限度地節約IP地址資源。與動態NAT一樣，動態PAT也是單向的。

動態PAT包括NAPT和EasyIP，NAPT允許多個內部地址映射到同