华为NAT技术原理与配置

简介

IP有公网与私网的区分，通常内网使用私网IP，Internet使用公网IP地址，而使用私网地址的计算机访问公网时需要使用NAT技术。
网络地址转换（Network Address Translation，简称NAT），NAT分为静态NAT、动态NAT、网络地址端口转换。

网络拓扑

静态NAT原理与配置

静态NAT就是一个私网地址对应一个公网地址，它不能节约公网地址，在实际应用中一般很少采用这种方式，常见的就是服务器使用。

静态NAT1对1的主机通信，通常用于服务器

R1

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR1
[AR1]inter g0/0/1
[AR1-GigabitEthernet0/0/1]ip add 200.1.1.2 30
[AR1-GigabitEthernet0/0/1]inter g0/0/0
[AR1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[AR1-GigabitEthernet0/0/0]inter g0/0/1
[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ?
  inside  Specify inside information of NAT
[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 ins	
[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.242 inside 192.168.1.10
[AR1-GigabitEthernet0/0/1]disp this
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 200.1.1.2 255.255.255.252 
 nat static global 117.29.161.242 inside 192.168.1.10 netmask 255.255.255.255
#
return

[AR1-GigabitEthernet0/0/1]nat static global 117.29.161.243 inside 192.168.1.20

R2

<Huawei>u t m
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]sys AR2
[AR2]inter g0/0/0
[AR2-GigabitEthernet0/0/0]ip add 200.1.1.1 30
[AR2-GigabitEthernet0/0/0]quit
[AR2]ip route-static 117.29.161.242 255.255.255.0 200.1.1.2

PAT

[AR1]inter g0/0/1
[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.242 inside 192.168.1.10
[AR1-GigabitEthernet0/0/1]undo nat static global 117.29.161.243 inside 192.168.1.20
[AR1-GigabitEthernet0/0/1]disp this #检查一下配置是否删除
[AR1-GigabitEthernet0/0/1]quit
[AR1]nat address-group 1 117.29.161.242 117.29.161.242  #NAT地址池（我只配置了1个IP，如果有多个都可以加进去）
[AR1]acl 2020                                                    #创建基本ACL
[AR1-acl-basic-2020]rule 5 permit source 192.168.1.0 0.0.0.255   #允许1.0网段获取
[AR1-acl-basic-2020]inter g0/0/1        
    
#地址池和列表进行关联                     
[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 ?    
  no-pat  Not use PAT
  <cr>    Please press ENTER to execute command 
  
#到这一步如果直接回车，在华为默认启用PAT
#PAT即对一个公网地址反复使用，通过端口号转换，
#如果想用动态NAT，则需要在group 1后面加上no-pat
#动态NAT无法节约公网IP，在地址池中选一个IP对应一个内网IP

[AR1-GigabitEthernet0/0/1]nat outbound 2020 address-group 1      #回车对地址池和列表进行关联，使用PAT功能

使用PAT时，从主机ping 200.1.1.1两台可同时使用，但从200.1.1.1 ping 117.29.161.242是不通的，因为很多主机拿了它作地址，不指定端口根本无法找到（PAT相当于天然防火墙，向外屏蔽了真实地址）

动态NAT

[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1     #取消PAT
[Huawei-GigabitEthernet0/0/1]nat outbound 2020 address-group 1 no-pat   #使用动态NAT

基于接口的PAT

现实场景中，应用最为广泛的PAT，配置基于接口的PAT可以使用一个公网IP就可以让全公司的人上网

[Huawei-GigabitEthernet0/0/1]undo nat outbound 2020 address-group 1
[Huawei-GigabitEthernet0/0/1]nat outbound 2020   #outbound 2020默认使用地址池的公网地址进行替换复用
[Huawei-GigabitEthernet0/0/1]disp this
[V200R003C00]
#
interface GigabitEthernet0/0/1
 ip address 200.1.1.2 255.255.255.252 
 nat outbound 2020
#
return

静态PAT

针对内网的服务器需要作静态端口映射，对外提供服务，