平常筆記--nat

NAT配置思路：

一、配置內網和外網設備的IP地址

二、配置網關設備上的默認路由
     ip route 0.0.0.0 0.0.0.0 100.1.1.4 

三、配置 ISP 邊的網絡（內網啓用IGP - RIP ）
      ISP：
         router rip 
            version 2 
            no auto-summary
            network 200.1.1.0
            network 100.0.0.0
            passive-interface gi1/0
      R5：
         router rip 
            version 2
            no auto-summary
            network 200.1.1.0
三、在網關設備上配置 NAT 邊界
     interface fa0/0
        ip nat inside 
     interface gi1/0
        ip nat outside 
四、配置 NAT 轉換條目
     ip nat inside source static 192.168.10.1  100.1.1.3

五、驗證、測試、保存
    show ip route 
    show ip nat translation
    debug ip nat 
    PC-1:
       ping 200.1.1.5 

==============================================================

靜態NAT：
   在這種類型的NAT中，私有地址與公有地址的對應關係是 1:1 ， 不節省IP地址；

在動態NAT的一種類型中 ---- PNAT(port NAT) ,
   所造成的私有地址與公有地址的對應關係是：n:1 ，節省IP地址；
   本質是：
       使用同一個公網IP地址的，不一樣的，端口號，來對應內網不一樣的私有主機   

配置思路：
    一、肯定 NAT 邊界
    二、肯定須要進行 NAT 轉換的私有地址空間

       工具
          -匹配感興趣的流量
             內網中
             全部
             數據包源IP
             爲192.168.10.X 的
             IP數據包

        規則1：     192.168.10. 0  
                     0 . 0 . 0.255  -->通配符   
                                   //按照這個規則，能夠抓住全部源IP地址
                                     爲 192.168.10.X 的全部數據包；

        工具，稱之爲  ACL - access control list :訪問控制列表   

            ACL：
                規則 - 匹配感興趣流量的； 
                動做 - permit /  deny 
                事件 - 須要對「感興趣流量」作的事情。            

            access-list  1   permit  192.168.10.0 0.0.0.255                          

    三、針對私有地址，配置對應的 NAT 轉換條目

           GW(config)#  ip nat inside source  list 1  interface gi1/0 

    四、驗證、測試、保存
           show ip nat statistics  //查看 NAT 的簡要配置信息； 
           show ip access-list     // 查看配置好的 ACL ； 
           show ip nat translation // 查看 NAT 的核心工做表 - NAT表

           GW#debug ip nat 

           PC-1/2：
              ping 200.1.1.5

================================================================

在邊界網關上，若是事事了NAT ，那麼：

      一、當流量從inside到outside時，先查路由表，再查NAT表；

      二、當流量從outside到inside時，先查NAT表，再查路由表；     

因此，咱們能夠在 outside 主動向 inside 發起流量，前提是咱們得保證
邊界網關上面是有 NAT 條目的，
固然該條目不能是由內網流量觸發的，而應該是永久存在的靜態NAT條目。

咱們將這種配置稱之爲：NAT的高級應用。

表明1：
     端口映射

     GW(config)#ip nat inside source static tcp 192.168.10.1 23
                                                100.1.1.3  123456

測試：
   一、首先配置好 PC-1 的遠程訪問密碼；
   二、其次配置好 GW 的遠程訪問密碼； 
   三、最後，在 R5 上進行測試：
         telnet 100.1.1.3 123456 

================================================================
華爲NAT （分類與思科徹底相同）
   靜態NAT ：私有地址與公有地址是 1:1 ，不節省IP地址；
   動態NAT ：私有地址與公有地址是 多:1 ， 節省IP地址；
       -普通「動態NAT」
       -PAT/PNAT/NAPT/端口複用

靜態NAT配置： 
    一、啓動NAT功能
          #在任意端口上啓用均可以
            例如：
                interface gi0/0/1
                   nat static enable -->啓動靜態NAT功能
    二、配置NAT轉換條目(兩種配置方式)
          1# 能夠在全局下配置
             nat static global 100.1.1.3  inside 192.168.10.1

          2# 能夠在接口下配置(必須是數據包的出端口)
             nat static global 100.1.1.3  inside 192.168.10.1            

    三、驗證、測試、保存
          display nat static 

          <ISP>terminal monitor
          <ISP>terminal debugging
          <ISP>debugging ip icmp 
          <GW>debugging nat all 

PNAT的配置：
    一、定義感興趣的流量
         acl 2000 
           rule 5  permit 192.168.10.0  0.0.0.255

    二、在流量的出端口配置NAT
         interface gi0/0/1 
           nat outbound 2000 -->在該端口上發送出去，而且被 ACL 2000
                                匹配的流量，其中的源IP地址轉換爲該
                                接口的IP地址；
    三、驗證、測試、保存
          display nat outbound

華爲端口映射：
 interface g 0/0/0 

       nat server protocol tcp global current-interface 80 inside 192.168.1.1 80  //外網經過tcp協議的80端口訪問內網的80端口