NAT
NAT设备将地址分成本地和全局
本地地址是内部世界的设备所能看到的地址。 
全局地址是外部世界的设备所能看到的地址.
内部本地地址(IL) 
分配给内部设备的地址。这些地址不能被通告给外部网络。 
内部全局地址(IG)
外部网络设备通过这些地址获悉内网设备。 
外部全局地址(OG) 
分配给外部世界的地址。这些地址不能被通告进内部网络。
外部本地地址(OL)
内部网络设备通过这些地址获悉外网设备

ccna设备的NAT地址转换_地址转换


静态 NAT
采用静态地址翻译,需要在两个地址之间手动建立转换条目。
如果主机数量很多,就需要在地址转换表中创建多个静态条目。

ccna设备的NAT地址转换_地址转换_02


动态 NAT
当内部用户想要访问外部网络的资源时,通常采用动态NAT。
采用动态NAT,必须在负责地址转换的设备上定义两个地址集。
一个地址集定义了哪些内部地址可以被转换,另一个地址集定义
了这些地址将被转换成什么样的地址。

 

ccna设备的NAT地址转换_地址转换_03


端口地址转换
静态和动态NAT的一个问题是他们提供的是一对一的转换
如果有5000台内部主机同时访问英特网,在全局地址池中则需要5000
个公有地址与之对应。如果地址池中只有1000个地址,仅仅只有1000
台主机在这一时刻得到转换,而剩下的4000台则无法访问外部网络。
使用相同地址进行转换
采用PAT,所有的主机数据包在经过地址转换设备时都被转换成一个
相同的地址,同时端口号也会被转换,转换后的端口号在转换表中是
唯一的。

ccna设备的NAT地址转换_地址转换_04



配置和验证静态转换
Establishes static translation between an inside local address and an
inside global address
RouterX(config)# ip nat inside source static local-ip global-ip
Marks the interface as connected to the inside
RouterX(config-if)# ip nat inside
Marks the interface as connected to the outside
RouterX(config-if)# ip nat outside
Displays active translations
RouterX# show ip nat translations

ccna设备的NAT地址转换_地址转换_05


 

配置和验证动态转换
Defines a pool of global addresses to be allocated as needed
RouterX(config)# ip nat pool name start-ip end-ip
{netmask netmask | prefix-length prefix-length}
Defines a standard IP ACL permitting those inside local addresses 
that are to be translated
RouterX(config)# access-list access-list-number permit
source [source-wildcard]
Establishes dynamic source translation, specifying the ACL that was 
defined in the previous step
RouterX(config)# ip nat inside source list
access-list-number pool name 
Displays active translations
RouterX# show ip nat translations
 

ccna设备的NAT地址转换_NAT_06

配置过载
Defines a standard IP ACL that will permit the inside local addresses 
that are to be translated
RouterX(config)# access-list access-list-number permit
source source-wildcard
Establishes dynamic source translation, specifying the ACL that was
defined in the previous step 
RouterX(config)# ip nat inside source list
access-list-number interface interface overload
Displays active translations 
RouterX# show ip nat translations
 

ccna设备的NAT地址转换_NAT_07

清空 NAT 转换表
Clears all dynamic address translation entries
RouterX# clear ip nat translation *
Clears a simple dynamic translation entry that contains an inside 
translation or both an inside and outside translation 
RouterX# clear ip nat translation inside global-ip local-ip [outside local-ip global-ip]
Clears a simple dynamic translation entry that contains an outside translation 
RouterX# clear ip nat translation outside local-ip global-ip
Clears an extended dynamic translation entry (PAT entry)
RouterX# clear ip nat translation protocol inside global-ip
global-port local-ip local-port [outside local-ip
local-port global-ip global-port
 

NAT 排错
确保:
没有入向ACL拒绝数据包进入NAT路由器。
NAT策略中所调用的ACL已经匹配了所有需要被转换的地址段。
NAT地址池中有足够的地址来满足转换的需求。
在NAT路由器上正确地定义了inside接口和outside接口。
没有发生转换:转换表中没有安装相关条目
show 和 debug
RouterX# debug ip nat
RouterX# show ip nat statistics
 

NAT 排错(续)
确定:
NAT的配置是否已经完成。
NAT转换表中是否已经存在正确的条目。
通过监控NAT进程来判断正确的转换是否发生。
NAT路由器的路由表中是否有正确的路由将数据包从inside接口转
移到outside接口。(NAT在outside接口生根)
公网路由器是否有去往转换后地址的回程路由。