【NAT及其网络应用服务】_nat上网所需的服务-CSDN博客

本文链接：https://blog.csdn.net/qq_52020637/article/details/131996716

本文详细介绍了网络地址转换（NAT）的不同类型，包括静态NAT、动态NAT、NAPT和EASYIP，以及它们的作用和优缺点。同时，讲解了NATserver如何实现公网到私网的转换。此外，还阐述了FTP和Telnet两种远程访问协议的配置方法，以及Console本地维护的设置。

摘要由CSDN通过智能技术生成

NAT
作用：实现私网和公网互访，进行私有地址或者公有地址的转换（源 NAT）
——————————————————————————————————————————
静态 NAT：实现 1:1 的转换
（1个私有地址绑定一个公网地址，当该私网地址访问时，可以实现源 IP 地址转换）

作用：实现私网和公网互访
缺点：私网地址不能随意修改，修改后，有可能导致私网地址无法转换
          一个私网地址对应一个公网地址，浪费公网地址空间

——————————————————————————————————————————
动态 NAT：实现 1:1 的转换
（1个私有地址可以动态的对应一个公网地址，当该私网地址访问时，可以实现源 IP 地址转换）
补充：公网地址池可以有 N 个 IP 地址，但是工作时只能是 1:1 的转换
例如：公网地址 100.1.1.1 被占用了，其他私网就无法使用这个地址进行转换

作用：实现私网地址动态的对应公网，修改了私网地址也可以动态的绑定公网地址，不需要管理员手工修改 NAT 配置
缺点：一个私网地址对应一个公网地址，浪费公网地址空间

——————————————————————————————————————————
NAPT：在动态 NAT 基础上，加入 port ID 来进行标识，实现 N:1 （ N 个私网地址对应 1 个公网地址）
（可以实现 N 个私网地址，转换成 1 个公网地址，私网地址通过不同的 Port ID 来标识，用于区分私网地址，以免冲突）
作用：实现了 N ：1 以及动态修改 NAT 映射表的功能
缺点：需要利用公网地址池，例如运营商在分配地址给客户时，至少需要 2个地址（一个接口互联地址，一个 NAT 地址池地址）

———————————————————————————————————————————
EASY IP：与 NAPT 类似，使用的端口号和转换 IP 地址的方式也一样，不同的在于， EAYS IP 只使用 NAT 服务器出接口的 IP 地址
（无需配置 NAT 地址池）
作用：作用：实现了 N ：1 以及动态修改 NAT 映射表的功能，并且无需 NAT 地址池，可以使用接口地址来进行转换
缺点：在大型网络中，可能会因为接口带宽不足，导致其他设备无法访问
（EASY IP 只会使用接口的地址进行转换，如果大型网络中有多个出口，可以使用 NAPT 来替换）

补充：大型网络如果每个出接口都有公网地址，也可以同时部署多个 EASY IP 来实现转换功能

（目的 NAT）
——————————————————————————————————————————————————————————————————
NAT server ：例如，服务器在内网，公网设备发起访问，无法进行 NAT 转换，这时候可以使用 NAT server 来对公网 IP 进行转换
把公网的（目的 IP 地址）转换成私网的（目的 IP 地址）

	使得公网设备主动发起访问，也能访问到私网的服务器

————————————————————————————————————————————————————————————————————
NAT 配置
1、静态 NAT
在网关出口路由器配置（出接口）即：连接外网的接口
nat static global 100.1.1.1 inside 192.168.1.1 // 把私网地址 192.168.1.1 转换成公网地址 100.1.1.1
（1:1 绑定）

——————————
2、动态 NAT
① 先匹配需要转换的私网地址段
acl 2000
rule permit source 192.168.1.0 0.0.0.255 // 例如：匹配 192.168.1.0/24 网段

② 创建 NAT 动态地址池
	nat address-group 1   100.1.1.1  100.1.1.2	// 例如：地址池 1，地址范围：100.1.1.1 到 100.1.1.2

③在网关出口路由器配置（出接口）即：连接外网的接口应用
	nat outbound  2000  address-group 1 no-pat	// 把 ACL 2000 绑定到地址池 1 中

	（实现  192.168.1.0/24 网段，任意地址都能够转换成 100.1.1.1 或 100.1.1.2 地址访问）
	但是任意一个地址在使用的过程中，无法再分配给第二台主机使用，即：地址池有 2 个地址，只能同时给  2 台主机使用

——————————
3、NAPT
① 先匹配需要转换的私网地址段
acl 2000
rule permit source 192.168.1.0 0.0.0.255 // 例如：匹配 192.168.1.0/24 网段

② 创建 NAT 动态地址池
	nat address-group 1   100.1.1.1  100.1.1.2	// 例如：地址池 1，地址范围：100.1.1.1 到 100.1.1.2

③在网关出口路由器配置（出接口）即：连接外网的接口应用
	nat outbound  2000  address-group 1 		// 把 ACL 2000 绑定到地址池 1 中

	（实现  192.168.1.0/24 网段，任意地址都能够转换成 100.1.1.1 或 100.1.1.2 地址访问）
	与 动态 NAT 不同的是，任意设备都可以重复使用这两个地址，通过端口号区分即可（N:1）

————————————
4、EASY IP
① 先匹配需要转换的私网地址段
acl 2000
rule permit source 192.168.1.0 0.0.0.255 // 例如：匹配 192.168.1.0/24 网段

②在网关出口路由器配置（出接口）即：连接外网的接口应用
	nat outbound  2000				// 把 ACL 2000 匹配到的数据包，转换成该出口的接口 IP 地址

———————————————————————————————————————————————————————————————

5、NAT server 配置
进入内网出口路由器配置
（和源 NAT 相同接口）
nat server global 12.1.1.100 inside 192.168.1.1 // 例如：内网服务器地址为： 192.168.1.1
（把 12.1.1.100 转换成内网服务器地址）
配置后：当外网设备访问 12.1.1.100 （即：服务器对外宣称的公网地址为 12.1.1.100）
路由收到该目的地址为：12.1.1.100 的公网数据包，会自动交给本地网络的 192.168.1.1 服务器设备，实现对目的地址转换

一、FTP：用于传输文件和下载文件的协议（文件传输协议）
用于路由器、交换机或者网络设备传递文件
（例如：传递路由器的升级包和补丁等）

服务器端（配置）

1、开启 FTP 服务（系统配置视图）
	ftp server enable		// 开启 FTP 服务

2、创建登陆用户（系统配置视图）
	aaa			// 进入 AAA 视图
	local-user 123 password cipher  123		// 例如：创建用户 123，密码（密文显示）123
 	local-user 123 privilege level 15		// 用户等级
 	local-user 123 ftp-directory flash:		// 开启访问的文件权限
 	local-user 123 service-type  ftp		// 该用户用于 FTP 服务
	——————————————————————————————

客户端登陆

<AR1>ftp 2.2.2.2   （在用户视图配置）		// 例如登陆 FTP 服务器  2.2.2.2（IP 地址必须是可达才可以进行登陆，不可达的时候先解决 IP 地址问题）
————————————————————————————————————————————————————————

二、Telnet ：用于远程访问设备，并且可以登陆设备进行配置和查看等操作（远程维护设备）

服务器端（配置）

1、开启 Telnet 服务（系统配置视图）
	telnet  server enable		// 开启 Telnet  服务（模拟器已经开启，无法配置该命令）
2、修改登陆模式为 AAA
	user-interface vty 0 4		// 进入 VTY 0 4 信道（默认：每个信道最多 5 个登陆用户）
 	authentication-mode aaa		// 修改模式为 AAA

3、创建登陆用户（系统配置视图）
	aaa					// 进入 AAA 视图
	local-user 123 password cipher  123		// 例如：创建用户 123，密码（密文显示）123
	local-user 123 privilege level 15		// 用户等级
	local-user 123 service-type  telnet		// 该用户用于 Telnet 服务
—————————————————————————————————

客户端登陆

	<AR1>telnet  2.2.2.2   （在用户视图配置）		// 例如登陆 FTP 服务器  2.2.2.2
			（IP 地址必须是可达才可以进行登陆，不可达的时候先解决 IP 地址问题）
—————————————————————————————————————————————————————————
补充：Telnet 和 FTP 可以使用同一个账户登陆
	例如：local-user 123 service-type  telnet ftp http	// 等于该用户 123 可以使用以下几种服务（Telnet、FTP、HTTP 等）

三、Console （本地维护，通过管理线缆）
模拟器，双击打开路由器，等于使用 Console （真实设备需要安装登陆软件，如：CRT、putty 等）

1、修改登陆模式（系统配置视图）
	user-interface console 0		//  进入到 console 接口
	
	authentication-mode aaa		// 认证类型为 aaa 模式

2、创建登陆用户（系统配置视图）
aaa					// 进入 AAA 视图

local-user 123 password cipher  123		// 例如：创建用户 123，密码（密文显示）123
local-user 123 privilege level 15		// 用户等级
————————————————————————————
退出用户视图后，下一次登陆需要用户名和密码