NAT小结

NAT，在地址资源紧缺得国家随处可见，所以关于NAT得帖子也是很多得。
我对自己知道的一些知识进行小结，希望对大家有用，

NAT，可以分为：
静态NAT,
动态NAT
复用动态NAT


NAT有两个基本的概念，
一个是内部本地地址（inside local address）:分配给内部计算机用的IP地址
一个是内部全局地址（inside global address）：与外部进行通信，代表一个或者多个本地Ip地址

三种NAT方式的配置方法：
静态NAT：
1）内部本地地址与内部全局地址建立静态映射的关系
ip nat inside source static x.x.x.x z.z.z.z
2)在连接内部网络的端口上设置：ip nat inside
3)在连接外部网络的端口上设置：ip nat outside
这样NAT就做好了，当然如果是连接INTERNET的话，别忘记了IP ROUTE 0.0.0.0 0.0.0.0 X.X.X.X

动态NAT
1)定义内部全局地址池，
ip nat pool 地址池名 起始ip 终止IP netmask
2)定义一个标准的ACL，允许那些允许通过NAT的IP地址
access-list 标号 permit x.x.x.x 通配符
3)允许通过的访问列表与地址进行帮定
ip nat inside source list access-list 地址池名
4)在连接内部网络的端口上设置：ip nat inside
5)在连接外部网络的端口上设置：ip nat outside
NAT就做好了，当然如果是连接INTERNET的话，别忘记了IP ROUTE 0.0.0.0 0.0.0.0 X.X.X.X

复用动态NAT
1)定义内部全局地址池，
ip nat pool 地址池名 起始ip 终止IP netmask
2)定义一个标准的ACL，允许那些允许通过NAT的IP地址
access-list 标号 permit x.x.x.x 通配符
3)允许通过的访问列表与地址进行帮定
ip nat inside source list access-list 地址池名 overload
4)在连接内部网络的端口上设置：ip nat inside
5)在连接外部网络的端口上设置：ip nat outside
NAT就做好了，当然如果是连接INTERNET的话，别忘记了IP ROUTE 0.0.0.0 0.0.0.0 X.X.X.X


当然NAT的内部全局地址也可以是out side接口，看看扩展的命令应该就知道了。

这里顺便说一下数据在做NAT的路由器里，一般的处理流程吧。
###########################################################

inside port --->outside port

If IPSec then check input access list
decryption - for CET (Cisco Encryption Technology) or IPSec
check input access list
check input rate limits
input accounting
policy routing
routing
redirect to web cache
NAT inside to outside (local to global translation)
crypto (check map and mark for encryption)
check output access list
inspect (Context-based Access Control (CBAC))
TCP intercept
encryption
###########################################################
outside port -->inside port

If IPSec then check input access list
decryption - for CET or IPSec
check input access list
check input rate limits
input accounting
NAT outside to inside (global to local translation)
policy routing
routing
redirect to web cache
crypto (check map and mark for )
check output access list
inspect CBAC
TCP intercept
encryption