CCNA学习笔记12-NAT

网络地址翻译 inside local-》inside group

    私有IP转换为公网IP，在internet上使用

◆NAT术语

    inside outside指的是物理位置（本地PC访问百度服务器，PC就是inside 百度服务器就是outside）

    

    inside local内部本地：私有IP，不能直接用于互联网

    inside group内部全局：用来代替内部本地的IP地址，在互联网上是合法的IP

    outside group外部全局：外部网络中的主机IP，通常来着全局可路由的地址空间

    outside local外部本地：在内部网络中看到的外部主机IP

注意：对于本地网关路由器，从进来数据到发出去，是先路由再做NAT；反之，从外部进来发往内部的数       据，是先做NAT再路由

从内部出去的数据流通过配置可以转换，但是从外部进来的数据必须有相应的表项，配置时不能触发外部数据转换的。

◆NAT分类

  根据映射的方式分为：    

        静态NAT:手动建立一个内部IP到一个外部IP的映射关系。经常用于内部某台设备需要外部网络                 来访问的场合 企业内网用于服务的服务器。

        动态NAT:将一个内部IP转换为一组外部IP（地址池）中的一个IP。常用于公司内部IP公用多个                 公网IP来访问internet             

        超载NAT:动态NAT的一种特殊形式。利用不同的端口号将多个内部IP转换为一个外部IP.也称为                 NPAT,NAPT或端口复用NAT

◆配置

        静态NAT:

               ◆ 指定一个内部接口和一个外部接口 

                ip nat {inside|outside}

                配置静态转换条目

                ip nat inside source static local-ip {interface interface| global-IP}

               ◆ 配置静态端口地址转换

                ip nat inside source static {tcp|udp}local-ip local-port {interfac                         interface|golbal-ip}global-ip

        查看：show ip nat translations 可以看到表项，外部进来的流量就通过该表项进行转换

                                       动态NAT就没有表项，外部就无法访问内部

案例：

一、一对一静态映射

R1：int f1/0

        ip add 12.1.1.1 255.255.255.0

        no shu

    int lo0

        ip add 10.1.1.1 255.255.255.255

    router eigrp 10

         no auto

         net 0.0.0.0

R2: int f1/0

        ip add 12.1.1.2 255.255.255.0

        no shu

    int f1/1

        ip add 23.1.1.2 255.255.255.0

        no shu

    router eigrp 10

        no auto

        net 0.0.0.0

        redistribute static

    ip route 0.0.0.0 0.0.0.0 23.1.1.3                

R3：int f1/0

        ip add 23.1.1.3 255.255.255.0

        no shu

    int lo0

        ip add 3.3.3.3 255.255.255.255

此时R1 ping R3 ping 3.3.3.3 不通，R3开启 debug ip  packet看R1的包是否到达R3，已经到达但是回不去R1.

R2配置NAT:int f0/0

            ip nat inside

          int f0/1

            ip nat outside

          ip nat inside source static 10.1.1.1 23.1.1.2

  再从R1 ping 3.1.1.1 source 10.1.1.1可通 

备注：内部流量先路由再翻译；外部流量先翻译在路由

   测试，开启R1 R2的telnet。

         从R3telnet 23.1.1.2 看到远程到了R1二非R2 ，就是因此先翻译把23.1.1.2 翻译成10.1.1.1

上述一对一映射，实际中并不会用，这样浪费公司公网IP，实际采用端口映射。把自己服务器发布出去

端口静态NAT配置：

        R2：ip nat inside source static tcp 10.1.1.1 23 23.1.1.2 123 

二、多对多动态映射 

假设运营商分给企业的公网IP：172.19.233.209-172.19.233.222 255.255.255.240

                    内网IP：192.168.1.0 255.255.255.0

ip nat pool nat-208 172.19.233.209 172.19.233.222 netmask 255.255.255.240

ip nat inside source list 1 pool nat-208

access-list 1 permit 192.168.1.0 0.0.0.255

再次说明，从inside到outside可以通NAT配置生成表项翻译出去。但回来的流一旦没有翻新表项，是无法进来的。

三、复用内部的全局IP

    将一个内部全局地址用于同时代表多个内部局部地址。

    主要用IP和端口号组合来唯一区分各个内部主机

    目前企业普遍应用。

配置:加关键字overload。。  ip nat inside source list 1 pool nat-208 overload  

     清翻译表，clear ip nat translation *