双IE带你体验不一样的NAT技术（ie t nam）

双IE带你体验不一样的NAT技术（ie t nam）

1、NAT技术技术背景？

IPv4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题，但目前众多的网络设备和网络应用仍是基于IPv4的 因此在IPv6广泛应用之前，一些过渡技术的使用是解决这个问题的主要技术手段。小结：哪一些技术可以节约地址1、 VLSM（可变长子网掩码）2、 NAT技术（今天所学习的）

2、NAT作用是什么？

私网地址： 10.0.0.0~10.255.255.255 172.16.0.0~172.31.255.255 192.168.0.0~192.168.255.255 公网地址： 除私网地址外+特殊地址的就是公网地址

3、NAT的优点？

节约公网地址保护内部的网络实现IP地址复用，节约宝贵的地址资源

4、源NAT的种类

源NAT就是指转换源IP地址，不转换目标IP地址 结合数通安全来讲，笔者认为这样分类比较适合现网中的环境 因为一般情况现网中都会有防火墙设备

4.1、静态NAT

命令：

nat static global 202.10.10.1 inside 192.168.1.1 netmask 255.255.255.255 静态nat格式 公网地址 私网地址 后面不用敲 自动产生 nat static global 202.10.10.2 inside 192.168.1.2 netmask 255.255.255.255

检查如下：

display nat session Static Nat Information: Interface : Serial1/0/0 Global IP/Port : 202.10.10.1/---- 转换后的公网地址 Inside IP/Port : 192.168.1.1/---- 转换前的私网地址 …… Global IP/Port : 202.10.10.2/---- Inside IP/Port : 192.168.1.2/---- …… Total : 2

注意：

在数通里面称作静态NAT，其实转换的既可以是源IP地址也可以是目标IP地址，在安全里面静态NAT也叫做NO-PAT，安全里面的NO-PAT需要定义地址池 数通的静态NAT不需要定义地址池 因为一般情况下，用户所在的防火墙区域一般都是trust区域，互联网所在的区域是untrust区域，一般我们放行的是trust到untrust的安全策略流量，所以，静态NAT或者NO-PAT最大的作用还是做源IP地址的转换 但是静态NAT只是一个学习的技术，因为根本还是无法节约公网IP地址

4.2、动态NAT

1、acl的配置：就是允许哪一些私网地址进行转换

[RTA]acl 2000 [RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

2、定义一个地址池：

[RTA]nat address-group 1 200.10.10.1 200.10.10.200 序号 开始地址~结束地址

3、接下进行调用

[RTA]interface G0/0/0 [RTA-G0/0/0]nat outbound 2000 address-group 1 no-pat *注意：no-pat一定带带上 意思是不进行转换转换*

4、检查如下

display nat session all [RTA]display nat address-group 1 NAT Address-Group Information: -------------------------------------- Index Start-address End-address 1 200.10.10.1 200.10.10.200 [RTA]display nat outbound NAT Outbound Information: ---------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type ---------------------------------------------------------------- Serial1/0/0 2000 1 no-pat ---------------------------------------------------------------- Total : 1

注意：

动态NAT其实的原理和静态NAT很相似，都无法节约公网IP地址

4.3、NAPT

1、acl的配置：就是允许哪一些私网地址进行转换

[RTA]acl 2000 [RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

2、定义一个地址池：

[RTA]nat address-group 1 202.100.12.1 202.100.12.1 序号 开始地址~结束地址

3、接下进行调用

[RTA]interface G0/0/0 [RTA-G0/0/0]nat outbound 2000 address-group 1 注意：no-pat一定不能带上 意思进行转换转换

4、检查如下

display nat session all

注意：

数通里面的NAPT不允许允许路由器的出接口作为被转换的公网地址，安全里面的NAPT是可以允许路由器的出接口作为被转换的公网地址

4.4、EASY-IP

1、acl的配置：就是允许哪一些私网地址进行转换

[RTA]acl 2000 [RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255

2、接下进行调用

[RTA]interface G0/0/0 [RTA-G0/0/0]nat outbound 2000 注意：该G0/0/0接口时出接口的IP地址

3、查看端口转换的ip地址

display nat session all

4、检查如下

display nat session all [RTA]display nat outbound NAT Outbound Information: --------------------------------------------------------------------- Interface Acl Address-group/IP/Interface Type --------------------------------------------------------------------- Serial1/0/0 2000 200.10.10.1 easyip --------------------------------------------------------------------- Total : 1

注意：

数通里面和安全里面的easy-ip除了配置命令行有所区别外，原理都是一样的

5、目的NAT

命令

[RTA]interface GigabitEthernet0/0/1 [RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24 [RTA-GigabitEthernet0/0/1]interface Serial1/0/0 [RTA-Serial1/0/0]ip address 200.10.10.2 24 [RTA-Serial1/0/0]nat server protocol tcp global current-interface 9999 inside 192.168.1.1 23

注意：

就是将服务器提供的8080服务映射到RTA公网地址202.10.10.1:80端口上面，外网的用户实际访问的就是202.10.10.1:80端口，然后路由器通过NAT Server的映射，会把请求发给服务器

注意：

如果服务器提供的是telnet服务的话，AR1这边不需要配置tlenet的任何服务，外网用户可以通过telnet 200.10.10.1:9999就可以远程到内网的服务器了其中AR1不需要配置telnet的任何配置服务器需要配置tlenet的服务功能

查看如下

[RTA]display nat server Nat Server Information: Interface : Serial1/0/0 Global IP/Port : 202.10.10.1/80( Inside IP/Port : 192.168.1.1/8080 Protocol : 6(tcp) instance-name : ---- Acl number : ---- Description : ---- Total : 1

安全里面的其他NAT技术

smart-nat

NAT的SLB

双向NAT

域间双向NAT

域内双向NAT

NAT复用技术

NAT ALG

NAT豁免

后期我详细讲解的哦~~~~

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。