網絡位址轉換技術NAT

NAT

NAT (Network Address Translator )的主要原理是通過解析IP封包頭部，自動替換封包頭中的源位址或目的位址，實作私網使用者通過私網IP通路公網的目的。私網IP轉換為公網IP的過程對使用者來說是透明的。
           

1、内部位址通路外部位址 園區網内部，私有位址是不能上公網的，公網路由器上沒有私網的路由

2、多個内部位址同時通路外部

3、NAT的形式

靜态NAT  一個公網IP隻會配置設定給唯一且固定的内網主機。  實際上是一對一的位址轉換
動态NAT（NAT-NOPAT）    基于位址池的轉換 （位址池不是自己随意配置的，是營運商配置設定的）   實際上還是一對一的位址轉換
                       同時位址轉換，他的含義，僅限于位址池有多少個IP，位址池有兩IP，同時就隻能轉換兩個IP 

内部位址通路外部位址		  對外釋出伺服器		   
=======================================

NAPT   是多對一的位址轉換    借用了端口号    基于位址池的多對一的轉換
Easy ip      基于接口的多對一的位址轉換   小規模區域網路中的主機通路Internet的場景   1023-65535
打破了端到端的通信過程  内網隻能主動通路外網   外網不能主動通路内網
==================================

伺服器的特殊性決定，它必須能夠被外網通路以提供服務
有兩種辦法可以實作内網釋出伺服器    
   靜态NAT   直接一對一的綁定      浪費公網IP    不适用于是有一個公網IP的網絡環境
   NAT server     利用綁定的PAT端口号來實作    類似家庭用路由器的DMZ主機
           

4、NAT的基本概念

外部全局網絡:是指與位于LAN外部的路由器相連、無法識别LAN主機私有位址的任何網絡。

   内部本地網絡︰是指連接配接到私有尋址LAN中路由器接口的任何網絡。内部網絡中主機的IP位址在傳輸到外部目的地之前需要先進行轉換。

   外部本地
   接口調用的方向   inside  outside
   源位址轉換和目标位址轉換
   源位址轉換表示的NAT轉換的時源IP位址
   目标位址轉換表示的NAT轉換的是目标IP位址
           

5.NAT的工作原理

1）.PC1 ( 192.168.10.10)希望與外部 Web伺服器(209.205.201.1)通信。它發送資料包給配置了NAT的網絡邊界網關R1。
2）.R1讀取資料包的目的IP位址，并檢查資料包是否符合規定的轉換标準。
3）.R1有一個ACL，它确定該資料包的源IP位址是否可進行轉換。若可以轉換。
4）.R1将内部本地IP位址轉換成内部全局IP位址。
5）.并将本地與全局位址映射關系存儲在NAT表中。
6）.沿途路由器通過查詢路由表将資料包轉發到目的地。
7）.WEB伺服器回應時，資料包回到R1的内部全局位址。
8）.R1參考NAT表，發現這是原先轉換的IP位址。是以，它将内部全局位址轉換成内部本地位址，然後将資料包轉發給P位址為192.168.10.10的PC1.
9）.如果它沒有找到映射關系，資料包将被丢棄。
           

6.NAT的優缺點

優點

緩解公網位址緊缺問題
解決IP位址空間沖突或重疊的問題
網絡擴充性更高，本地控制也更容易
内網結構及相關操作對外變得不可見
 增加了安全性
           

缺點

存在轉發延遲
端到端尋址變得困難
某些應用不支援NAT
NAT産生的表項需占用裝置的記憶體空間
裝置性能問題
           

5、NAT配置

需要和ACL結合

靜态一對一IP映射

現在PC有需求要通路外網,在OR.上部署靜态一對一IP映射,配置設定給内網PC192.168.1.1的公網位址是200.1.1.100
[OR-GigabitEthernet0/0/1] nat static global 200.1.1.100 inside 192. 168.1.1
           

基于動态位址池的一對—IP映射( no-pat )

現在192.168.1.0/24網段的PC均需通路外網,申請到的公網位址池是200.1.1.100~200.1.1.110, 部署 一對一 的位址轉換,也就是隻轉換資料包的位址而不轉換端口資訊。
[OR-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
           

基于動态位址池的多對一 IP、端口映射

[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
           

Easy IP

現在192.168.1.0/24網段的PC均需通路外網,現在希望内網能夠使用GE0/0/1的公網IP .以Easy IP的方式通路公網。
[OR-GigabitEthernet0/0/1] nat outbound 2000
           

内部伺服器映射( nat server )

現在内網的Server需要對外提供WEB服務，申請到的公網位址是200.1.1.100,現在要将内網這台Server的TCP80端口映射到200.1.1.100的TCP 8080端口,使得外網能夠通路。
[OR-GigabitEthernet0/0/1] nat server protocol tcp global 200.1.1.100 8080 inside 192.168.1.100 80