NAT(网络地址转换)&ACL

1. 什么是 NAT ？

NAT(Network Address Translation)又称为网络地址转换，用于实现私有网络和公有网络之间的互访。
私有网络地址和公有网络地址
公有网络地斯(以下简称公网地址)是指在互联网上全球唯一的IP地址。2019年11月26日，是人类.联网时代值得纪念的一天,全球近43亿个IPv4地址已正式耗尽。
私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址，IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址，不在Internet 上被分配，可在一个单位或公司内部使用。
Rfc1918中规定私有地址如下:
A类私有地址: 10.0.0.0~10.255.255.255
B类私有地址:172.16.0 .0~172.31.255.255
C类私有地址:192.168.0.0~192.168.255.255

2.整个数据包转发过程

整个数据包转发过程：
1.数据包从内网到外网时，会转换源IP地址，由私网地址转换为公网地址
2.数据包从外网到内网是，会转换目的IP地址，由公网地址转换为私网地址
（数据有来有回）

2.1 NAT工作原理

NAT的工作原理:
●NAT用来将内网地址和端口号转换成合法的公网地址和端口号，建立一个会话，与公网主机进行通信
●NAT外部的主机无法主动跟位于NAT内部的主机通信，NAT内部主机想要通信，必须主动和公网的一个iP通信，路由器负责建立一个映射关系，从而实现数据的转发

1.内部到外部：私网转公网地址
2外部到内部（回）：公网转私网地址
3.最后进行封装

2.2 NAT功能

NAT不仅能解决了IP地址不足的问题，而且还能够有效地避免来自网络外部的入侵，隐藏并保护网络内部的计算机。
1.宽带分享：这是NAT主机的最大功能。
2.安全防护：NAT之内的Pc联机到internet ,上面时，他所显示的IP是NAT主机的公网IP，所以client端的Pc就具有一定程度的安全了，外界在进行portscan(端口扫描)的时候，就侦测不到源clienL端的PC。
优点： 节省公有合法Ip地址、处理地址重叠、增强灵活性、安全性
缺点： 延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)

3. 静态NAT&动态NAT

##静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAP不能节约公网地址，但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时，静态NAT将报文的源IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时，静态NAT将报文的目的地址替换为相应的私网地址。
有2种配置方法:

##动态NAT
动态 NAT :多个私网IP地址对应多个公网IP地址,基于地址池一对一映射

4.PAT

PAT又称为NAPT (Network Address PortTranslation)，它实现一个公网地址和多个私网地址之间的映射，因此可以节约公网地址。PAT的基本原理是将不同私网地址的报文的源IP地址转换为同一公网地址，但他们被转换为该地址的不同端口号，因而仍然能够共享同一地址。
PAT的作用:

1.改变数据包的ip地址和端口号

2.能够大量节约公网IP地址

PAT的类型有以下:

1.动态 PAT，包括 NAPT 和 Easy IP

2.静态 PAT，包括 NAT Server

1.NAPT:多个私网 IP 地址:对应固定外网 IP 地址(比如200.1.1.10)，配置方法与动态 NAT 类似

a.配置外国和内部网口的IP地址
b.定义合法IP地址池
[R1] nat address-group  1  200.1.1.10  200.1.1.10  只能是使用一个固定iP
c.定义访问控制列表
[R1] acl 2000   ###允许源地址为192.16B.30.0/24网段的数据通过
[R1-acl-adv-2000]rule permit source 192.168.30.0  0.0.0.255 
d.在外网口上设置IP地址转换
[R1-acl -basic- 20001int g0/0/1 ##外网口.
[RI-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

2.EasyIP: 多个私网IP地址对应外网口公网IP地址(比如12.0.0.1)
a. 定义访问控制列表
[Rl]acl 3000  ###允许源地址为192.168.30.0/24网段的数据通过
[R1-acl-adv-3000] rule permit  ip source 192.168.30.0  0.0.0.255
b. 在外网口，上设置IP地址转换
[R1 ]int g0/0/1  ###外网口
[R1-GigabitEtherneto/0/1] nat outbound 3000
##当acl 3000匹配的源IP数据到达此接口时，转换为该按口的IP地址:做为源地址
[R1]display nat session all 查看NAT的流表信息

3.NAT server:端口映射，将私网地址端口映射到公网地址，实现内网服务器供外网用户访问
[R1 ]int g0 /0 /1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www
(www指的是80端口号，把公网地址9.9.9.9转换为私网地址)
##在连接公网的接口上将私网服务器地址和公网地址做一对NAT映射绑定
[R1-Gigabi tEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www
###在连接公网的接口，上将私网服务器地址和外网接口做一对NAT映射绑定
[Rl-GigabitEthernet0/0/1.]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp
### 端口为21可以直接使用关键字"ftp"代替

5. ACL

ACL两种作用：
①用来对数据包做访问控制（丢弃或者放行）

读取地上三层、第四层包头信息

 根据预先定义好的规则对包进行过滤

访问控制列表利用源地址目的地址源端口目的端口元素定义的规则

②结合其他协议，用来匹配范围

acl工作原理：当数据包从接口经过时，由于接口启用了acl，此时路由器会对报文进行检查，然后做出相应的处理。

ACL种类：
序列号:

基本acl（2000-2999）：只能匹配源ip地址。

高级acl（3000-3999）：可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。

二层ACL（4000-4999）：根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息制定规则。

ACL（访问控制列表）的应用原则：

基本ACL，尽量用在靠近目的点

高级ACL，尽量用在靠近源的地方（可以保护带宽和其他资源）

应用规则
1：一个接口的同一方向，只能调用一个acl

2：一个acl里面可以有多个rule规则，按照规则ID从小打到排序，从上往下依次执行

3：数据包一旦被某rule匹配，就不再继续向下匹配

4：用来做数据包访问控制时，默认隐含放过所有（华为设备）

总结：
NAT数据包从内网到外网时，会转化源IP地址，由私网地址转换成公网地址

数据包从外网到内网时，会转换目的IP地址，由公网地址转换成私网地址

server nat 端口映射

每日一总结
今天你想小编了嘛，那就快给小编点个赞吧！