一、网络地址转换(NAT,Network Address Translation)

属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。

NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址是不确定的，是随机的，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。

端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。

二、NAT实战【EVE模拟器模拟】

按照拓扑我们首先把基本配置完成如下：

出口路由器OR配置如下：

交换机配置：

内部子接口配置NAT

配置NAT外部接口

配置静态NAT

出口路由器查看NAT表项

下面演示PAT端口复用NAT技术

当PC终端访问互联网在静态NAT和PAT同时存在的配置情况下，静态NAT优先PAT生效。

二、ACL安全访问控制列表

考虑到信息安全，企业内部需要做一些安全策略，拒绝或运行一些数据之间的访问，ACL应运而生。

目前有三种主要的ACL:标准ACL、扩展ACL及命名ACL。其他的还有标准MAC ACL、时间控制ACL、以太协议 ACL 、IPv6 ACL等。

标准的ACL使用 1 ~ 99 以及1300~1999之间的数字作为表号，扩展的ACL使用 100 ~ 199以及2000~2699之间的数字作为表号。

标准ACL可以阻止来自某一网络的所有通信流量，或者允许来自某一特定网络的所有通信流量，或者拒绝某一协议簇（比如IP）的所有通信流量。

扩展ACL比标准ACL提供了更广泛的控制范围。例如，网络管理员如果希望做到“允许外来的Web通信流量通过，拒绝外来的FTP和Telnet等通信流量”，那么，他可以使用扩展ACL来达到目的，标准ACL不能控制这么精确。

配置ACL，不允许10.1.10.0 网段到10.1.20.1地址的ping 并挂接接口in方向生效

ACL挂接接口之前可以ping通，挂接接口后生效

为方便演示，禁止路由器接口对交换机telnet 使用VTY下面与ACl关联方式，此方式在CCIE考试会用到！

ACl可以关联时间简单说明下：

欢迎【零基础学网络】的小伙伴们：

关注分享该WX Gongzhonghao：华亿网络实验室  或 huayinetwork   下载学习资料

持续分享干货网络技术，每天10份学习资料下载~