本文實例講述了CCNA學習筆記之NAT網(wǎng)絡地址轉(zhuǎn)換原理與實現(xiàn)方法。分享給大家供大家參考，具體如下：

CCNA基礎 NAT網(wǎng)絡地址轉(zhuǎn)換

在計算機網(wǎng)絡中，網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation，縮寫為NAT），也叫做網(wǎng)絡掩蔽或者IP掩蔽（IP masquerading），是一種在IP數(shù)據(jù)包通過路由器或防火墻時重寫來源IP地址或目的IP地址的技術。這種技術被普遍使用在有多臺主機但只通過一個公有IP地址訪問因特網(wǎng)的私有網(wǎng)絡中。根據(jù)規(guī)范，路由器是不能這樣工作的，但它的確是一個方便并得到了廣泛應用的技術。當然，NAT也讓主機之間的通信變得復雜，導致通信效率的降低。

一、列舉操作系統(tǒng)環(huán)境中防火墻

網(wǎng)絡層防火墻可視為一種 IP 數(shù)據(jù)包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許匹配特定規(guī)則的數(shù)據(jù)包通過，其余的一概禁止穿越防火墻。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設備可能只能應用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要數(shù)據(jù)包不匹配任何一項“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。

較新的防火墻能利用數(shù)據(jù)包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 HTTP 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進行過濾。

1-1、Windows 下 Firewall

1-2、Linux 下 iptables

二、關于進出站以及源目標認識

找了很多資料，都沒有很簡單的對進出站進行解釋。以下為博主自己對進出站理解：

2-1、進站以及出站點

• 假設你是守衛(wèi)。前面是一條橋，后面是座城堡。
  • 關于”inside“入站策略：守衛(wèi)需要操作橋上來的人。（這就是入站策略。“它是被動的”）
  • 關于”outside“出站策略：守衛(wèi)需要操作城堡出來的人。（這就是出站策略。“它是主動的”）

注意：守衛(wèi)守護的城堡里面的人，也是需要活動的。

Windows的守衛(wèi)（firewall）通常比較”通情達理“，Linux的守衛(wèi)（iptables）是個嚴厲的家伙。

2-2、源地址與目標地址認識

• 假設你還是守衛(wèi)。
  • 關于”source“源地址：對守衛(wèi)來說，城堡里面的人。
  • 關于“destination”目的地址：對守衛(wèi)來說，郊外遠方的人。

2-3、綜合講解FireWall

FireWall 需要對流量出口和流量入口進行安全防護。

它可以阻止“內(nèi)部”（城堡）的不當行為，同時可以阻止“外部”（敵人）未知的惡意行為。

三、思科路由器 NAT 服務

（相等關系）ip nat inside source static 192.168.1.22 123.123.123.123

宏觀來看：”route“（守衛(wèi)）將“inside“（城堡），”source“（源地址）”NAT“ 轉(zhuǎn)換相等成了 123.123.123.123。

簡單來說：”route“ 把 ”inside接口“ 內(nèi)部地址”192.168.1.22“ 與 源地址”123.123.123.123“ 畫等號。

四、OSI 七層協(xié)議詳細介紹 （系統(tǒng)位于應用層、網(wǎng)絡位于網(wǎng)絡層）