雙IE帶你體驗不同的NAT技術

一、NAT技術技術背景？

IPv4地址枯竭已經成爲制約網絡發展的瓶頸。儘管IPv6能夠從根本上解決IPv4地址空間不足的問題，但目前衆多的網絡設備和網絡應用還是基於IPv4的 所以在IPv6普遍應用以前，一些過渡技術的使用是解決這個問題的主要技術手段。

小結：哪一些技術能夠節約地址
一、 VLSM（可變長子網掩碼）
二、 NAT技術（今天所學習的）

二、NAT做用是什麼？

網絡地址轉換技術NAT（Network Address Translation）主要用於實現位於內部網絡的主機訪問外部網絡的功能。

就是將私網地址可以轉換成公網地址，使私網用戶可以上網，這樣既可保證網絡互通，又節省了公網地址

注意點：用戶使用的地址是私網地址，我們所訪問的百度服務器使用的都是公網地址，NAT通常部署在鏈接內網和外網的網關設備上

私網地址：
    10.0.0.0~10.255.255.255
    172.16.0.0~172.31.255.255
    192.168.0.0~192.168.255.255
公網地址：
    除私網地址外+特殊地址的就是公網地址

三、NAT的優勢？

節約公網地址
保護內部的網絡
實現IP地址複用，節約寶貴的地址資源

四、源NAT的種類

源NAT就是指轉換源IP地址，不轉換目標IP地址 結合數通安全來說，筆者認爲這樣分類比較適合現網中的環境 由於通常狀況現網中都會有防火牆設備

4.一、靜態NAT

原理：實現公網地址和私網地址一對一的映射，一個公網IP只會分配給惟一且固定的內網主機

命令：

nat static global 202.10.10.1 inside 192.168.1.1 netmask 255.255.255.255
靜態nat格式    公網地址      私網地址       後面不用敲 自動產生
nat static global 202.10.10.2 inside 192.168.1.2 netmask 255.255.255.255

檢查以下：

display nat session 
  Static Nat Information:
  Interface  : Serial1/0/0
    Global IP/Port     : 202.10.10.1/----             轉換後的公網地址
    Inside IP/Port     : 192.168.1.1/----             轉換前的私網地址
……
Global IP/Port     : 202.10.10.2/---- 
    Inside IP/Port     : 192.168.1.2/----
……
  Total :    2

注意：

在數通裏面稱做靜態NAT，其實轉換的既能夠是源IP地址也能夠是目標IP地址，在安全裏面靜態NAT也叫作NO-PAT，安全裏面的NO-PAT須要定義地址池 數通的靜態NAT不須要定義地址池 由於通常狀況下，用戶所在的防火牆區域通常都是trust區域，互聯網所在的區域是untrust區域，通常咱們放行的是trust到untrust的安全策略流量，因此，靜態NAT或者NO-PAT最大的做用仍是作源IP地址的轉換 可是靜態NAT只是一個學習的技術，由於根本仍是沒法節約公網IP地址

4.二、動態NAT

原理：和靜態實質是同樣的，公網地址和私網地址進行一對一的映射，基於地址池來實現私有地址和公有地址的轉換

命令：

一、acl的配置：就是容許哪一些私網地址進行轉換

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

二、定義一個地址池：

[RTA]nat address-group 1 200.10.10.1 200.10.10.200 
                  序號  開始地址~結束地址

三、接下進行調用

[RTA]interface G0/0/0
[RTA-G0/0/0]nat outbound 2000 address-group 1 no-pat
*注意：no-pat必定帶帶上  意思是不進行轉換轉換*

四、檢查以下

display nat session all

[RTA]display nat address-group 1
 NAT Address-Group Information:
 --------------------------------------
 Index   Start-address      End-address
 1       200.10.10.1        200.10.10.200

[RTA]display nat outbound 
 NAT Outbound Information:
 ----------------------------------------------------------------
 Interface          Acl     Address-group/IP/Interface      Type
 ----------------------------------------------------------------
 Serial1/0/0       2000                        1         no-pat
 ----------------------------------------------------------------
  Total : 1

注意：

動態NAT其實的原理和靜態NAT很類似，都沒法節約公網IP地址

4.三、NAPT

原理：就是讓多個私網地址可以被一個公網地址進行的不一樣端口進行轉換
注意：這邊公網地址指的是非出接口的公網IP地址，端口指的就是傳輸層的端口概念，共65536個，取值範圍是0~65535，知名端口0~1023

命令：

一、acl的配置：就是容許哪一些私網地址進行轉換

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

二、定義一個地址池：

[RTA]nat address-group 1 202.100.12.1 202.100.12.1 
                  序號  開始地址~結束地址

三、接下進行調用

[RTA]interface G0/0/0
[RTA-G0/0/0]nat outbound 2000 address-group 1       
注意：no-pat必定不能帶上  意思進行轉換轉換

四、檢查以下

display nat session all

注意：

數通裏面的NAPT不容許容許路由器的出接口做爲被轉換的公網地址，安全裏面的NAPT是能夠容許路由器的出接口做爲被轉換的公網地址

4.四、EASY-IP

原理：就是讓多個私網地址可以被一個公網地址進行的不一樣端口進行轉換
注意：這邊公網地址指的是出接口的公網IP地址

命令：

一、acl的配置：就是容許哪一些私網地址進行轉換

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

二、接下進行調用

[RTA]interface G0/0/0
[RTA-G0/0/0]nat outbound 2000
注意：該G0/0/0接口時出接口的IP地址

三、查看端口轉換的ip地址

display nat session all

四、檢查以下

display nat session all

[RTA]display nat outbound 
 NAT Outbound Information:
 ---------------------------------------------------------------------
 Interface         Acl     Address-group/IP/Interface      Type
 ---------------------------------------------------------------------
 Serial1/0/0       2000      200.10.10.1                  easyip  
 ---------------------------------------------------------------------
  Total : 1

注意：

數通裏面和安全裏面的easy-ip除了配置命令行有所區別外，原理都是同樣的

五、目的NAT

原理：目標NAT就是指轉換目標IP地址，不轉換源IP地址，經過配置NAT服務器,可使外網用戶訪問內網服務器

命令

[RTA]interface GigabitEthernet0/0/1
[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global current-interface 9999 inside 192.168.1.1 23

注意：

就是將服務器提供的8080服務映射到RTA公網地址202.10.10.1:80端口上面，外網的用戶實際訪問的就是202.10.10.1:80端口，而後路由器經過NAT Server的映射，會把請求發給服務器

注意：

若是服務器提供的是telnet服務的話，AR1這邊不須要配置tlenet的任何服務，外網用戶能夠經過telnet 200.10.10.1:9999就能夠遠程到內網的服務器了
其中AR1不須要配置telnet的任何配置
服務器須要配置tlenet的服務功能

查看以下

[RTA]display nat server 
  Nat Server Information:
  Interface  : Serial1/0/0
    Global IP/Port     : 202.10.10.1/80(www) 
    Inside IP/Port     : 192.168.1.1/8080
    Protocol : 6(tcp)   
    instance-name  : ----                            
    Acl number         : ----
    Description : ----
  Total :    1

安全裏面的其餘NAT技術

smart-nat

NAT的SLB

雙向NAT

域間雙向NAT

域內雙向NAT

NAT複用技術

NAT ALG

NAT豁免

後期我詳細講解的哦~~~~