网络地址转换技术NAT
一、NAT概述
网络地址转换技术NAT (Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由,此时需要用到NAT技术进行地址转换。
NAT- -般部署在连接内网和外网的网关设备上。
接下来通过实例介绍几种NAT配置方法,实验图示如下,灰色部分为私有网络白色为公共网络。
二、静态NAT——不能节省公网IP地址
静态NAT是一个私网地址到公网中转换成对应的一个公网地址,并且一个公网IP只会分配给唯一且固定的内网主机,实现了私有地址和公有地址的一对一映射,所以不会节省公网IP地址。
这里PC5访问外网的方式是静态NAT。
静态NAT:一个私网IP地址对应一个公网IP地址(有2中配置方法)
第一种:全局模式下 nat static global 8.8.8.8 inside 192.168.10.10
在接口上启动nat static enable 功能
int g0/0/1
nat static enable
第二种:直接在接口上声明nat static
int g0/0/1
nat static global 8.8.8.8 inside 192.168.10.10
三、动态NAT——不能节省公网IP地址
动态NAT是基于地址池来实现私有地址和共有地址的转换,先建立公网地址池,然后私网地址池的地址访问公网的时候去公网地址池里按顺序拿一个公网地址访问公网,这是一种多对多的模式,所以也不能节省公网IP地址。
动态NAT:多个私网IP地址对应多个公网IP地址
nat address-group 1 212.0.0.100 212.0.0.200(新建为1的nat地址池)
acl 2000(acl编号)
rule permit source 192.168.20.0 0.0.0.255
rule permit source 11.0.0.0 0.0.0.255//可不写
int g0/0/1(外网口)
nat outbound 2000 address-group 1 no-pat
四、NAPT——能节省公网IP
网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口,就是说,多个私网地址在访问公网的时候,通过转换成同一个公网地址跟上不同端口号的形式访问,需要设置一个公网地址,并且运营商的路由器需要配置一个回程路由,所以虽然能节省公网地址,但是不普遍采用。
五、Easy IP——能节省公网IP
Easy IP与NAPT很像,都是多对一,允许多个内部地址映射到同一个共有地址的不同端口,然而更好的是,它转换使用的公网地址就是外网口——网关出接口的地址,不需要另设一个公网IP,且不需要配回程路由。
EasyIp:多个私网IP地址对应外网口公网IP地址(12.0.0.1)
acl 3000(acl编号)
rule permit ip source 192.168.30.0 0.0.0.255
int g0/0/1(外网口)
nat outbound 3000
nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www
六、整体配置
LSW3:
vlan batch 10 20 30 40 ##创建vlan 10 20 30 40
interface Vlanif10 ##虚拟接口设vlan10的网关
ip address 192.168.10.1 255.255.255.0
interface Vlanif20 ##虚拟接口设vlan20的网关
ip address 192.168.20.1 255.255.255.0
interface Vlanif30 ##虚拟接口设vlan30的网关
ip address 192.168.30.1 255.255.255.0
interface Vlanif40 ##虚拟接口设vlan40的网关
ip address 11.0.0.2 255.255.255.0
interface GigabitEthernet0/0 ##配置接口类型为acess,划分为vlan 10
port link-type access
port default vlan 10
interface GigabitEthernet0/0/2 ##配置接口类型为acess,划分为vlan 20
port link-type access
port default vlan 20
interface GigabitEthernet0/0/3 ##配置接口类型为acess,划分为vlan 30
port link-type access
port default vlan 30
interface GigabitEthernet0/0/4 ##配置接口类型为acess,划分为vlan 10
port link-type access
port default vlan 10
interface GigabitEthernet0/0/5 ##配置接口类型为acess,划分为vlan 40
port link-type access
port default vlan 40
ip route-static 0.0.0.0 0.0.0.0 11.0.0.1 ##设置向上的默认路由,指明私网地址转发的方向
R5:
acl number 2000 ##编号2000
rule 5 permit source 192.168.20.0 0.0.0.255 ##私网地址池(动态NAT)
acl number 3000 ##编号3000
rule 5 permit ip source 192.168.30.0 0.0.0.255 ## 私网地址池(Easy IP模式)
nat address-group 1 212.0.0.100 212.0.0.200 ##新建编号为1的公网地址池(动态NAT使用)
interface GigabitEthernet0/0/0
ip address 11.0.0.1 255.255.255.0
interface GigabitEthernet0/0/1
ip address 12.0.0.1 255.255.255.0
nat static global 8.8.8.8 inside 192.168.10.10 netmask 255.255.255.255 ##静态NAT模式,PC1地址转换为8.8.8.8访问外网
nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www ##外网访问私网服务器HTTP服务时,转换地址为9.9.9.9
nat outbound 2000 address-group 1 no-pat ##动态NAT私网池与公网池对应
nat outbound 3000 ##Easy IP模式,外网口对应私网池3000
ip route-static 0.0.0.0 0.0.0.0 12.0.0.2 ##向上指默认,指向公网方向
ip route-static 192.168.10.0 255.255.255.0 11.0.0.2 ##向下指静态,指明到192.168.10.0的路由
ip route-static 192.168.20.0 255.255.255.0 11.0.0.2 ##向下指静态,指明到192.168.20.0的路由
ip route-static 192.168.30.0 255.255.255.0 11.0.0.2 ##向下指静态,指明到192.168.30.0的路由
R6:
interface GigabitEthernet0/0/0
ip address 12.0.0.2 255.255.255.0
interface GigabitEthernet0/0/1
ip address 13.0.0.1 255.255.255.0
interface LoopBack0
ip address 114.114.114.114 255.255.255.255 ##环回口,用于作为内网访问外网的测试地址
ip route-static 8.8.8.0 255.255.255.0 12.0.0.1 ##静态NAT的回程路由
ip route-static 9.9.9.0 255.255.255.0 12.0.0.1 ##外网访问内网服务器的路由指路
ip route-static 212.0.0.0 255.255.255.0 12.0.0.1##动态NAT的回程路由
七、抓包看地址转换
PC5:
地址转换成8.8.8.8
PC6:
地址从212.0.0.100到212.0.0.104,按顺序从地址池拿地址
PC7:
转换为12.0.0.1访问外网
外网访问私网服务器HTTP服务:
出现TCP三次握手,然后进行HTTP服务,地址转换成9.9.9.9
