今天來回顧下之前所學的知識，將它們串聯起來進行鞏固。一開始了解了IP編址進行IP設置和劃分網段；學習了二層以太網交換，了解了二層通信基礎；學習了路由基礎知識，大致了解到了路由是什么？靜態路由和動態路由；然后學習了VLAN的知識，進行虛擬局域網的劃分和VLAN間通過路由器子接口、物理接口、VLANIF接口進行三層通信的知識；簡單了解了二層交換機中為了冗余和備份交換機線路的STP生成樹協議。

現在我們可以做到什么了呢？我們應該能夠通過VLAN劃分網段，配置網關以及通過簡單的靜態或默認路由進行網絡互聯，需要能夠做到配置IP，配置網關，配置靜態路由。但是在實際工作中一般是電信光貓--出口三層設備(路由器/防火墻)--核心網關--終端接入交換機，但是之前有學習過IP編址知道IP地址劃分常用有A、B、C類地址，然后在每一類地址劃分了私有地址，這些地址在公網設備也就是出口設備上不會進行路由轉發，那怎么解決呢，使用NAT（Network Address Translation，網絡地址轉換）來實現地址轉換。

NAT概述

由全球IP地址分配機構，IANA (Internet Assigned Numbers Authority)管理的IPv4地址，于2011年完全用盡。但是需要連接互聯網必須要IP地址，但是公網地址已經沒有了，因此出現了將私網地址轉換成公網地址進行網絡訪問的解決方法。

A、B、C類地址中各預留了一些地址專門作為私有IP地址：

A類：10.0.0.0 ~ 10.255.255.255

B類：172.16.0.0 ~ 172.31.255.255

C類：192.168.0.0 ~ 192.168.255.255

簡單講就是一個企業出口申請從運營商申請一個IP地址部署在出口三層網絡設備上，內部使用私網地址網段，進行網絡訪問時會將內網訪問的數據包IP地址轉換成那個唯一的IP地址。

NAT技術原理

NAT：對IP數據報文中的IP地址進行轉換，是一種在現網中被廣泛部署的技術，一般部署在網絡出口設備，例如路由器或防火墻上。

NAT的典型應用場景：在私有網絡內部（園區、家庭）使用私有地址，出口設備部署NAT，對于“從內到外”的流量，網絡設備通過NAT將數據包的源地址進行轉換（轉換成特定的公有地址），而對于“從外到內的”流量，則對數據包的目的地址進行轉換。

這里還要簡單了解一下另外一個概念：端口。之前在網絡參考模型知道網絡是分層結構，網絡層是IP協議，傳輸層有TCP和UDP，使用端口進行區分不同的上層數據。實際訪問網絡也是通過IP+端口+MAC進行區分目的地的。TCP和UDP的端口號范圍都是0-65535，這意味著每個協議有65536個端口。端口號小于256的定義為常用端口，服務器一般通過常用端口號識別。大多數TCP/IP實現給臨時端口號分配1024~5000之間的端口號，大于5000的端口是給其他服務預留的。常見的端口有FTP的21號端口，HTTP服務的80端口，SMTP的25端口和HTTPS的443端口。

NAT作用：

1、把內網私網IP轉換為公網IP

2、隱藏內網、起到包含內網作用

3、適當緩解IPV4地址枯竭

4、解決公網設備回包路由問題

NAT分類

隨著網絡需要的不同可以有不同的實現方式。

靜態NAT

每個私有地址都有一個與之對應固定的公有地址，私有地址和公有地址之間的關系是一對一映射。支持雙向互訪：私有地址訪問Internet經過出口設備NAT轉換時，會被轉換成對應的公有地址。同時，外部網絡訪問內部網絡時，其報文中攜帶的公有地址（目的地址）也會被NAT設備轉換成對應的私有地址。

適用于有多個公網地址，內網主機較少，能夠實現一對一轉換的情形。

配置示例：

# 1、接口視圖下配置靜態NAT
[Huawei-GigabitEthernet0/0/0] nat static  global {
   
    global-address} inside {
   
   host-address } 

# 2、也可以在系統視圖下配置靜態NAT
[Huawei] nat static  global {
   
    global-address} inside {
   
   host-address } 

# 還要在接口開啟
[Huawei-GigabitEthernet0/0/0] nat static enable

動態NAT

動態NAT：靜態NAT嚴格地一對一進行地址映射，這就導致即便內網主機長時間離線或者不發送數據時，與之對應的公有地址也處于使用狀態。為了避免地址浪費，動態NAT提出了地址池的概念：所有可用的公有地址組成地址池。

當內部主機訪問外部網絡時臨時分配一個地址池中未使用的地址，并將該地址標記為“In Use”。當該主機不再訪問外部網絡時回收分配的地址，重新標記為“Not Use”。

配置示例：

# 創建地址池,配置公有地址范圍，其中group-index為地址池編號，start-address、end-address分別為地址池起始地址、結束地址
[Huawei] nat address-group group-index start-address end-address

# 創建ACL，只有匹配上ACL才進行NAT轉換
[Huawei] acl number
[Huawei-acl-basic-number ] rule permit source  source-address source-wildcard

# 接口視圖下配置帶地址池的NAT Outbound，no-pat參數指定不進行端口轉換
[Huawei-GigabitEthernet0/0/0] nat outbound acl-number address-group group-index [ no-pat ]

# 查看轉換信息
dis nat session all

ACL下次進行學習，大概意思就是只有指定主機才會進行轉換。

動態NAT就是將多個可用的公網地址設置成一個地址池，內網主機需要訪問外網時，選擇一個閑置狀態的IP地址并生成NAT表項，當地址不使用時再釋放。

動態NAT還是基于地址一對一進行轉發，要等待連接釋放才能進行下一個地址轉發，效率較低，比如內網主機100個，公網IP4個，那就效率很低了，雖然實際轉發速度很快。

NAPT

動態NAT選擇地址池中的地址進行地址轉換時不會轉換端口號，即No-PAT（No-Port Address Translation，非端口地址轉換），公有地址與私有地址還是1:1的映射關系，無法提高公有地址利用率。

NAPT（Network Address and Port Translation，網絡地址端口轉換）：從地址池中選擇地址進行地址轉換時不僅轉換IP地址，同時也會對端口號進行轉換，從而實現公有地址與私有地址的1:n映射，可以有效提高公有地址利用率。

實際網絡訪問只需要一個端口或者幾個端口即可進行網絡訪問，因此只需要進行端口的轉換即可，一個TCP和UDP端口范圍為0-65535，進行端口的轉發可以實現效率的提升。

配置示例：

# 在動態NAT的配置上不添加--no-pat即可
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

簡單以訪問百度網頁為例講一下端口通信：

主機從1024-65535之間范圍起一個端口,如55508

目的地為百度www.baidu.com，目的端口http:80,https:443

出口地址：111.21.8.5,192.168.1.1:55508-->111.21.8.5:62105 --> www.baidu.com:443

出口設備記錄轉換表項，百度返回數據進行對應的轉換

Easy IP

Easy IP：實現原理和NAPT相同，同時轉換IP地址、傳輸層端口，區別在于Easy IP沒有地址池的概念，使用接口地址作為NAT轉換的公有地址。

Easy IP適用于不具備固定公網IP地址的場景：如通過DHCP、PPPoE撥號獲取地址的私有網絡出口，可以直接使用獲取到的動態地址進行轉換。

這個實際才是工作中常見方式，通過電信的光貓自動獲取到一個地址，進行源IP和源端口的轉換，沒有自己的公網地址。

配置示例：

# 示例，將當前接口地址作為公網地址進行源ip和端口的映射
[R1-GigabitEthernet0/0/1]nat outbound 2000

NAT Server

上面的動態地址轉換與端口轉換是自動轉換端口，不能指定端口的對應關系，這時候如果內網有服務器需要發布到公網對外就需要使用NAT Server。

NAT Server：指定[公有地址:端口]與[私有地址:端口]的一對一映射關系，將內網服務器映射到公網，當私有網絡中的服務器需要對公網提供服務時使用。

外網主機主動訪問[公有地址:端口]實現對內網服務器的訪問。

簡單來說就是指定內網服務器地址和端口映射到公網地址的指定端口，供外部訪問公網地址對應端口實現服務發布。

配置示例：

# 進入對應接口
[R1]interface GigabitEthernet0/0/1 

# 配置地址
[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24

# 指定映射TCP/UDP協議，指定內網地址和公網地址和端口
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 80 inside 192.168.1.1 8080

一般適用于有固定公網地址，用于對外發布服務提供公網訪問，一個公網地址可以映射多個端口。

典型網絡配置實驗

拓撲圖如下：

配置示例：

核心交換機

# 核心交換機配置VLAN與網關地址，下聯交換機配置trunk，上聯路由器配置ACCESS VLAN 30
interface Vlanif10
 ip address 192.168.10.254 255.255.255.0
#
interface Vlanif20
 ip address 192.168.20.254 255.255.255.0
#
interface Vlanif30
 ip address 10.0.0.2 255.255.255.252
#
interface MEth0/0/1
#
interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 30
#
interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20
#
interface GigabitEthernet0/0/3
 port link-type trunk
 port trunk allow-pass vlan 10 20

# 配置默認路由指向路由器
ip route-static 0.0.0.0 0.0.0.0 10.0.0.1

出口路由器：

# 配置接口地址和NAT
interface GigabitEthernet0/0/0
 ip address 122.12.1.1 255.255.255.252 
 nat outbound 2000
#
interface GigabitEthernet0/0/1
 ip address 10.0.0.1 255.255.255.252 


# 配置路由，向外的默認路由和會內網的靜態路由
ip route-static 0.0.0.0 0.0.0.0 122.12.1.2
ip route-static 192.168.10.0 255.255.255.0 10.0.0.2
ip route-static 192.168.20.0 255.255.255.0 10.0.0.2

# ACL
acl number 2000  
 rule 5 permit

Internet:

# 中間路由器不需要額外配置
interface GigabitEthernet0/0/0
 ip address 122.12.1.2 255.255.255.252 
#
interface GigabitEthernet0/0/1
 ip address 23.12.1.2 255.255.255.252

百度：

# 配置地址和默認路由
interface GigabitEthernet0/0/1
 ip address 23.12.1.1 255.255.255.252 

#
ip route-static 0.0.0.0 0.0.0.0 23.12.1.2

實際情況下一個企業只有一個或者幾個公網地址，為了內網主機的私網地址能夠訪問互聯網需要在出口設備進行NAT地址轉換，實際情況中采用NAPT和Easy IP進行地址和端口同時轉換，然后如果有內部服務器需要對外提供訪問可以通過NAT Server進行端口一對一映射。

鏈接：https://developer.aliyun.com/article/1456318?spm=a2c6h.24874632.expert-profile.205.7a0227f4T3iYnI