NAT原理与配置 、 高级NAT实现

IP地址，通过32bit表示，IP地址的数据量为：4294967296，即IP地址空间有限。

但是，随着互联网的发展，接入网络的设备越来越多，从而导致IP地址空间快速耗尽。

为了解决“IP地址空间不足”的问题，我们提出了几种解决方案：

1.公有地址和私有地址
2.子网划分
3.开发新的IPv6协议

IP地址：
   -私有地址，使用的时候，不花钱；任何网络都可以使用；
   -公有地址，使用的时候，向 运营商购买；
              想实现互联网访问，必须得拥有“公网地址”。

上述 IP 地址分类方法，可以在很大程度上缓解IP地址空间不足的问题，
但是，带来了新的问题：

   -公司内网/家庭网络，无法访问外部的互联网。

   原因： 
       公司内网的数据可以发送到互联网，但是在互联网上没有
	   返回给私有网络的路由条目。
	   
   所以：
      为了能够让互联网将公司发送的数据顺利的返回给企业边界设备，
	  我们需要确保“数据包从内网发送到外网”的时候，就将数据包的
	  源IP地址，转换为“公网IP地址”。
	  
   能够实现“私有地址和公有地址”转换的技术，称之为：NAT 

NAT： network address translation ，网络地址转换。

-通常是配置在公网和私有网络的边界设备上，
具体是配置在连接公网的接口上；

-NAT的工作过程，完全是依靠 NAT 表，里面包含的是
私有地址和公有地址的转换条目。
基于转换条目的学习方式，可以将 NAT 分为两种弄类型：
@静态NAT：NAT表中的条目，是手动添加到“NAT转换表”中的；
@动态NAT

静态NAT： 
  -优点：简单方便，容易理解
  -缺点：一个私有地址，就必须占用/对应一个公网地址，不节省公网IP
  -命令：
     interface gi0/0/x --> 边界设备连接外网的接口
	  nat static global {公网IP}  inside {私网IP}
	  // 在该接口上发送数据包的时候，将该命令中指定的私有IP地址，转化为公网IP地址；
    

动态NAT：
-优点：可以让多个私有地址循环使用少量的公网IP地址，都是自动形成对应关系
-缺点：当内部网络主机数量很多的时候，依然无法满足大量主机上网，
如果想要上网，必须购买大量的公网IP地址，即该方案依然不节省公网IP地址
因为动态NAT中，私有地址和公网依然是1对1的关系。即依然不节省公网IP地址
-命令：
基本配置思路:
@配置ACL，匹配感兴趣的流量，来决定哪些包可以进行NAT，哪些不可以；
@配置NAT地址池，里面包含了公司从运营商购买的公网IP地址，专门用于进行NAT
nat address-group {组号} {起始公网地址} {结束公网地址}
interface gi0/0/x --> 边界设备连接外网的接口
nat outbound {acl号码} address-group {组号} no-pat
// 在接口 gi0/0/x 发送数据包时，如果 acl 是允许的，那么就将该数据包的源IP地址
转换为 nat 地址池中的任何一个空闲的公网IP地址接口，然后发送出去。

PAT：port address translation ，端口地址转换
  即在进行私有地址和公有地址转换的时候，不但将地址进行转换，同时还将
  端口号也进行转换，从而就可以实现： 
     -多个内网主机的私有IP地址，转换为同一个公网IP地址的不同端口号；
	  即节省了大量的公网IP地址。 
	  即私有地址和公有地址是 多:1 的关系；
  例如，通过 PAT 技术形成的 NAT 转换表条目，如下：
  
     10.1.1.11:9 --- 200.1.1.1:9
	 10.1.1.12:10 -- 200.1.1.1:10
	 10.1.1.13:3  -- 200.1.1.1:3
	  
@动态PAT
  -PNAT
    @该方案是企业网络中的最常见的方案
	@配置思路：
	   -创建ACL
	   -创建NAT地址池
	   -在连接外网的口上配置NAT
	@命令:
	  interface gi0/0/x  
	    nat outbound  {acl号码 } address-group {组号}
  -EasyIP 
     @该方案是小型企业网络中常用方案
	    -公司内部主机数量很少；
		-公司的公网IP地址是从运营商动态获得的，不是静态公网IP地址
	@配置思路：
	   -创建ACL
	   -在连接外网的口上配置NAT 
	@命令:
	  interface gi0/0/x  
	    nat outbound  {acl号码 } 
        //将该接口上发送出去的基于ACL进行检查，如果ACL允许，则将数据包
          中的源IP地址转化为“该接口的公网IP地址”		
	   
@静态PAT（nat server）| [端口映射]



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

1.为什么做NAT？
      为了解决公司数据发送到外网，但是无法返回的问题。
	  [为了实现公司内网与外网之间的互相访问，必须配置 NAT ]

2.在哪里做NAT？
      在公司的网络边界设备上，有可能是路由器，也有可能是防火墙。
	  [具体来说，应该是：连接外网的接口]

3.怎么做？


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

NAT工作原理： 

为了实现公司内网到外网的访问，在边界设备上配置 NAT：
当数据包“从内网”转发到“外网”的时候，
将其中的“源”地址，由私有地址，转换为“公有地址”。

即，在理解 NAT 的工作原理时，我们需要明白以下3个问题：

1.什么时候转？ --- 内网向外网发送数据包时；
2.转谁？       --- 仅仅转换“源IP地址”
3.怎么转？     --- 由私有地址，转换为“公有地址”。