CCNA學習筆記12-NAT

網絡地址翻譯 inside local-》inside group

    私有IP轉換爲公網IP，在internet上使用

◆NAT術語

    inside outside指的是物理位置（本地PC訪問百度服務器，PC就是inside 百度服務器就是outside）

    

    inside local內部本地：私有IP，不能直接用於互聯網

    inside group內部全局：用來代替內部本地的IP地址，在互聯網上是合法的IP

    outside group外部全局：外部網絡中的主機IP，一般來着全局可路由的地址空間

    outside local外部本地：在內部網絡中看到的外部主機IP

注意：對於本地網關路由器，從進來數據到發出去，是先路由再作NAT；反之，從外部進來發往內部的數       據，是先作NAT再路由

從內部出去的數據流經過配置能夠轉換，可是從外部進來的數據必須有相應的表項，配置時不能觸發外部數據轉換的。

◆NAT分類

  根據映射的方式分爲：    

        靜態NAT:手動創建一個內部IP到一個外部IP的映射關係。常常用於內部某臺設備須要外部網絡                 來訪問的場合 企業內網用於服務的服務器。

        動態NAT:將一個內部IP轉換爲一組外部IP（地址池）中的一個IP。經常使用於公司內部IP公用多個                 公網IP來訪問internet             

        超載NAT:動態NAT的一種特殊形式。利用不一樣的端口號將多個內部IP轉換爲一個外部IP.也稱爲                 NPAT,NAPT或端口複用NAT

◆配置

        靜態NAT:

               ◆ 指定一個內部接口和一個外部接口 

                ip nat {inside|outside}

                配置靜態轉換條目

                ip nat inside source static local-ip {interface interface| global-IP}

               ◆ 配置靜態端口地址轉換

                ip nat inside source static {tcp|udp}local-ip local-port {interfac                         interface|golbal-ip}global-ip

        查看：show ip nat translations 能夠看到表項，外部進來的流量就經過該表項進行轉換

                                       動態NAT就沒有表項，外部就沒法訪問內部

案例：

1、一對一靜態映射

R1：int f1/0

        ip add 12.1.1.1 255.255.255.0

        no shu

    int lo0

        ip add 10.1.1.1 255.255.255.255

    router eigrp 10

         no auto

         net 0.0.0.0

R2: int f1/0

        ip add 12.1.1.2 255.255.255.0

        no shu

    int f1/1

        ip add 23.1.1.2 255.255.255.0

        no shu

    router eigrp 10

        no auto

        net 0.0.0.0

        redistribute static

    ip route 0.0.0.0 0.0.0.0 23.1.1.3                

R3：int f1/0

        ip add 23.1.1.3 255.255.255.0

        no shu

    int lo0

        ip add 3.3.3.3 255.255.255.255

此時R1 ping R3 ping 3.3.3.3 不通，R3開啓 debug ip  packet看R1的包是否到達R3，已經到達可是回不去R1.

R2配置NAT:int f0/0

            ip nat inside

          int f0/1

            ip nat outside

          ip nat inside source static 10.1.1.1 23.1.1.2

  再從R1 ping 3.1.1.1 source 10.1.1.1可通 

備註：內部流量先路由再翻譯；外部流量先翻譯在路由

   測試，開啓R1 R2的telnet。

         從R3telnet 23.1.1.2 看到遠程到了R1二非R2 ，就是所以先翻譯把23.1.1.2 翻譯成10.1.1.1

上述一對一映射，實際中並不會用，這樣浪費公司公網IP，實際採用端口映射。把本身服務器發佈出去

端口靜態NAT配置：

        R2：ip nat inside source static tcp 10.1.1.1 23 23.1.1.2 123 

2、多對多動態映射 

假設運營商分給企業的公網IP：172.19.233.209-172.19.233.222 255.255.255.240

                    內網IP：192.168.1.0 255.255.255.0

ip nat pool nat-208 172.19.233.209 172.19.233.222 netmask 255.255.255.240

ip nat inside source list 1 pool nat-208

access-list 1 permit 192.168.1.0 0.0.0.255

再次說明，從inside到outside能夠通NAT配置生成表項翻譯出去。但回來的流一旦沒有翻新表項，是沒法進來的。

3、複用內部的全局IP

    將一個內部全局地址用於同時表明多個內部局部地址。

    主要用IP和端口號組合來惟一區分各個內部主機

    目前企業廣泛應用。

配置:加關鍵字overload。。  ip nat inside source list 1 pool nat-208 overload  

     清翻譯表，clear ip nat translation *