###源NAT基本原理

NAT（Network Address Translation）網絡地址轉換技術
源NAT技術對IP報文的源地址進行轉換，將私有IP地址轉換為公網IP地址，使大量私網用戶可以利用少量公網IP地址訪問internet，大大減少對公網IP的消耗
源NAT轉換的過程如圖4-1所示，當私網用戶訪問Internet的報文到達防火墻時，防火墻將報文的源IP地址由私網地址轉換為公網地址；當回程報文返回至防火墻時，防火墻再將報文的目的地址由公網IP地轉換為私網地址。整個NAT轉換過程對于內部網絡中的用戶和Internet上的主機來說是完全透明的

###NAT地址池

NAT地址池是一個虛擬概念，他形象的把公網IP地址的集合比喻成一個放IP地址的池子或容器，當火槍進行地址轉換時，從NAT地址池中選擇一個公網IP地址，然后對私網IP地址進行轉換（選擇公網IP地址是隨機的）

### 配置nat地址池
nat address-group 1 202.1.1.2 202.1.1.5

###NAT策略

1. NAT地址此后配置完后，會被NAT策略所引用，當動作是源NAT轉換時，必須引用NAT地址池
2. 多條NAT策略之間存在匹配順序，如果報文命中某條NAT策略，就會按照該NAT策略中引用的地址池進行地址轉換，如果沒有命中，則會繼續查找
   

###源NAT地址轉換方式

1. NAT No-PAT
2. NAPT
3. Easy-IP（出接口地址方式）
4. Smart NAT
5. 三元組NAT

###NAPT（Network Address and Port Translation）

NAPT 表示網絡地址和端口轉換，即同時對IP和端口進行轉換
NAPT方式不會生成Server-map表
不配置關鍵字no-pat

###出接口地址方式（Easy-IP）

Easy-IP方式不需要配置NAT地址池，也不需要配置黑洞路由，只需要在NAT策略中指定出接口即可
easy-ip也不會生成server-map

### NAT策略
sys
nat-policy interzone trust untrust outbound
policy 1
policy source 192.168.0.0 0.0.0.255
action source-nat
easy-ip g0/0/1
quit
quit
### 安全策略
policy interzone trust untrust outbound
policy 1
policy source 192.168.0.0 0.0.0.255
action permit
quit
quit

###Smart NAT

### NAT地址池配置
nat address-group 1
mode no-pat local
#預留地址
smart-nopat 202.1.1.3
#未預留地址
section 202.1.1.4### NAT策略
nat-policy interzone trust untrust outbound
policy 1
policy source 192.168.0.0 0.0.0.255
action source-nat
accress-group 1
quit
quit###安全策略
policy interzone trust untrust outboud
policy 1
policy source 192.168.0.0 0.0.0.255
action permit
quit
quit###黑洞路由
ip route-static 202.1.1.3 32 NULL 0
ip route-static 202.1.1.4 32 NULL 0

###三元組NAT

三元組NAT方式進行轉換時的兩個特點：

1. 對外呈現端口一致性
2. 支持外網主動訪問

### NAT地址池配置
sys
nat address-group 1
mode full-cone local
section 1202.1.1.2202.1.1.3
quit
### NAT策略
nat-policy interzone trust untrust outbound
policy 1
policy source 192.168.0.0 0.0.0.255
action source-nat
address-group 1
quit
quit###配置安全策略
policy interzone trust untrust outbound
policy 1
policy source 192.168.0.0 0.0.0.255
action permit
quit
quit