NAT（网络地址转换）

①A类地址。A类地址第一字节为网络地址，其他三个字节为主机地址。A类地址范围为1.0.0.1~127.255.255.254.

A类地址中的私有地址和保留地址：

10.X.X.X是私有地址，（所谓私有地址即不能应用在互联网上，而被用在局域网络中的地址。）范围：10.0.0.0~10.255.255.255

127.X.X.X是保留地址，做循环测试使用。

②B类地址。B类地址第一字节和第二字节为网络地址，其他2个字节为主机地址。B类地址范围：128.0.0.1~191.255.255.254

B类的地址私有地址和保留地址：

*172.16.0.0~172.31.255.255是私有地址。*

169.254.X.X是保留地址。如果你的IP地址是自动获取IP地址，而你在网络上有没有找到可用的DHCP服务器，就会得到其中一个IP地址。

③C类地址。C类地址第1、2、3字节为网络地址，第4个字节为主机地址。另外，C类地址第一个字节前三位固定位110，C类地址的范围：192.00.1~223.255.255.254.

C类地址中的私有地址：

192.168.X.X是私有地址，其范围：192.168.0.0~192.168.255.255.

 

前言：企业或家庭所使用的网络为私有网络，使用的是私有地址；运营商维护的网络为公共网络，使用的是公有地址，私有地址不能在公网中路由

NAT一般部署在连接内网和网关的设备上

 

 

静态NAT

静态NAT实现了私有地址和公有地址的一对一映射

一个公网IP只会分配给唯一且固定的内网主机

 

动态NAT

动态NAT基于地址池来实现私有地址和公有地址的转换

动态NAT地址池中的地址用尽后，只能等待被占用的公网地址被释放后，其他主机才能使用他来访问公网

 

NAPT

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口

加入端口号的作用就是可以让一个公网IP，可以被多个内网IP使用

这里的端口号只是用来区分流量

 

 

在全局配置模式下：nat static global 需要被绑定的【公网IP】 需要被转换的【内网IP】

然后跟ACL一样将他应用到对应的接口：nat static enable，如果在上面加上no pat的话就是不使用端口映射，动态的使用公网地址

 

如果你是在接口模式下：

nat static global 需要被绑定的【公网IP】 inside 需要被转换的【内网IP】 netmask 被转换的IP的掩码

 

静态映射：nat server global 100.1.1.1 inside 192.168.2.1

动态NAT： nat outbound 2000 address-group 1

 

easy ip就是利用转换路由器本身接口的IP来进行通信

 

 

如果你买了一个公网IP，那么运营商就要负责给你写一条动态路由

 

 

实验

配置IP测直连

easy IP

第一步：写基本ACL —— acl 2000

然后写策略：rule 5 permit source 192.168.1.0 0.0.0.255然后将这个应用到出口

进入对应的接口：nat outbound 2000

以上这种方法就叫easy IP

其意义是将，出接口的公网IP当作转换接口，配置ACL来使用

 

 

 

创建地址池（动态NAT）

在系统模式下输入： nat addresss--group 【给一个名字，“1”】 【起始IP范围】 【结束IP范围】后面这两个选项是你的地址池的范围

然后是进入对应的接口：nat outbound 2000 addresss--group 1

 

 

 

静态NAT

运营商需要写一条通向你买的那个公网IP的路由，这里是100.1.1.1 /32 所以在ISP 那边就是IP route--- static 100.1.1.1/32 12.1.1.1

但是做了这个还不够，还需要进行绑定，于是在出接口这边：nat server global 100.1.1.1 inside 192.168.2.1

但是这样的话安全性大大降低，所以我们要做一个端口映射

 

 

端口映射

在对应的接口：nat server protocol tcp global 100.1.1.1 80 inside 192.168.2.1 80

还可以：nat server protocol tcp global 100.1.1.1 22 inside 192.168.1.1 22

 

总结：

easy ip 使用出口的公网IP，然后进入对应的接口，直接：nat out acl编号

 

地址池的方式：多个公网IP，nat addres group 1 连续的 ip

然后nat out addres group

 

静态一对一映射

 

如果你的公网IP是非直连网段，运营商就需要给你写一条静态

 

 

 

 

 

 

命令：

静态：

nat static enable —— 开启NAT静态功能

nat static global 公网地址 inside 私网地址 —— 创建静态NAT

display nat static —— 查看静态NAT的配置

 

NAPT的配置：

nat address--group 编号 公网地址范围 ———— 配置NAT地址池

nat outbound acl 编号 address--group 【地址池的编号】 【no--pat】 ————关联一个acl和一个NAT地址池。ACL用来匹配能够转换的源地址

no--pat ———— 只转换地址而不转换端口

display nat address--group ———— 查看NAT地址配置信息

display nat outbound ———— 查看动态NAT配置信息

 

outbound————出口

 

动态NAT和NAPT就是一个【no--pat】的区别