NAT概述

NAT（Network Address Translation）又稱為網路地址轉換，用於實現私有網路和公有網路之間的互訪。

私有網路地址和公有網路地址
私有網路地址（以下簡稱私網地址）是指內部網路或主機的IP地址，公有網路地址（以下簡稱公網地址）是指在網際網路上全球唯一的IP地址。IANA（Internet Assigned Number Authority）規定將下列的IP地址保留用作私網地址，不在Internet上被分配，可在一個單位或公司內部使用。RFC1918中規定私有地址如下：
A類私有地址：10.0.0.0～10.255.255.255
B類私有地址：172.16.0.0～172.31.255.255
C類私有地址：192.168.0.0～192.168.255.255

NAT基本原理

內部網路的地址是10.0.0.0網段，而對外的公有網路IP地址是203.196.3.23。內部的主機10.1.1.48訪問外部HTTP伺服器202.18.245.251，主機10.1.1.48發出一個數據報文，隨機選擇一個源埠6084，目的埠為80。在經過NAT裝置後，該報文的源地址和埠可能改為203.196.3.23:32814，目的地址與埠不改變。在NAT裝置中維護著一張地址和埠對應表，也稱為轉換表項，或轉換槽位，當外部網路的WWW伺服器返回資料包時，NAT裝置檢查轉換表項，將資料報文中目的IP地址及埠轉化為10.1.1.48:6084。實現了內部主機10.1.1.48訪問外部伺服器。

路由器支援NAT型別

靜態NAT、PAT、內部伺服器、NAT ALG功能、NAT過濾、NAT對映、Easy IP、兩次NAT及NAT多例項。

靜態NAT

靜態NAT實現私網地址和公網地址的一對一轉換。有多少個私網地址就需要配置多少個公網地址。靜態NAT不能節約公網地址，但可以起到隱藏內部網路的作用。
內部網路向外部網路傳送報文時，靜態NAT將報文的源IP地址替換為對應的公網地址；外部網路向內部網路傳送響應報文時，靜態NAT將報文的目的地址替換為相應的私網地址。

PAT

PAT又稱為NAPT（Network Address Port Translation），它實現一個公網地址和多個私網地址之間的對映，因此可以節約公網地址。PAT的基本原理是將不同私網地址的報文的源IP地址轉換為同一公網地址，但他們被轉換為該地址的不同埠號，因而仍然能夠共享同一地址。

PAT需要維護一張私網地址和埠的對映表。當不同的私網地址向外傳送報文時，PAT將報文的源IP地址替換為相同公網地址，但源埠號被替換為不同的埠號；當外部網路向內部網路傳送響應報文時，PAT根據報文的目的埠號，將報文的目的IP地址替換為不同的私網地址，如下圖

內部伺服器

通過配置內部伺服器，可將相應的外部地址、埠等對映到內部的伺服器上，提供了外部網路主機訪問內部伺服器的功能例如可以使用202.110.10.10作為Web伺服器的外部地址，使用202.110.10.11作為FTP伺服器的外部地址，甚至還可以使用202.110.10.12:8080這樣的地址作為Web的外部地址。還可為外部使用者提供多臺同樣的伺服器，如提供多臺Web伺服器。

NAT過濾

NAT過濾是指NAT裝置對外網發到內網的流量進行過濾，即當私網主機向某公網主機發起訪問後，公網主機發向私網主機的流量經過NAT裝置時會進行過濾。

Easy IP

當進行地址轉換時，直接使用介面的公有IP地址作為轉換後的源地址。同樣它也利用訪問控制列表控制哪些內部地址可以進行地址轉換。

地址轉換應用層閘道器

地址轉換會導致許多對NAT敏感的應用協議無法正常工作，必須針對該協議進行特殊的處理。所謂對NAT敏感的協議是指該協議的某些報文的有效載荷中攜帶IP地址和（或）埠號，如果不進行特殊處理，將會影響後繼的協議互動。
地址轉換應用層閘道器NAT ALG（NAT Application Level Gateway）是解決特殊協議穿越NAT的一種常用方式，該方法按照地址轉換規則，對載荷中的IP地址和埠號進行替換，從而實現對該協議的透明中繼。NAT ALG支援DNS、FTP協議、RTSP（Real-Time Streaming Protocol ）和SIP（Session Initiation Protocol ）如下圖：

兩次NAT

3 常規地址轉換技術只轉換報文的源地址或目的地址，而兩次NAT（Twice NAT）技術可以將報文的源地址和目的地址同時轉換，該技術應用於內部網路主機地址與公網上主機地址重疊的情況。如圖所示：內部網路主機PC1和公網上主機PC3的地址重疊。這種情況下，內部網路主機PC2訪問主機PC3的報文不會到達目的主機，而會被錯誤的轉發到主機PC1上。兩次NAT技術通過在NAT裝置上配置重疊地址池到臨時地址的對映關係（在實現常規NAT的基礎上），將重疊地址轉換為唯一的臨時地址，來保證報文的正確轉發。

在NAT裝置上配置兩次NAT：
第一步：配置常規NAT（多對多地址轉換）。配置NAT地址池200.0.0.1～200.0.0.100，並應用到廣域網介面。
第二步：配置一組重疊地址到臨時地址的對映。10.0.0.0<－－>3.0.0.0。
此對映表示，重疊地址池與臨時地址池一一對應，轉換規則為：
臨時地址 = 臨時地址池首地址 +（重疊地址 – 重疊地址池首地址）
重疊地址 = 重疊地址池首地址 +（臨時地址 – 臨時地址池首地址）
當內部主機PC2直接用域名訪問公網上的主機PC3時，報文的處理流程如下：
PC2傳送解析域名為www.web.com的Web伺服器的DNS請求，經公網DNS伺服器解析後，NAT裝置收到DNS伺服器的響應報文。NAT裝置檢查DNS響應報文載荷中的解析回來的地址10.0.0.1，經檢查該地址為重疊地址（與重疊地址池匹配），將地址10.0.0.1轉換為對應的臨時地址3.0.0.1。之後再對DNS響應報文進行目的地址轉換（常規NAT處理），傳送給PC2。
PC2用www.web.com對應的臨時地址3.0.0.1發起訪問，當報文到達NAT裝置時，先轉換報文的源地址（常規NAT處理），再將報文的目的地址即臨時地址，轉換為對應的重疊地址10.0.0.1。將報文送到廣域網出介面，並經廣域網逐跳轉發至主機PC3。
當PC3給PC2返回的報文到NAT裝置時，先檢查報文的源地址10.0.0.1，該地址為重疊地址（與重疊地址池匹配），則將源地址轉換為對應的臨時地址3.0.0.1。之後再對返回報文的目的地址進行常規NAT轉換，併發送給PC2。

VPN關聯的源NAT

華為路由器的NAT不僅可以使內部網路的使用者訪問外部網路，還允許分屬於不同VPN的使用者通過同一個出口訪問外部網路，能夠解決內部網路中IP地址重疊的VPN同時訪問外網主機的問題。

VPN關聯的NAT Server

華為路由器的NAT支援VPN關聯的NAT server，提供給外部網路訪問VPN內主機的機會，能夠支援內網多個VPN地址重疊的場景。

實驗拓撲如下：

NAT Outbound配置例項：

system-view
[GW]nat address-group 0 202.100.1.100 202.100.1.200

[GW]acl number 2000
[GW-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

[GW-GigabitEthernet0/0/0]int g0/0/1
[GW-GigabitEthernet0/0/1] nat outbound 2000 address-group 0 no-pat
注：no-pat表示一對一轉換，只轉換地址，不轉換埠，直接回車表示IP和埠都做轉換。

測試：
telnet 202.100.1.1
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 …
Connected to 202.100.1.1 …
Login authentication
Password:

display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass Username : Unspecified

129 VTY 0 00:00:02 TEL 202.100.1.101 pass Username : Unspecified

display nat outbound
NAT Outbound Information:

Interface Acl Address-group/IP/Interface Type

GigabitEthernet0/0/1 2000 0 no-pat

Total : 1

display nat session all ====檢視轉換表項
NAT Session Table Information:
Protocol : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 59335
DestAddr Port Vpn : 202.100.1.1 5888
NAT-Info
New SrcAddr : 202.100.1.101
New SrcPort : —-
New DestAddr : —-
New DestPort : —-

[GW]reset nat session all ===清除轉換表項
Warning:The current all NAT sessions will be deleted.
Are you sure to continue?[Y/N]y

Easy IP配置例項:
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat outbound 2000

測試：
telnet 202.100.1.1
Press CTRL_] to quit telnet mode
Trying 202.100.1.1 …
Connected to 202.100.1.1 …

Login authentication
Password:

display users
User-Intf Delay Type Network Address AuthenStatus AuthorcmdFlag
+ 0 CON 0 00:00:00 pass Username : Unspecified

129 VTY 0 00:00:11 TEL 202.100.1.10 pass Username : Unspecified

display nat session all
NAT Session Table Information:
Protocol : TCP(6)
SrcAddr Port Vpn : 192.168.1.1 54467
DestAddr Port Vpn : 202.100.1.1 5888
NAT-Info
New SrcAddr : 202.100.1.10
New SrcPort : 10240
New DestAddr : —-
New DestPort : —-
Total : 1

靜態NAT配置例項：
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat static global 202.100.1.100 inside 172.16.1.1
注：配置靜態NAT時，其中的global-address和host-address必須保證和裝置現有地址沒有重複，包括裝置介面地址，使用者地址池地址等，以避免衝突。

測試：

display nat static
Static Nat Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 202.100.1.100/—-
Inside IP/Port : 172.16.1.1/—-
Protocol : —-
VPN instance-name : —-
Acl number : —-
Netmask : 255.255.255.255
Description : —-
Total : 1

內部伺服器配置例項:
[GW]int g0/0/1
[GW-GigabitEthernet0/0/1]nat static protocol tcp global 202.100.1.100 2121 inside 172.16.1.1 21
[GW-GigabitEthernet0/0/1]nat static protocol tcp global 202.100.1.100 80 inside 172.16.1.1 80
測試：

NAT ALG配置例項：
[GW]nat alg ?
all All protocol
dns Dns protocol
ftp Ftp protocol
rtsp Rtsp protocol
sip Sip protocol

NAT 過濾配置例項：
NAT過濾是指NAT裝置對外網發到內網的流量進行過濾，即當私網主機向某公網主機發起訪問後，公網主機發向私網主機的流量經過NAT裝置時會進行過濾。

NAT過濾包括三種類型：
a.與外部地址和埠無關的NAT過濾行為。
b.與外部地址相關埠無關的NAT過濾行為。
c.與外部地址和埠都相關的NAT過濾行為。

[GW]nat filter-mode ?
endpoint-and-port-dependent Endpoint and port dependent
endpoint-dependent Endpoint dependent
endpoint-independent Endpoint independent
預設採用endpoint-and-port-dependent方式，表示查詢NAT反向對映表時，以“源IP+源埠＋目的IP+目的埠+協議號”作索引進行匹配。

NAT對映配置例項：
配置NAT對映可以滿足使用STUN、TURN、ICE等NAT穿越技術的終端軟體能夠穿越NAT。

NAT對映包含如下三種類型：
a.外部地址和埠無關的對映：對相同的內部IP和埠重用相同的地址埠對映。
b.外部地址相關埠無關的對映：對相同的內部IP地址和埠訪問相同的外部IP地址時重用相同的埠對映。
c.外部地址和埠相關的對映：對相同的內部IP地址和埠號訪問相同的外部IP地址和埠號重用相同的埠對映（如果此對映條目還處在活動狀態）。

[GW]nat mapping-mode endpoint-independent ?
tcp Transmission Control Protocol
udp User Datagram Protocol
Please press ENTER to execute command

配置Twice NAT例項：

如圖：內部網路主機PC1和公網上主機Host A的地址重疊。這種情況下，內部網路主機PC2訪問主機Host A的報文不會到達目的主機，而有可能會被錯誤的轉發到主機PC1上。兩次NAT技術通過在NAT裝置上配置重疊地址池到臨時地址池的對映關係（在實現常規NAT的基礎上），將重疊地址轉換為唯一的臨時地址，來保證報文的正確轉發。

1.配置DNS-Mapping
[Huawei] nat alg dns enable
[Huawei] nat dns-map www.Server.com 192.168.20.2 80 tcp

2.配置重疊地址池到臨時地址池的對映關係
[Huawei] nat overlap-address 0 192.168.20.2 202.169.100.2 pool-length 254

3.配置臨時地址池到出介面GigabitEthernet3/0/0的靜態路由
[Huawei] ip route-static 202.169.100.2 32 gigabitethernet 3/0/0 202.169.10.2

4.配置NAT Outbound
[Huawei]acl 3180
[Huawei-acl-adv-3180] rule permit ip source 192.168.20.0 0.0.0.255

[Huawei]nat address-group 1 160.160.0.2 160.160.0.254
[Huawei-GigabitEthernet3/0/0] nat outbound 3180 address-group 1

[Huawei] display nat overlap-address all
Nat Overlap Address Pool To Temp Address Pool Map Information:

Id Overlap-Address Temp-Address Pool-Length Inside-VPN-Instance-Name

0 192.168.20.2 202.169.100.2 254

Total : 1

配置NAT日誌輸出
配置NAT日誌輸出功能可以實時跟蹤、記錄NAT流表的資訊，增強網路的安全性，方便使用者定位通過NAT訪問網路的使用者。NAT日誌是裝置在做NAT時生成的資訊記錄。該資訊包括報文的源IP地址、源埠、目的IP地址、目的埠、轉換後的源IP地址、轉換後的源埠以及NAT的時間資訊和使用者執行的操作等。網路管理員可以通過檢視NAT日誌實時跟蹤或定位使用者通過NAT訪問網路的情況，增強了網路的安全性。如下圖：

[GW]firewall log session enable ===啟用防火牆日誌功能。
[GW]firewall log session nat enable ===啟用NAT型別的流日誌功能。
[GW]info-center enable ===開啟資訊中心。
[GW]info-center loghost 192.168.1.100 ===配置log主機，最多可以配置8個。