nat转换策略

什么是NA TNA T‎——网络地址转换，是‎通过将专用网络地址（‎如企业内部网Intr‎a net）转换为公用‎地址（如互联网Int‎e rnet），从而对‎外隐藏了内部管理的‎I P 地址。

这样，通‎过在内部使用非注册的‎IP地址，并将它‎们转换为一小部分外部‎注册的IP 地址，‎从而减少了IP地址‎注册的费用以及节省了‎目前越来越缺乏的地址‎空间（即IPV4）。

‎同时，这也隐藏了内部‎网络结构，从而降低了‎内部网络受到攻击的风‎险。

NAT功能通‎常被集成到路由器、防‎火墙、单独的NAT设‎备中，当然，现在比较‎流行的操作系统或其他‎软件（主要是代理软件‎，如WINROUTE‎），大多也有着NAT‎的功能。

NAT设备（‎或软件）维护一个状态‎表，用来把内部网络的‎私有IP地址映射到外‎部网络的合法IP地址‎上去。

每个包在NAT‎设备（或软件）中都被‎翻译成正确的IP地址‎发往下一级。

与普通路‎由器不同的是，NAT‎设备实际上对包头进行‎修改，将内部网络的源‎地址变为NAT设备自‎己的外部网络地址，而‎普通路由器仅在将数据‎包转发到目的地前读取‎源地址和目的地址。

‎N AT分为三种类型：‎静态NAT（stat‎i cNAT）、NAT‎池（pooledNA‎T）和端口NAT（P‎A T）。

其中静态NA‎T将内部网络中的每个‎主机都被永久映射成外‎部网络中的某个合法的‎地址，而NAT池则是‎在外部网络中定义了一‎系列的合法地址，采用‎动态分配的方法映射到‎内部网络，端口NAT‎则是把内部地址映射到‎外部网络的一个IP地‎址的不同端口上。

‎废话说了不少，让我‎们转入正题，看一下如‎何利用NAT保护内部‎网络。

使用网络地址‎转换NAT，使得外部‎网络对内部网络的不可‎视，从而降低了外部网‎络对内部网络攻击的风‎险性。

在我们将内部‎网络的服务使用端口映‎射到NAT设备（或是‎软件）上时，NAT设‎备看起来就像一样对外‎提供服务器一台服务器‎一样（如图一）。

NAT地址转换的几种形式实验拓扑图模拟器拓扑图实验说明：①防火墙采用华为USG6000V②PC采用Linux服务器搭建，IP地址配置如上。

③管理PC采用win7④公网IP费用较高，防火墙的出接口采用真实环境中内网IP模拟，将防火墙的桥接到真实环境中的PC上。

防火墙的基本配置如下：①相应的接口配置相应的IP地址，并把相应的接口划入相应的区域。

②需要配置一条缺省路由指向真实内网的网关。

③配置NAT地址转换如下相应的策略如下此时内网PC去ping百度可以进行测试防火墙的会话如下：（用display firewall session table source inside 192.168.30.100这条命令进行查看）1、上面就是采用公网地址池中的地址进行转换上网。

（缺点是静态一对一进行地址转换，每个公网地址对应一个内网地址。

浪费公网地址，如果有2个公网地址只容许2台PC上网，第三台就无法上网。

现实中不常用）注意：公网IP不能使用防火墙接外网的接口IP。

2.现在使用2个公网地址进行上网。

其他配置不动，只改NAT地址池3.用3台PC去访问百度，发现有1台PC3无法访问百度。

查看防火墙的会话发现只有2个会话实验验证成功二.将2个公网地址的端口转换地址打开3.发现3台PC都可以进行上网查看防火墙的会话发现有3个会话（第三台PC用的两个公网地址中的一个地址进行端口转发）三、将使用1个公网地址打开端口转发地址1、查看3台PC访问百度的情况2、查看防火墙的会话发现有3个会话（三台PC用的1个公网地址的端口进行转发）四、最后一种NAT地址转换（内网访问公网都转换为防火墙的出口地址192.168.1.3）如下图所示1、查看3台PC访问百度的情况查看防火墙的会话发现有3个会话（三台PC用的1个公网地址的端口进行转发，并且是防火墙出口地址192.168.1.3）以上是防火墙的三种端口NAT转换方式。

私网用户通过NAPT方式访问Internet（备注：在这种环境中，外网只能ping通外网口，公网没有写入到内网的路由，所以前提是内网只能ping通外网口，但走不到外网口以外的网络，做了NAT之后，内网可以通外网任何网络，但是外网只能ping到本地内网的外网口。

）本例通过配置NAPT功能，实现对少量公网IP地址的复用，保证公司员工可以正常访问Internet。

组网需求如图1所示，某公司内部网络通过USG9000与Internet相连，USG9000作为公司内网的出口网关。

由于该公司拥有的公网IP地址较少（202.169.1.21～202.169.1.25），所以需要利用USG9000的NAPT功能复用公网IP地址，保证员工可以正常访问Internet。

图1 配置私网用户通过NAPT方式访问Internet组网图配置思路1.完成设备的基础配置，包括配置接口的IP地址，并将接口加入安全区域。

2.配置安全策略，允许私网指定网段访问Internet。

3.配置NAT地址池和NAT策略，对指定流量进行NAT转换，使私网用户可以使用公网IP地址访问Internet。

4.配置黑洞路由，防止产生路由环路。

操作步骤1.配置USG9000的接口IP地址，并将接口加入安全区域。

# 配置接口GigabitEthernet 1/0/1的IP地址。

<USG9000> system-view[USG9000] interface GigabitEthernet 1/0/1[USG9000-GigabitEthernet1/0/1] ip address 10.1.1.10 24[USG9000-GigabitEthernet1/0/1] quit# 配置接口GigabitEthernet 1/0/2的IP地址。

[USG9000] interface GigabitEthernet 1/0/2[USG9000-GigabitEthernet1/0/2] ip address 202.169.1.1 24[USG9000-GigabitEthernet1/0/2] quit# 将接口GigabitEthernet 1/0/1加入Trust区域。

NAT（地址转换技术）详解NAT产⽣背景今天，⽆数快乐的互联⽹⽤户在尽情享受Internet带来的乐趣。

他们浏览新闻，搜索资料，下载软件，⼴交新朋，分享信息，甚⾄于⾜不出户获取⼀切⽇⽤所需。

企业利⽤互联⽹发布信息，传递资料和订单，提供技术⽀持，完成⽇常办公。

然⽽，Internet在给亿万⽤户带来便利的同时，⾃⾝却⾯临⼀个致命的问题：构建这个⽆所不能的Internet的基础IPv4协议已经不能再提供新的⽹络地址了。

2011年2⽉3⽇中国农历新年， IANA对外宣布：IPv4地址空间最后5个地址块已经被分配给下属的5个地区委员会。

2011年4⽉15⽇，亚太区委员会APNIC对外宣布，除了个别保留地址外，本区域所有的IPv4地址基本耗尽。

⼀时之间，IPv4地址作为⼀种濒危资源⾝价陡增，各⼤⽹络公司出巨资收购剩余的空闲地址。

其实，IPv4地址不⾜问题已不是新问题，早在20年以前，IPv4地址即将耗尽的问题就已经摆在Internet 先驱们⾯前。

这不禁让我们想去了解，是什么技术使这⼀危机延缓了尽20年。

要找到问题的答案，让我们先来简略回顾⼀下IPv4协议。

IPv4即⽹际⽹协议第4版——Internet Protocol Version 4的缩写。

IPv4定义⼀个跨越异种⽹络互连的超级⽹，它为每个⽹际⽹的节点分配全球唯⼀IP地址。

如果我们把Internet⽐作⼀个邮政系统，那么IP地址的作⽤就等同于包含城市、街区、门牌编号在内的完整地址。

IPv4使⽤32bits整数表达⼀个地址，地址最⼤范围就是232 约为43亿。

以IP创始时期可被联⽹的设备来看，这样的⼀个空间已经很⼤，很难被短时间⽤完。

然⽽，事实远远超出⼈们的设想，计算机⽹络在此后的⼏⼗年⾥迅速壮⼤，⽹络终端数量呈爆炸性增长。

更为糟糕的是，为了路由和管理⽅便，43亿的地址空间被按照不同前缀长度划分为A,B,C,D类地址⽹络和保留地址。

其中，A类⽹络地址127段，每段包括主机地址约1678万个。

随着防火墙和NAT的广泛部署，应用程序也开始加以适应，演变出了多种对付IP地址不唯一，单向通信的问题。

目前，应用的NAT穿越已经不再是一个重要议题了。

第一类方法，对NAT做某种方式的静态配置，执行端口的打开/转发等。

第二类方法，间接地使用一些外部服务，来协助建立透过NAT的连接，如STUN和TURN。

第三类方法，与NAT直接配合，动态打开端口，如UPnP-IGD(UPnP网关设备)和NAT-PMP(NAT 端口映射协议)。

第四类方法，当使用两级NAT或DS-lite的CGN模式下，破坏了NAT与运行客户端程序的主机位于同一链路上的，UPnP或NAT-PMP的这一基本假设。

就要靠IETF正在做的PCP(端口控制协议)协议了。