NAT 原理与实验操作

一，含义

网络地址转换技术

二，工作原理

NAT一般部署在连接内部和外部的网关设备上。

将源私网地址，改为公网地址

将目的公网        改为目的私网

如上图，PC1 想要访问百度服务器，源ip  192.168.1.1  目的ip  200.0.200

              经过公司A的G2 口（企业出口）因为私网地址是不可能出现在外网的，所以要向运                   营商买一个外网地址。经过企业出口时，源IP地址变成买来的公网地址 200.0.0.10，                 目的IP不变 200.0.200  

              数据回包，源iP 200.0.0.200     目的IP200.0.0.10  同理，外网地址是不可能出现在私                 网的，目的IP  变成192.168.1.1

即将源私网地址，改为公网地址

  将目的公网        改为目的私网

三，NAT 分类

（一）静态NAT

一个公网对应一个私网

1，搭建实验环境

2，进企业出口的接口    nat static enable   开启静态nat

                                      nat static global 200.0.0.100 inside 192.168.1.1  将192,。168.1.1的                                           流量变成200.0.0.100 的流量

 注意： 200.0.100  这个外网地址是要买的，200.0.0.1 这个地址是网关！

3，PC1  此时可以访问外网

4，dis nat static   查看静态nat

    dis nat session all    查看所以nat 设置

（二）动态NAT

买了100个 公网池子 让 1000个用户上网   有100个人上网时，第101个就等

1，实验环境

2，建一个公网池子

nat address-group 1 200.0.0.10    200.0.0.15

建一个acl 表  acl 2000

3,在acl  表里设规则

rule permit source 192.168.1.0    0.0.0.255     (允许192.168.1.0  网段的流量  注意0.0.0.255是通配符)

4，进接口   把nat和ACL表绑在一起    nat outbound 2000  address-group 1 not pat     (not pat  指不带端口号)

（三）NATPT/  NAT server  端口映射   （重点）

  让用户访问内网服务器

1，搭建实验环境

2，企业出口搭建默认路由

原因：Client1 访问200.0.0.1等于访问192.168.1.100     所以要先让Client1可以和200.0.0.1先互                相通讯。目前数据可以从Client1  到达200.0.0.1，但是回不去。企业出口要做默认路由，                 把回去的流量都甩给运营商去分配

3，Client1可以和200.0.0.1先互相通讯

4，在企业出口   配置

nat server protocol tcp global current-interface www inside 192.168.1.100 www

nat serve   ： 开启 nat server  

protocol tcp：tcp协议     只管控tcp 协议的端口（不管udp）

global：公网

current-interface ：当前接口的IP地址

www：tcp 80 端口号

inside：内网

意思： 200.0.0.1：80      和   192.168.1.100:80   做上关联

         即访问 200.0.0.1   80   等于访问192.168.1.100   80

5，验证一下，启用服务器的80端口，因为路由器是没有http七层协议的，路由器只有三层协议，所以如果Client1  访问200.0.0.1     有http，则说明成功映射了

6，映射内网服务器成功

注意：  NATPT/  NAT server  端口映射  访问 200.0.0.1   80   等于访问192.168.1.100   80

            200.0.0.1   80(这个端口基本不会变，因为这个是用户输入的  也可以写成                                   200.0.0.1 www  一个意思)                

             192.168.1.100  80(这个端口号可以变)    

即：         nat server protocol tcp global current-interface 80  inside 192.168.1.100 9527        

                意思是：访问 200.0.0.1   80   等于访问192.168.1.100   9527

（四）Easy-IP

使用一个公网地址让所有人可以上公网

将IP地址和端口号一起转换   （端口号是唯一的，回包的时候区分用户    所以一个公网地址可以让6万多人上公网   端口号0到65535）

1，实验环境

2，建一个acl 表  acl 2000

3，在acl  表里设规则

rule permit source 192.168.1.0    0.0.0.255     (允许192.168.1.0  网段的流量  注意0.0.0.255是通配符)

4，进接口   把nat和ACL表绑在一起

nat outbound 2000   将所有的私网地址映射成路由器当前接口的公网地址

5，PC1   PC2  都可以访问运营商公网

pc1

pc2