NAT基礎知識

1、NAT工做方式

2、NAT工做原理

3、應用級網關

ASPF是一種應用層狀態檢測技術，與NAT和ALG等技術結合使用，實現對應用層協議狀態的處理與檢測

4、NAT配置步驟

ip  nat inside source static tcp 192.168.1.２ 23 13.0.0.100 80 #使用靜態地址轉換
ip  nat inside source static tcp 192.168.1.3  23 13.0.0.100 21

NAT負載均衡使用route-map

ip nat inside source list 1 interface Ethernet0/1 overload #作端口複用
ip nat inside source list 2 interface Ethernet0/2 overload
route-map cisco permit 10 #作路由映射
 match ip address 1 #匹配ACL1
 set ip next-hop 12.1.1.1 #走嚇一跳地址爲12.1.1.1
 set ip next-hop verify-availability
!
route-map cisco permit 20
 match ip address 1
 set ip default next-hop 13.1.1.1
 set ip next-hop verify-availability

show ip nat translations 查看地址轉換條目
clear ip nat translations 清除地址轉換條目

H3C的NAT配置
interface GigabitEthernet1/1 #定義爲內網口
 description link to S5500
 ip address 172.16.18.1 255.255.255.0 #設置內網IP地址
interface GigabitEthernet1/0   #定義爲外網口
 ip address 106.120.223.242 255.255.255.0 #設置公網IP地址
 nat outbound 2000 address-group 1 #配置ACL和地址池關聯

nat outbound #表示ACL中規定的地址能夠使用地址池進行地址轉換。ACL用於指定一個規則，用來過濾特定流量
address-group命令用來配置NAT地址池
no-pat表示只轉換數據報文的地址而不轉換端口信息

Easy IP不須要配置地址池，直接使用接口的IP地址做爲NAT轉換後的地址

 nat server protocol tcp global 106.120.223.254 9900 inside 172.16.18.100 9900  #作服務器端口映射

1. global參數用於配置外部公網地址
2. inside參數用於配置內部私有地址

 nat static enable
display nat static #查看靜態NAT的配置

nat static outbound 172.16.18.100 106.120.205.100
nat address-group 1 106.120.205.24 106.120.205.25  配置地址池

nat alg enable { dns | ftp | h323 | hwcc | icmp | ils | msn | netbios | pptp | qq }使能NAT ALG功能

nat log enable 啓動NAT用戶日誌功能

display nat all 顯示全部nat配置信息
reset  nat session 清除nat緩存

SNAT:經常使用於內網代理上網，私網地址轉成公網地址，使用「IP地址+端口號」形式轉換(NAT選取空閒的端口號)
DNAT:經常使用於發佈內網服務器到公網出於安全考慮，用戶服務不但願被公網用戶訪問，但某些服務但願被公網訪問