NAT的作用:
在节省IP地址的前提下,实现内网大量主机
与公网互通。
同时,
还能够对企业内部网络起到一定的保护作用,
因为外网用户不能直接进入到公司内部,
隐藏了公司的网络结果。

-在哪里配置?
在公司的边界设备上,可以路由器、交换机,也可以是防火墙。

-NAT的类型
静态NAT
@特点:私有地址:公有地址 = 1:1,不节省IP
举例:

  R1: (公司的边界设备)
    interface gi0/0/1  (公司边界设备连接外网的链路)
       nat static global 110.1.1.10 inside 10.1.1.1 
         在该接口发送数据包的时候,
            将源IP地址为 10.1.1.1的数据包
            中的源 IP地址,转换为: 110.1.1.10 ;

动态NAT   
  @特点:私有地址:公有地址 = 1:1,不节省IP 
          但是就配置量而言,要简单一些;
  举例:

    R1:
      #1.创建ACL,匹配感兴趣的流量
             acl 2000 
                rule 10 permit source  10.1.1.0 0.0.0.255
     #2.配置 NAT 地址组 
            nat address-group   1   110.1.1.10   110.1.1.11 
     #3.配置 NAT 转换命令 
            interface  gi0/0/1 
                nat  outbound  2000 address-group  1  no-pat  
                  即,在该接口上发送出去的数据包,如果这些数据包的源IP地址被ACL 2000 允许;
                        那么这些 源IP地址 ,就转换为 address-group 1 中的公网IP地址,
                        且
                        私有地址与公有地址是 1:1的关系,不节省IP地址。      
    注意: 
          如果删除了 no-pat 关键字,那么内容的大量主机就可以上网了。
          因为内网的私有地址发送数据包并被进行地址转换的时候,
          是首先使用 address-group 中的 小的公网IP地址+端口号的方式,进行地址转换。
          每个公网 IP 地址对应的端口号有 65536 个, 
          只有当一个 公网IP 地址对应的端口号应用完了以后,才会使用 address-group中的其他的公网IP地址。

PNAT(port network address translation)
  @特点:私有地址:公有地址 = 多:1 
         可以实现大量的公网IP地址的节省。
   -easy IP (动态的 PNAT)

   举例:
       R1: 
         interface gi0/0/1 
            nat  outbound   2000 
            即,从该接口发送出去的数据包,如果被 ACL 2000 允许,那么这些数据包的源 IP 地址,
                  就会被转换为该出接口的 IP 地址。

   -nat server (静态的 PNAT)
        主要是实现让外部用户主动访问公司内部网络。
        比如公司内部服务器的上线或者发布,
        都会使用到该技术。
        该技术,在工作环境中,一般称之为:端口映射。

 举例: 
     R1: 
        interface  gi0/0/1 
           nat server  protocol tcp  global  110.1.1.10 80  inside 10.1.1.88  80 

         即,当外网用户访问的目标IP地址是  110.1.1.10 的 80 ,并且是  TCP 流量的时候,
                R1 就会将这个目标IP地址和端口号转换为:
                10.1.1.88 的 80 , 
                然后经过 R1 的路由查找,发送到该内网主机。

NAT的配置思路: 

1.抓取感兴趣流量; 
2.配置NAT地址组(可选)
3.配置NAT转换条目
4.验证与测试

NAT配置注意事项:
1.在边界设备上配置
必须在“数据包从内网发向外网”方向上的“出接口”上进行配置;
2.必须先配置路由,如果没有路由,配置NAT是没有意义的

  1. easyIP 与 NAT server 是不冲突的,需要同时配置;
    4.边界路由器上同时存在多个表:
    -路由表 和 NAT 转换表

    -数据从内网发向外网时,首先查找路由表,确定的是出接口;
    再次查找NAT表, 确定将哪些源IP地址转化为公网IP地址;
    -数据从外网发向内网时,首先查找NAT表, 确定将哪些目标IP地址转换为私网IP地址;
    再次查找路由表,确定的是内网私网IP地址的主机的位置