NAT基础知识

一、NAT工作方式

二、NAT工作原理

三、应用级网关

ASPF是一种应用层状态检测技术，与NAT和ALG等技术结合使用，实现对应用层协议状态的处理与检测

四、NAT配置步骤

ip  nat inside source static tcp 192.168.1.２ 23 13.0.0.100 80 #使用静态地址转换
ip  nat inside source static tcp 192.168.1.3  23 13.0.0.100 21

NAT负载均衡使用route-map

ip nat inside source list 1 interface Ethernet0/1 overload #做端口复用
ip nat inside source list 2 interface Ethernet0/2 overload
route-map cisco permit 10 #做路由映射
 match ip address 1 #匹配ACL1
 set ip next-hop 12.1.1.1 #走吓一跳地址为12.1.1.1
 set ip next-hop verify-availability
!
route-map cisco permit 20
 match ip address 1
 set ip default next-hop 13.1.1.1
 set ip next-hop verify-availability

show ip nat translations 查看地址转换条目
clear ip nat translations 清除地址转换条目

H3C的NAT配置
interface GigabitEthernet1/1 #定义为内网口
 description link to S5500
 ip address 172.16.18.1 255.255.255.0 #设置内网IP地址
interface GigabitEthernet1/0   #定义为外网口
 ip address 106.120.223.242 255.255.255.0 #设置公网IP地址
 nat outbound 2000 address-group 1 #配置ACL和地址池关联

nat outbound #表示ACL中规定的地址可以使用地址池进行地址转换。ACL用于指定一个规则，用来过滤特定流量
address-group命令用来配置NAT地址池
no-pat表示只转换数据报文的地址而不转换端口信息

Easy IP不需要配置地址池，直接使用接口的IP地址作为NAT转换后的地址

 nat server protocol tcp global 106.120.223.254 9900 inside 172.16.18.100 9900  #做服务器端口映射

1. global参数用于配置外部公网地址
2. inside参数用于配置内部私有地址

 nat static enable
display nat static #查看静态NAT的配置

nat static outbound 172.16.18.100 106.120.205.100
nat address-group 1 106.120.205.24 106.120.205.25  配置地址池

nat alg enable { dns | ftp | h323 | hwcc | icmp | ils | msn | netbios | pptp | qq }使能NAT ALG功能

nat log enable 启动NAT用户日志功能

display nat all 显示所有nat配置信息
reset  nat session 清除nat缓存

SNAT:常用于内网代理上网，私网地址转成公网地址，使用“IP地址+端口号”形式转换(NAT选取空闲的端口号)
DNAT:常用于发布内网服务器到公网出于安全考虑，用户服务不希望被公网用户访问，但某些服务希望被公网访问