NAT配置以及应用（动态PANT以及NATserver）

实验一：动态PANT的配置以及思路
动态NAT配置和PNAT就差最后调用的时候加no-pat就是动态NAT不加就是PNAT。动态NAT也不能有效的解决公网地址的浪费，其实也是一对一的发配
解决方案：新的技术动态PNAT（动态NAT）

配置思路：

1. 先将公司内网互通（和之前的内网互通一样就是把后加进来的PC2加入到Vlan10中并该一下端口类型access）
2. 配置ACL 抓取流量去转换（也就是说允许哪个主机去转换IP地址 其余全是拒绝）
3. 在公司网络的边界路由出接口配置PNAT动态（原则是通过配置改变源IP和源端口）
4. 实现PC1和PC2都能通过动态PNAT转换网络地址
   实验步骤：直接配置动态PANT
   [R1]acl 2000 #先创建一个ACL 2000 （基本ACL）
   [R1-acl-basic-2000]rule 5 permit source 10.1.1.1 0.0.0.0 #允许这个源IP通过
   [R1]nat address-group 1 110.1.1.3 110.1.1.4 #将已知的公网IP 写进这个组里
   [R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 #在边界网络的出接口上调用ACL 2000 并将创建的公网IP组加进来就可以了（在这么里要说一下如果这条命令后面加了一条no-pat 这就是代表不用动态PNAT的意思，也就是只用动态NAT还是浪费公网IP地址也是一对一的使用）
   总结：
   把很多的私有地址转换为公网地址；使用动态PNAT这个协议能有效的节省公网IP的使用率，PNAT使用的规则就是改变数据包中的IP地址（将私有地址转为公有地址），改变源端口号（也就是说它在转变的过程中后面加入了端口号不管这个主机发多少数据包我都能只用一个IP地址去转换，只是后面加入了端口号）这样就能有效的节省了IP地址的使用率
   实验结果：PC1和PC2都能访问外网不管发多少数据包都是随机匹配公网地址

Easy IP的配置和动态PNAT一样就是把[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1这条命令中的address-group 1删除就是用端口的公网地址转换了也不用创建公网地址池 是基于边缘设备的出接口的公网地址的转换（适用于小型企业）
实验需求：公司内部仅仅允许Vlan10中的主机上网，但是不允许vlan10中的10.1.1.1上网
步骤：

1. 将ACL先写一条禁止10.1.1.1 转换
2. 在写一条允许10.1.1.0 0.0.0.255 这个网段可以转换
3. 测试
   [R1-acl-basic-2000]rule 2 deny source 10.1.1.1 0 #第一条拒绝单个地址的通过
   [R1-acl-basic-2000]rule 5 permit source 10.1.1.0 0.0.0.255 #第二条允许这个网段通过的（后面255代表是通配符，不匹配这个主机段所有的主机）
   [R1-acl-basic-2000]rule 10 deny source any #最后这条代表拒绝所有源IP通过
   实验二：配置NATserver 外网可以访问我公司内部的服务器
   
   配置思路：
4. 全网互通
5. 数据的走向从内网去外网的时候是通过查路由表在查NAT表然后转换为我设置的公网地址去访问外网；现在我的要求是我想让外网的用户访问我们公司内部的服务器，所有数据走的路径应该是从外网进来的用户先查我NAT表在查路由表。所以动态NAT条目只能实现我公司内网的地址转换，但不是能实现我外网用户访问我公司内网的服务器。所以配置一条NATserver服务
6. 还是在公司末端设备的出接口上配置，但是当地址池里面的公网地址用过了 就不能用我地址池里面的地址，只能重新买一个公网地址
7. 测试外网能不能访问
   实验步骤一：全网互通 和上一个实验一样详细请看上方。只是配置一个NATserver服务就可以
   [R1-GigabitEthernet0/0/1]nat server protocol tcp global 110.1.1.88 80 inside 10.1.1.88 80 #写一条NATserver的命令（翻译：NAT服务 协议是TCP 全局开启 第一个IP地址是你公司公网的地址 注意这个地址不能和公网地址池里的地址相同 上协议的端口号，后面的内部IP地址是你服务器的地址在加上对应的协议号）
   总结：NATserver和其他NAT协议不冲突不用理。这个只是为自己公司内网服务器做转换用的
   从内网到外网：转换的是源IP地址。从外网到内网到内网转换的是目标IP地址
   实验三：实现外网R1通过Telnet远程控制内网的交换机1
   
   配置思路：
8. 全网互通和之前的东西一样的
9. 将SW1创建一个vlanif10 的IP地址还有静态路由
10. 在内网末端设备设置NATserver服务 指向内网的Telnet协议公网网段和上一个实验是一个网段
11. 最后远程登录测试
    实验步骤：
    [SW1-Vlanif10]ip ad 10.1.1.11 24 #设置交换机上的虚拟地址
    [SW1-ui-vty0-4]set authentication password cipher 123456 #开启远程Telnet模式并配置密码为123456
    [SW1-ui-vty0-4]user privilege level 3 #设置一下远程访问的权限
    [SW1]ip route-static 0.0.0.0 0.0.0.0 10.1.1.254 #写一条静态路由下一跳地址为网关地址（这里是因为这个静态路由就代表的是网关地址）
    [R1-GigabitEthernet0/0/1]nat server protocol tcp global 110.1.1.88 2019 inside 10.1.1.11 23 # #写一条NATserver的命令（翻译：NAT服务 协议是TCP 全局开启 第一个IP地址是你公司公网的地址 注意这个地址不能和公网地址池里的地址相同 协议的端口号，后面的内部IP地址是你想要访问服务的地址在加上对应的协议号；这里说一下第一条公网地址的协议号是可以随便写的，但是最后内网的协议号是必须对应的你想访问的服务协议）
    telnet 110.1.1.88 2019 #测试登录的时候必须加上当时所设置的公网协议号
    总结：
    实验三和实验二是用的同一个公网地址去访问公司内部服务的，所以只要对应的协议号不一样，就能实现同一个公网地址去访问我不同内部网络的服务。