笔记：NAT

一、NAT 的基本概念

NAT（Network Address Translation，网络地址转换） 是一种在 IP 网络中重新映射 IP 地址的技术，主要用于解决 IPv4 地址短缺问题，同时提供一定的网络安全防护作用。
功能： 将内部网络（私有网络）的 IP 地址转换为公共网络（如互联网）的 IP 地址，使多个内部设备可以共享一个或少量公共 IP 访问外部网络，反之亦然。

二、NAT的应用场景

单一公网IP

场景： 家庭或者小型企业，只有一个公网IP，多台设备需要上网。

企业网采用私有IP，Internet采用公有IP，私有IP的路由不允许联通到Internet，企业网接入Internet需要向运营商申请公有
IP。
IPv4公有IP比较稀缺，申请也需要较高的费用，普通企业只能申请少量的IPv4公有IP。

需求： 通过 NAT 将内部私有 IP 地址转换为同一公网 IP，实现多设备共享上网。
方式： 在路由器（或防火墙）上启用 NAT 功能，配置公网 IP 接口和内部私有 IP 网段（如192.168.1.0/24）。内部设备发送数据时，路由器将源 IP 替换为公网 IP；外部响应返回时，路由器根据 NAT 映射表将目标 IP 还原为内部设备的私有 IP。
优势：

节省公网 IP 资源：仅需一个公网 IP 即可支持数十甚至上百台设备联网。
简化网络配置：内部设备无需直接配置公网 IP，降低管理复杂度。

企业网络隔离与安全防护

场景： 企业内部网络包含多个子网（如办公网、研发网、服务器区），需限制不同子网之间的直接访问，同时允许特定子网访问互联网。
需求： 通过 NAT 实现子网间的 IP 地址隔离，并控制对外访问的流量。
**实现方式：**在边界防火墙或三层交换机上部署 NAT，为不同子网配置独立的私有 IP 网段（如办公网10.0.1.0/24、服务器区172.16.1.0/24）。当办公网设备访问互联网时，防火墙将源 IP 转换为公网 IP；外部设备无法直接访问内部私有 IP，需通过端口映射（Port Address Translation，PAT）开放特定服务（如 Web 服务器的 80/443 端口）。
优势：

增强网络安全性：隐藏内部真实 IP 地址，降低外部攻击风险。
精细化访问控制：通过 NAT 规则限制特定子网的上网权限（如禁止研发网直接访问互联网）。

数据中心服务器对外提供服务

场景： 数据中心部署多台服务器（如 Web 服务器、数据库服务器），需对外提供服务，但公网 IP 数量有限。
需求： 通过 NAT 将多台服务器的私有 IP 映射到少数公网 IP 的不同端口，实现 “多对一” 或 “一对一” 的地址转换。
实现方式： 端口映射（PAT）：将多台服务器的私有 IP 与公网 IP 的不同端口绑定。

例如：
服务器 A（192.168.1.10:80）→ 公网 IP 203.0.113.1:8080
服务器 B（192.168.1.11:443）→ 公网 IP 203.0.113.1:8443
静态 NAT：为关键服务器分配固定的公网 IP（一对一映射），如数据库服务器需直接被外部系统访问。

优势:

高效利用公网 IP：通过端口复用，单个公网 IP 可承载多个服务。
灵活扩展服务：新增服务器时无需申请新公网 IP，只需调整 NAT 规则。

三、NAT的分类

1.NAT（网络地址转换）

一对一转换
定义： 将内部私有 IP 地址与公网 IP 地址进行固定的一对一映射，仅转换 IP 地址，不改变端口号。
特点：
1）每个内部 IP 对应唯一公网 IP，映射关系长期固定（需手动配置）。
2）内外网设备可双向主动通信（外部设备可通过公网 IP 直接访问内部设备）。

典型场景：
企业服务器（如 Web、FTP 服务器）需要对外提供服务，需固定公网 IP。

# 华为设备配置指令
system-view
# 配置静态 NAT 映射
nat static global 203.0.113.50 inside 192.168.1.100(需转换的内网设备IP地址) 
# 指定接口(对内)
interface Ethernet0/0/0  
nat inbound # 启用入站 NAT（允许外部访问内部）
# 指定接口(对外)
interface Ethernet0/0/1
ip address 203.0.113.50 24  #公网IP地址
quit

2.PAT（端口地址转换）

多对一转换
定义： 将多个内部私有 IP 地址映射到同一个公网 IP 的不同端口，通过端口号区分不同设备的连接（即 “IP + 端口” 组合唯一标识一个内部设备）。
**特点：**仅需一个公网 IP即可支持大量内部设备同时联网（端口号范围：0-65535，理论上可支持约 6.5 万个连接）。仅支持内部设备主动发起连接，外部设备无法直接通过公网 IP 访问内部设备（需额外配置端口映射）。

典型场景：
家庭网络：家用路由器通过 PAT 让多台手机、电脑共享一个宽带公网 IP 上网。
企业网络：中小企业通过 PAT 实现数百台设备共用少量公网 IP 访问互联网。
运营商网络：CG-NAT（运营商级 NAT）通过 PAT 为数十万用户分配共享公网 IP。

# # 华为设备配置指令
system-view
# 定义 ACL 匹配内网网段
acl number 2000   #创建ACL
rule 5 permit source 192.168.1.0 0.0.0.255  #规则5，允许192.168.1.0的网段通过
quit
# 配置 PAT（出接口公网 IP + ACL）
interface Ethernet0/0/1 # 外部接口（连接公网）
nat outbound 2000 # 关联 ACL 规则2000 实现 PAT
ip address 203.0.113.50 24 
quit

PAT 默认不支持外部主动连接，如需开放特定服务（如 Web 服务器），需配置静态端口映射：
[Huawei] nat static global 203.0.113.50 port 80 inside 192.168.1.100 port 80 # 将公网80端口映射到内部服务器

3.静态NAT

定义： 将内部私有 IP 地址与公网 IP 地址进行手动配置的固定一对一映射，映射关系长期存在且不会自动变更。
特点
1）手动配置：需管理员手动指定内部 IP 和公网 IP 的对应关系。
2）双向通信：内部设备可主动访问外部网络。外部设备可通过公网 IP 直接访问内部设备（因映射关系固定）。
3）公网 IP 独占：每个内部 IP 占用一个公网 IP，即使设备未联网，公网 IP 也会被保留。
4）安全性：内部 IP 部分暴露（公网 IP 固定），但可通过防火墙进一步限制访问。

4.动态 NAT

定义： 通过公网 IP 地址池动态建立内部 IP 与公网 IP 的一对一映射。当内部设备发起连接时，NAT 设备从地址池中分配一个未被使用的公网 IP，连接结束后释放该 IP 供其他设备使用。
特点：
动态分配与释放： 公网 IP 地址池包含多个公网 IP（如203.0.113.50 ~ 203.0.113.60）。内部设备联网时自动分配地址池中可用 IP，断开后立即释放。
单向通信为主： 通常由内部设备主动发起连接，外部设备无法直接通过公网 IP 访问内部设备（除非配置端口映射）。
公网 IP 复用： 同一公网 IP 可在不同时间分配给不同内部设备，但同一时刻一个公网 IP 仅对应一个内部设备。
自动管理： 无需手动为每个设备配置映射，适合设备数量动态变化的场景。

四、NAT配置案例

在这里插入图片描述

# 进入系统视图
<Huawei> system-view
[Huawei]# 1. 配置接口
[Huawei] interface GigabitEthernet0/0/1  # 内网接口
[Huawei-GigabitEthernet0/0/1] ip address 192.168.1.1 255.255.255.252
[Huawei-GigabitEthernet0/0/1] quit[Huawei] interface GigabitEthernet0/0/2  # 外网接口
[Huawei-GigabitEthernet0/0/2] ip address 202.112.193.2 255.255.255.252
[Huawei-GigabitEthernet0/0/2] quit# 2. 配置内部主机访问公网（PAT）
[Huawei] acl number 2000  # 创建基本 ACL
[Huawei-acl-basic-2000] rule 5 permit source 10.10.10.0 0.0.0.255  # 匹配内网网段
[Huawei-acl-basic-2000] quit[Huawei] interface GigabitEthernet0/0/2  # 外网接口
[Huawei-GigabitEthernet0/0/2] nat outbound 2000  # 启用 PAT（默认通过端口复用实现多对一）
[Huawei-GigabitEthernet0/0/2] quit# 3. 配置内部服务器对外提供 www 服务（静态 NAT）
[Huawei] nat static global 202.112.193.2 inside 172.16.10.100  # 静态 IP 映射
[Huawei] nat static protocol tcp global 202.112.193.2 80 inside 172.16.10.100 80  # 端口映射
[Huawei] quit# 4. 配置默认路由
[Huawei] ip route-static 0.0.0.0 0.0.0.0 202.112.193.1  # 指向公网网关
[Huawei] quit