双IE带你体验不同的NAT技术

一、NAT技术技术背景？

IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6能够从根本上解决IPv4地址空间不足的问题，但目前众多的网络设备和网络应用还是基于IPv4的 所以在IPv6普遍应用以前，一些过渡技术的使用是解决这个问题的主要技术手段。

小结：哪一些技术能够节约地址
一、 VLSM（可变长子网掩码）
二、 NAT技术（今天所学习的）

二、NAT做用是什么？

网络地址转换技术NAT（Network Address Translation）主要用于实现位于内部网络的主机访问外部网络的功能。

就是将私网地址可以转换成公网地址，使私网用户可以上网，这样既可保证网络互通，又节省了公网地址

注意点：用户使用的地址是私网地址，我们所访问的百度服务器使用的都是公网地址，NAT通常部署在链接内网和外网的网关设备上

私网地址：
    10.0.0.0~10.255.255.255
    172.16.0.0~172.31.255.255
    192.168.0.0~192.168.255.255
公网地址：
    除私网地址外+特殊地址的就是公网地址

三、NAT的优势？

节约公网地址
保护内部的网络
实现IP地址复用，节约宝贵的地址资源

四、源NAT的种类

源NAT就是指转换源IP地址，不转换目标IP地址 结合数通安全来说，笔者认为这样分类比较适合现网中的环境 由于通常状况现网中都会有防火墙设备

4.一、静态NAT

原理：实现公网地址和私网地址一对一的映射，一个公网IP只会分配给惟一且固定的内网主机

命令：

nat static global 202.10.10.1 inside 192.168.1.1 netmask 255.255.255.255
静态nat格式    公网地址      私网地址       后面不用敲 自动产生
nat static global 202.10.10.2 inside 192.168.1.2 netmask 255.255.255.255

检查以下：

display nat session 
  Static Nat Information:
  Interface  : Serial1/0/0
    Global IP/Port     : 202.10.10.1/----             转换后的公网地址
    Inside IP/Port     : 192.168.1.1/----             转换前的私网地址
……
Global IP/Port     : 202.10.10.2/---- 
    Inside IP/Port     : 192.168.1.2/----
……
  Total :    2

注意：

在数通里面称做静态NAT，其实转换的既能够是源IP地址也能够是目标IP地址，在安全里面静态NAT也叫作NO-PAT，安全里面的NO-PAT须要定义地址池 数通的静态NAT不须要定义地址池 由于通常状况下，用户所在的防火墙区域通常都是trust区域，互联网所在的区域是untrust区域，通常咱们放行的是trust到untrust的安全策略流量，因此，静态NAT或者NO-PAT最大的做用仍是作源IP地址的转换 可是静态NAT只是一个学习的技术，由于根本仍是没法节约公网IP地址

4.二、动态NAT

原理：和静态实质是同样的，公网地址和私网地址进行一对一的映射，基于地址池来实现私有地址和公有地址的转换

命令：

一、acl的配置：就是容许哪一些私网地址进行转换

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

二、定义一个地址池：

[RTA]nat address-group 1 200.10.10.1 200.10.10.200 
                  序号  开始地址~结束地址

三、接下进行调用

[RTA]interface G0/0/0
[RTA-G0/0/0]nat outbound 2000 address-group 1 no-pat
*注意：no-pat必定带带上  意思是不进行转换转换*

四、检查以下

display nat session all

[RTA]display nat address-group 1
 NAT Address-Group Information:
 --------------------------------------
 Index   Start-address      End-address
 1       200.10.10.1        200.10.10.200

[RTA]display nat outbound 
 NAT Outbound Information:
 ----------------------------------------------------------------
 Interface          Acl     Address-group/IP/Interface      Type
 ----------------------------------------------------------------
 Serial1/0/0       2000                        1         no-pat
 ----------------------------------------------------------------
  Total : 1

注意：

动态NAT其实的原理和静态NAT很类似，都没法节约公网IP地址

4.三、NAPT

原理：就是让多个私网地址可以被一个公网地址进行的不一样端口进行转换
注意：这边公网地址指的是非出接口的公网IP地址，端口指的就是传输层的端口概念，共65536个，取值范围是0~65535，知名端口0~1023

命令：

一、acl的配置：就是容许哪一些私网地址进行转换

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

二、定义一个地址池：

[RTA]nat address-group 1 202.100.12.1 202.100.12.1 
                  序号  开始地址~结束地址

三、接下进行调用

[RTA]interface G0/0/0
[RTA-G0/0/0]nat outbound 2000 address-group 1       
注意：no-pat必定不能带上  意思进行转换转换

四、检查以下

display nat session all

注意：

数通里面的NAPT不容许容许路由器的出接口做为被转换的公网地址，安全里面的NAPT是能够容许路由器的出接口做为被转换的公网地址

4.四、EASY-IP

原理：就是让多个私网地址可以被一个公网地址进行的不一样端口进行转换
注意：这边公网地址指的是出接口的公网IP地址

命令：

一、acl的配置：就是容许哪一些私网地址进行转换

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

二、接下进行调用

[RTA]interface G0/0/0
[RTA-G0/0/0]nat outbound 2000
注意：该G0/0/0接口时出接口的IP地址

三、查看端口转换的ip地址

display nat session all

四、检查以下

display nat session all

[RTA]display nat outbound 
 NAT Outbound Information:
 ---------------------------------------------------------------------
 Interface         Acl     Address-group/IP/Interface      Type
 ---------------------------------------------------------------------
 Serial1/0/0       2000      200.10.10.1                  easyip  
 ---------------------------------------------------------------------
  Total : 1

注意：

数通里面和安全里面的easy-ip除了配置命令行有所区别外，原理都是同样的

五、目的NAT

原理：目标NAT就是指转换目标IP地址，不转换源IP地址，经过配置NAT服务器,可使外网用户访问内网服务器

命令

[RTA]interface GigabitEthernet0/0/1
[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global current-interface 9999 inside 192.168.1.1 23

注意：

就是将服务器提供的8080服务映射到RTA公网地址202.10.10.1:80端口上面，外网的用户实际访问的就是202.10.10.1:80端口，而后路由器经过NAT Server的映射，会把请求发给服务器

注意：

若是服务器提供的是telnet服务的话，AR1这边不须要配置tlenet的任何服务，外网用户能够经过telnet 200.10.10.1:9999就能够远程到内网的服务器了
其中AR1不须要配置telnet的任何配置
服务器须要配置tlenet的服务功能

查看以下

[RTA]display nat server 
  Nat Server Information:
  Interface  : Serial1/0/0
    Global IP/Port     : 202.10.10.1/80(www) 
    Inside IP/Port     : 192.168.1.1/8080
    Protocol : 6(tcp)   
    instance-name  : ----                            
    Acl number         : ----
    Description : ----
  Total :    1

安全里面的其余NAT技术

smart-nat

NAT的SLB

双向NAT

域间双向NAT

域内双向NAT

NAT复用技术

NAT ALG

NAT豁免

后期我详细讲解的哦~~~~