动态NAT与静态NAT服务
一、NAT 服务的介绍
1、NAT的定义
网络地址转换NAT(Network Address Translation)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
2、NAT的发展
随着Internet的发展和网络应用的增多,IPv4地址枯竭已成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足问题,但目前众多网络设备和网络应用大多是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术(如CIDR、私网地址等)的使用是解决这个问题最主要的技术手段。NAT主要用于实现内部网络(简称内网,使用私有IP地址)访问外部网络(简称外网,使用公有IP地址)的功能。当内网的主机要访问外网时,通过NAT技术可以将其私网地址转换为公网地址,可以实现多个私网用户共用一个公网地址来访问外部网络,这样既可保证网络互通,又节省了公网地址。
3、NAT的好处
作为减缓IP地址枯竭的一种过渡方案,NAT通过地址重用的方法来满足IP地址的需要,可以在一定程度上缓解IP地址空间枯竭的压力。NAT除了解决IP地址短缺的问题,还带来了两个好处:有效避免来自外网的攻击,可以很大程度上提高网络安全性。控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。
二、动态NAT与静态NAT的类型
静态NAT
静态NAT是指在进行NAT转换时,内部网络主机的IP同公网IP是一对一静态绑定的,静态NAT中的公网IP只会给唯一且固定的内网主机转换使用。(不能节省IP的地址的使用)
动态NAT
基于地址池来实现私有地址和公有地址转换(公网的某个网段对应私网的某个网段、不能节省IP地址的使用)
NAPT
网络地址端口转换,NAPT允许多个内部地址映射到同一个公有地址的不同端口。(如果使用供应商需要单独配置回程路由比较麻烦 、能节省IP地址的使用)
Easy IP
允许将多个内部地址映射到网关出接口地址的不同端口(不需要单独的配置回程路由、可以节省IP地址)
NAT Sever
NAT具有“屏蔽”内部主机的作用,但有时内网需要向外网提供服务,这种情况下需要内网的服务器不被“屏蔽”,外网用户可以随时访问内网服务器。
NAT Server可以很好地解决这个问题,当外网用户访问内网服务器时,它通过事先配置好的“公网IP地址+端口号”与“私网IP地址+端口号”间的映射关系,将服务器的“公网IP地址+端口号”根据映射关系替换成对应的“私网IP地址+端口号”。
三、动态NAT与静态NAT的实验中配置
1、实验目的与实验环境
通过NAT服务实现IP地址的转换、华为ensp模拟器
2、实验拓扑图
3、实验的配置及详细的文字解析配置过程
sysname LSW2 -------------------------------------------------- 重命名
vlan batch 10 20 30 40 ---------------------------------------- 批量创建vlan
interface Vlanif10 ----------------------------------------------- 进入这个接口
ip address 192.168.10.1 255.255.255.0 ----------------- 添加IP地址
interface Vlanif20
ip address 192.168.20.1 255.255.255.0
interface Vlanif30
ip address 192.168.30.1 255.255.255.0
interface Vlanif40
ip address 10.0.0.1 255.255.255.252
interface GigabitEthernet0/0/1
port link-type access ---------------------------------------- 设置接口类型
port default vlan 10 ---------------------------------------- 接口默认属于vlan 10
interface GigabitEthernet0/0/2
port link-type access
port default vlan 20
interface GigabitEthernet0/0/3
port link-type access
port default vlan 20
interface GigabitEthernet0/0/4
port link-type access
port default vlan 30
interface GigabitEthernet0/0/5
port link-type access
port default vlan 10
interface GigabitEthernet0/0/6
port link-type access
port default vlan 40
ip route-static 0.0.0.0 0.0.0.0 10.0.0.2 ----------------- 配置默认的路由
sysname R1
静态NAT的配置
nat static global 55.55.55.55 inside 192.168.10.10
配置一对一的静态NAT映射
interface GigabitEthernet0/0/1 ---------------------------- 进入这个接口
nat static enable --------------------------------------------- 开启静态NAT服务,映射在这个接口开始转换IP
interface GigabitEthernet0/0/0
ip address 10.0.0.2 255.255.255.252
动态NAT的配置
nat address-group 1 15.15.15.15 15.15.15.250 -------创建组1公网地址池
acl 2000 -----------------------------------------------使用编号创建一个ACL,并进入ACL视图
华为NAT服务中ACL的作用
用于配置地址转换的ACL只能是2000~2999的基本ACL或3000~3999的高级ACL。
仅当ACL的rule配置为permit时,设备允许匹配该规则中指定的源IP地址使用地址池进行地址转换。
当ACL的rule没有配置为permit时,应用该ACL的NAT功能不生效,即不允许使用地址池进行地址转换,设备根据目的地址查找路由表转发报文。
命令中引用的ACL规则修改后,该修改不会立即生效,如果想令其立即生效,请手动执行reset nat session命令来清除映射表项信息。不建议修改使用中的ACL规则。
rule permit source 192.168.20.0 0.0.0.255----允许20网段私网IP使用这个规则地址转换
interface GigabitEthernet0/0/1
ip address 11.0.0.1 255.255.255.252
nat outbound 2000 address-group 1 no-pat
这个2000的池子里的地址在个端口进行地址转换为组1的地址 不做端口的转化
NAT Outbound 的作用
NAT Outbound所用地址池是用来存放动态NAT使用到的IP地址的集合,在做动态NAT时会选择地址池中的某个地址用做地址转换。
如果用户想通过动态NAT访问外网时,可以根据自己公网IP的规划情况选择以下其中一种方式:
用户在配置了NAT设备出接口的IP和其他应用之后,还有空闲公网IP地址,可以选择带地址池的NAT Outbound。
用户在配置了NAT设备出接口的IP和其他应用之后,已没有其他可用公网IP地址,可以选择Easy IP方式,Easy IP可以借用NAT设备出接口的IP地址完成动态NAT。
Easy IP配置
acl 3000 -------------------------使用编号创建一个ACL,并进入ACL视图
rule permit ip source 192.168.30.0 0.0.0.255 --允许30网段私网IP使用这个规则地址转换
interface GigabitEthernet0/0/1
nat outbound 3000 ------------- 这个3000的池子里的地址在个端口进行地址转换为端口地址
NAT服务器的配置
nat static protocol tcp global 5.5.5.5 www inside 192.168.10.55 www
www访问服务tcp协议的静态nat服务的IP地址映射
sysname R1
interface GigabitEthernet0/0/0
ip address 11.0.0.2 255.255.255.252
interface GigabitEthernet0/0/1
ip address 12.0.0.1 255.255.255.0
interface LoopBack0 ------------------------------进入路由器的环回口配置,自带的测试端口
ip address 1.1.1.1 255.255.255.255
ip route-static 0.0.0.0 0.0.0.0 11.0.0.1
NAT服务器测试结果