NAT

1、NAT的概念

NAT (Network Address Translation）又稱為網絡位址轉換，用于實作私有網絡和公有網絡之間的互訪。

2、NAT的工作原理

●NAT用來将内網位址和端口号轉換成合法的公網位址和端口号，建立一個會話，與公網主機進行通信

●NAT外部的主機無法主動跟位于NAT内部的主機通信，NAT内部主機想要通信，必須主動和公網的一個IP通信，路由器負責建立一個映射芙系,進而實作資料的轉發

3、NAT的功能

NAT不僅能解決了IP位址不足的問題，而且還能夠有效地避免來自網絡外部的入侵，隐藏并保護網絡内部的計算機。

1.寬帶分享:這是NAT主機的最大功能。

2,安全防護:NAT之内的PC聯機到Internet上面時，他所顯示的IP是NAT主機的公網IP，是以client端的PC就具有一定程度的安全了，外界在進行 portscan(端口掃描）的時候，就偵測不到源client端的PC 。

4、NAT的優缺點

優點:節省公有合法IP位址、處理位址重疊、增強靈活性、安全性

缺點:延遲增大、配置和維護的複雜性、不支援某些應用（比如VPN)

5、NAT的分類

5.1靜态NAT

靜态NAT實作私網位址和公網位址的一對一轉換。有多少個私網位址就需要配置多少個公網位址。靜态NAT不能節約公網位址，但可以起到隐藏内部網絡的作用。

内部網絡向外部網絡發送封包時，靜态NAT将封包的源IP位址替換為對應的公網位址:外部網絡向内部網絡發送響應封包時，靜态NAT将封包的目的位址替換為相應的私網位址。

第一種：全局配置靜态NAT

[R1]nat static global 8.8.8.8 inside 192.168.10.10（一綁一）

[R1]int g0/0/0

連接配接外網的接口

[R1-GigabitEthernet0/0/0]nat static enable

在接口上啟動nat static功能

第二種方法;接口配置靜态NAT

外網口

[R1-GigabitEthernet0/0/0]nat static global 8.8.8.8 inside 192.168.17.1

5.2動态NAT

動态NAT:多個私網IP位址對應多個公網IP位址,基于位址池一對一映射

1.配置外部網口和内部網口的IP位址

2.定義合法IP位址池

[R1]nat address-group 1 212.0.0.100 212.0.0.200

建立名為1的NAT位址池

3.定義通路控制清單

[R1]acl 2000

[R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255

[R1-acl-basic-2000]rule permit source 11.0.0.0 0.0.0.255

建立ACL，允許源位址的網段的資料通過

4.在外網口上設定動态IP位址轉換

[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat

将acl2000比對的資料轉換成位址池1裡的位址（no-pat是不做端口轉換，隻進行IP轉換，預設為pat）

6、PAT

6.1PAT–端口多路複用

PAT又稱為NAPT (Network Address Port Translation)，它實作一個公網位址和多個私網位址之間的映射，是以可以節約公網位址。PAT的基本原理是将不同私網位址的封包的源IP位址轉換為同一公網位址，但他們被轉換為該位址的不同端口号，因而仍然能夠共享同一位址。

6.2PAT的作用

改資料包的ip位址和端口号

能夠大量節約公網IP位址。

6.3PAT的類型

動态PAT，包括NAPT和Easy IP（家用）

靜态PAT，包括NAT Server（伺服器使用的）

6.3.1NAPT

NAPT:多個私網IP位址對應固定外網IP位址(比如200.1.1.10) ,配置方法與動态NAT類似

1、配置外部網口和内部網口的IP位址

2、定義合法1P位址池

[R1]nat address-group 1 200.1.1.10 200.1.1.10 ####使用一個固定IP

3、定義通路控制清單

[R1] acl 2000

#####允許源位址為192.168.30.0/24網段的資料通過

[R1-acl-adv-2000] rule permit source 192.168.30.0 0.0.0.255

4、在外網口上設定1P位址轉換

[R1-acl-basic-2000]int g0/0/1 ###外網口

[R1-GigabitEtherneto/o/1]nat outbound 2000 address-group 1

6.3.2Easy IP

EasyIp:多個私網IP位址對應外網口公網IP位址(比如12.0.0.1)

由于直接實驗外網口IP位址是以不用再定義IP位址池

[R1]acl 3000##允許源位址為192.168.30.0/24網段的資料通過

[R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255

[R1]int go/0/1 ####外網口

[R1-GiqabitEtherneto/0/1] nat outbound 3000 #####當ac13000比對的源IP資料到達此接口時,轉換為該接口的1P位址做為源位址

[R1]display nat session all ###檢視NAT的流表資訊

6.3.3NAT Server

NAT Server:端口映射,将私網位址端口映射到公網位址,實作内網伺服器供外網使用者通路

[R1]int g0/0/1

[R1-GigabitEtherneto/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www #### 在連接配接公網的接口上将私網伺服器位址和公網位址做一對NAT映射綁定

[R1-GigabitEtherneto/0/1]nat server protocol tcp qlobal current-interface 8080 inside 10.1.1.1 www #### 在連接配接公網的接口上将私網伺服器位址和外網接口做一對NAT映射綁定

[R1-GiqabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp…端口為21可以直接使用關鍵字"ftp"代替