nat一般主要应用在企业的出口设备对吗

nat一般主要应用在企业的出口设备对的。
NAT一般应用于内网的出口路由器或者防火墙上。NAT技术，对于从内到外的流量，设备会通过NAT将数据包的源地址进行转换（转换成特定的公网地址）。

在IP地址规划时，我们已经知道IP地址包括公网和专用（私有）两种类型，公网IP地址又称为可全局路由的IP地址，是在Internet中使用的IP地址，目前对企业来说主要是ISP提供的一个或几个C类地址；而专用（私有）IP地址则包括A、B和C类三种，另外就是Microsoft Windows的APIPA预留的（16925400 -- 169254255255）网段地址；下面就和大家谈谈这些IP地址的在企业局域网的分配方式。
一、可全局路由（公网）的IP地址的分配方式
毫无疑问，Internet网络中的每一台计算机都需要一个IP地址，然而，在目前IP地址资源非常紧缺的情况下，想从Internet接入商那里获取足够的IP地址简直是不可能的。假如每个企业用户只能获得1-10个公网IP地址，即使是拥有几百台计算机的局域网，因此应该考虑如何合理利用有限的IP地址了。
1、静态分配IP地址
也就是给每台计算机分配一个固定的公网IP地址。如果网络中每台计算机都采用静态的分配方案，那么很可能是IP地址不够用。所以一般只在下面两种情况下才采用这种方案：
IP地址数量大于网络中的计算机数量。
网络中存在特殊的计算机，如作为路由器的计算机、服务器等等。
2、动态分配IP地址
如果网络中有很多台计算机，且又不是所有的计算机都同时使用，那么不妨采用动态分配IP地址的方式。
什么是动态分配IP地址呢？打个比方说，公司一共有10台计算机，而须要使用计算机的却有15个人，显然每人一台计算机是不可能的。那么我们就考虑，如果他们不在同一时间使用，可不可以采取这种策略：把所有的计算机集中起来管理，等到有人提出使用请求的时候，分配其中的任意一台计算机给他，而他用完之后就把使用权收回，这样既可以保证所有的人都有机会使用计算机，又不会造成计算机的“浪费”。
IP地址的动态分配原理和上面所举的例子一样，只要同时打开的计算机数量少于或等于可供分配的IP地址，那么，每台计算机就会自动获取一个IP地址，并实现与Internet的连接。当然，如果打开的计算机数量太多，那么，后面的计算机就无法获得IP地址。但是动态分配IP地址也不是随时适用的，当网络内的计算机的数量达到上百台之多时，几个动态IP地址显然不够用，那怎么办呢？这就要采用下面的方法来解决。
3、采用NAT（Network Address Translation，网络地址转换）方式
既然不接入Internet的网络可以任意使用专用IP地址，那么能不能有这样一个方案，即在网络内部使用专用IP地址，连接到Internet的时候使用公网IP地址，同时在公网地址与私有地址之间有一个对应的转换关系呢正是基于这种想法，产生了NAT（网络地址转换）。
它可以将专用IP地址（如10xxx）转换为一个可全局路由的IPv4地址。也就是说，对于一个局域网而言，无论其中有多少台计算机，只需要有一个可全局路由的IP地址即可。这种方式既节约了IP地址，又能同时满足多个用户的上网需求，它就是组网的首选了。
NAT有3种类型，即静态NAT（Static NAT）、NAT池（pooled NAT）和端口NAT（PAT）。 如下图1、图2和图3所示。其中，静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。
图1
而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络中。PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
图2
图3
根据不同的需要，各种NAT方案都会有利有弊。下面以使用NAT池为例来做进一步说明。
使用NAT池，可以从未注册的地址空间中提供被外部访问的服务，也可以从内部网络访问外部网络，而不需要重新配置内部网络中的每台机器的IP地址。
采用NAT池意味着可以在内部网中定义很多的内部用户，通过动态分配的办法，共享很少的几个外部IP地址。而静态NAT则只能形成一一对应的固定映射方式。应引起注意的是，NAT池中动态分配的外部IP地址全部被占用后，后续的NAT的IP地址转换申请将会失败。但是，目前许多带有NAT功能的路由器有超时配置功能，可以根据连接的时间来进行调配以缓解IP地址缺少所造成的问题。
除了路由器、ADSL或电缆调制解调器网关等硬件设备外，Windows XP/2000/Me/98系统中的“Internet连接共享”也可以实现NAT，还能广泛地适用于各种类型的Internet接入方式。
4、代理服务器分配
NAT地址转换方式虽然好，但也有其自身的缺陷。简单地说，就是只能简单地进行IP地址转换，而无法实现文件缓存，从而降低了Internet访问流量，无法实现快速的Internet访问。
代理服务器与NAT的工作原理不太一样，它并不只是简单地做地址转换，而是代理网络内的计算机访问Internet，并把访问的结果返回给当初提出该请求的用户，同时，把访问的结果保存在缓存中。当网络用户发出下一Internet请求时，服务器将首先检查缓存中是否保存有该页面的内容，如果有，立即从缓存中调出并返还给请求者；如果没有，则向Internet发送请求，并再次将访问结果保存起来，以备其他用户访问之需。
除此之外，代理服务器还具有部分网络防火墙的功能：可以对外隐藏网络内的计算机，提高网络安全性；可以限制某些计算机对Internet的访问；在带宽较窄的情况下限制Internet流量；可以禁止对某些网站的访问等。
如此看来，代理服务器要比单纯的NAT更适合大中型网络的Internet共享接入。不过，采用代理服务器的缺点也是有的，那就是还需要额外添置一台服务器，另外，代理服务器的设置也比较复杂。但考虑到单位内部的具体应用情况，使用代理服务器是最恰当不过的了。
二、专用（私有）IP地址的分配方式
可全局路由的IP地址的分配方案算是确定了，它既解决了IP地址不足的问题，同时又提升了Internet访问速度。接下来，就应该着手处理专用IP地址的分配了。
首先，要考虑选用哪一段专用IP地址。小型企业可以选择“19216800”地址段，大中型企业则可以选择“1721600”或”10000”地址段。
如果我们根据网络中计算机的数量来决定需采用的IP地址，这个方案肯定是行不通的。因为这样做会受到将来网络状况变化的限制，假如不久后企业决定又要购进一批计算机，整个网络就可能因为选取的IP地址不合适而导致重新设计。
其实网络的划分并不是很复杂，只要考虑到在可预见的将来的网络情况就可以了，同时要注重它的通用性及其稳定性。
其次，就是IP地址的分配方式了。假如企业的服务器 *** 作系统采用的是Windows NT/2000/2003 Server系统， 客户器采用Windows 98/me/2000/XP系统；Windows为TCP/IP客户端提供了3种配置IP地址的方法，用于满足Windows用户对网络的不同需求。具体采用哪种IP地址分配方式，可由网络管理员根据网络规模和网络应用等具体情况而定。
1、手工分配
手工设置IP地址也是经常使用的一种分配方式。在以手工方式进行设置时，需要为网络中的每一台计算机分别设置4项IP地址信息（IP地址、子网掩码、默认网关和DNS服务器地址）。所以，在通常情况下，被用于设置网络服务器、计算机数量较少的小型网络（比如几台到十几台的小型网络），或者用于分配数量较少公用IP地址。
手工设置的IP地址为静态IP地址，在没有重新配置之前，计算机将一直拥有该IP地址。因此，既可以据此访问网络内的某台计算机，也可以据此判断计算机是否已经开机并接入网络。不过，默认网关和DNS地址必须是计算机所在的网段中的IP地址，而不能填写其他网段中的IP地址。
在Windows 98/me/2000/XP系统下，手工设置一台计算机的IP地址。具体的配置方法如下，在完成网卡驱动程序的安装之后，重新启动计算机进入系统，用鼠标右键单击桌面上的“网上邻居”图标，选择属性，这时可以发现在其中已经自动安装好了TCP/IP协议，选择并单击它下面的“属性”按钮，这时会d出TCP/IP属性的对话框，在“IP地址”选项卡里，把“自动获取IP地址”改为“指定IP地址”，这时原本灰色的不能填写的IP地址和子网掩码就可以由自己来指定了。
2、DHCP分配
为了使TCP/IP协议更加易于管理，微软和几家厂商共同建立了一个Internet标准----动态主机配置协议（Dynamic Host configuration Protocol，DHCP），由它提供自动的TCP/IP配置。DHCP服务器为其客户端提供IP地址、子网掩码和默认网关地址等各种配置。
网络中的计算机可以通过DHCP服务器自动获取IP地址信息。DHCP服务器维护着一个容纳有许多IP地址的地址池，并根据计算机的请求而出租。DHCP是Windows默认采用的地址分配方式。
默认情况下，Windows 98/me/2000/XP系统都使用DHCP来进行IP地址的分配，所以，如果仍然选择DHCP来分配和管理IP地址，网管工作将会减轻很多，而且可以很方便地配置客户机。我们所要做的就是维护好一台DHCP服务器即可。
3、自动专用IP寻址
自动专用IP寻址（APIPA，Automatic Private IP Addressing）可以为没有DHCP服务器的单网段网络提供自动配置TCP/IP协议的功能。默认情况下，运行Windows 98/Me/2000/XP的计算机首先尝试与网络中的DHCP服务器进行联系，以便从DHCP服务器上获得自己的IP地址等信息，并对TCP/IP协议进行配置。如果无法建立与DHCP服务器的连接，则计算机改为使用APIPA自动寻址方式，并自动配置TCP/IP协议。
使用APIPA时，Windows将在16925401--169254255254的范围内自动获得一个IP地址，子网掩码为25525500，并以此配置建立网络连接，直到找到DHCP服务器为止。
因为APIPA范围内指定的IP地址是由网络编号机构（IANA）所保留的，这个范围内的任何IP地址都不用于Internet。因此，APIPA仅用于不连接到Internet的单网段的网络，如小型公司、家庭、办公室等。
值得注意的是，APIPA分配的IP地址只适用于一个子网的网络。如果网络需要与其他的私有网通讯，或者需接入Internet时，就不能使用APIPA这种分配方式了

1、端口映射是射的出接口，你ar2200的出接口地址是个1921681002，这明显是个局域网地址，端口映射映射到局域网没有任何意义。
2、二层交换机也可以部署网关，三层交换机也可以部署网关，如何部署取决于你如何规划。
3、现网中，谁访问谁可以通过路由器策略，或者策略路由进行控制，使用acl，或者前缀列表匹配就行了。
4、这种ar2200的路由器作为专业的工程师都是用命令行配置，如果命令行不熟悉，你web一样不会用。

静态配置 IP 地址存在很多弊端： （1）在终端规模较大的网络中手工配置 IP 地址时，为避免 IP 地址重复，需要事先规划每个终端的 IP 地址，导致工作量大且容易出错。
（2）当终端位置经常变更时（例如企业出差人员的便携电脑），每次变更都需要重新手工配置 IP 地址，烦神又烦力。
（3）某些特殊的无盘工作站，无法手工配置 IP 地址，该如何与网络实现互通？
有了动态主机配置协议 DHCP(Dynamic Host Configuration Protocol)，上面的问题都可以解决了。再也不用担心手工配错，费神费力了。
DHCP 能够实现动态为主机分配 IP 地址，而且是目前应用很广泛的一种技术。例如，办公室，网吧里的固定 PC；咖啡厅，机场等提供 WIFI 接入的地方用手机上网，这些都会用到 DHCP。
DHCP 工作时涉及到如下 3 个角色：
DHCP 服务器(DHCP Server)：负责分配 IP 地址的设备。
DHCP 客户端(DHCP client)：想要获取 IP 地址的终端或设备。
DHCP 中继（DHCP Relay）：当 DHCP 服务器与 DHCP 客户端不在同一个网段时，就需要 DHCP 中继。
华为设备上配置 DHCP 时，必须在接口视图上指定 IP 地址的分配方式: global(全局地址池模式)、interface（接口地址池模式）、relay（中继方式）。
配置接口工作在全局地址池方式，从该接口上线的 DHCP 客户端可以从全局地址池中获取 IP地址等信息。
配置接口工作在接口地址池模式，从该接口上线的 DHCP 客户端都从该接口地址池中获取 IP地址等配置信息。当接口配置 IP 地址之后，该接口的接口地址池的 IP 地址范围也就决定了：网关地址就是该接口的 IP 地址，可分配地址范围就是该接口所在网段的其它可用 IP 地址(网关 IP地址除外)。因此，工作在接口地址池模式时无需配置网关地址也无需配置地址池的地址范围。
华为设备上DHCP配置相关的命令如表4-1所示。
华为设备上DHCP服务默认是关闭的，而思科设备上DHCP服务默认是开启的。思科设备上要禁用DHCP服务，请在全局配置模式下使用no service dhcp命令。
思科设备上DHCP配置相关的命令如表4-2所示。
实验41 DHCP配置
拓扑图
我组使用3名组员学号2017083120、2017083119、2017083121规划内网私有地址块为:1031200/24、1031190/24、1031210/30，使用1名组员2017083118同学的学号规划外网公有地址块为：311800/24、311810/24。我们组设计的静态路由配置实验拓扑如图所示。
实验需求
AR1为某公司总部的路由器，为客户端动态分配IP地址，设置2个地址池：
TX地址池：可分配地址范围为10312011~253/24，默认网关为103120254，DNS服务器地址为 1031201。
WC地址池：可分配地址范围为10312111~253/24，默认网关为103121254，DNS服务器地址为 1031211。
AR2为公司分支机构路由器，兼作DHCP Relay。
ISP为运营商路由器，兼作DHCP服务器，为公司AR1路由器动态分配IP地址，设置地址池为：可分配地址范围为311801~200/24，默认网关为31180254，DNS服务器地址为 311811。
地址分配表
使用组员2017083120、2017083119、2017083121规划内网私有地址块为:1031200/24、1031190/24、1031210/30，使用1名组员2017083118同学的学号规划外网公有地址块为：311800/24、311810/24。地址分配表如表所示。
配置步骤
本实验用思科设备完成。
首先，进行基础配置，分别配置R1、R2、ISP的各个接口，各台PC机的IP地址、子网掩码、默认网关。然后，配置AR1、AR2、ISP的静态路由使得全网互通。最后，配置DHCP为主机TX、WC、WZ和AR1连接ISP的E0/0口动态分配IP地址。
AR1上的配置命令序列是：
AR2上的配置命令序列是：
ISP上的配置命令序列是：
PC机TX、WC、WZ上的配置和服务器的配置如下图所示。
验证配置结果
1查看路由表
在AR1、AR2、ISP上查看路由表，结果如图4-3所示。
分析根据图4-3， 各路由器上的路由表可达全网所有子网…。
2查看DHCP配置结果
3测试配置结果
实验42 NET配置
拓扑图
实验需求
1DHCP相关需求与451节的组网需求相同。本实验在451节配置基础之上进行；
2在AR1上配置端口转换PAT的动态NAT，地址池为345678201~230/24；
3在AR1上配置静态NAT，将私有IP地址10111与公有IP地址345678231建立一对一映射；
4在AR1上配置NAT Server(端口转发)，允许外部网络用户通过公有IP地址345678232
和端口号8080，访问内部网络10112上80端口的>