文章目录
一.NAT的概念
1.什么是NAT
NAT(Network Address Translation,网络地址转换)是1994年提出的。当在专用网内部的一些主机本来已经分配到了本地IP地址(即仅在本专用网内使用的专用地址),但现在又想和因特网上的主机通信(并不需要加密)时,可使用NAT方法。
2.NAT的工作原理
NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射芙系,从而实现数据的转发
3.NAT的功能
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
1.宽带分享:这是NAT主机的最大功能。
2,安全防护:NAT之内的PC联机到Internet上面时,他所显示的IP是NAT主机的公网IP,所以client端的PC就具有一定程度的安全了,外界在进行 portscan(端口扫描)的时候,就侦测不到源client端的PC 。
4.NAT的优缺点
**优点:**节省公有合法IP地址、处理地址质量、增大灵活性、安全性
**缺点:**延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
5.NAT分类
1、静态NAT
(1)工作: NAT转换时,内部网络主机IP地址与公网IP是一对一静态绑定的,每个公网IP只能给固定的内网主机转换使用;静态NAT转换时只转换IP地址,不涉及端口号。
(2)配置:全局配置+接口挂接
① 在NAT路由器配置好静态NAT转化映射表。
② 在公网接口启用静态NAT配置。
2、静态NAPT
(1)工作:静态NAPT转换时,内部网络主机IP+端口号与公网IP+端口号进行一对一静态绑定的,每个公网IP只能给固定的内网主机转换使用;
(2)配置:
① 在NAT路由器配置好静态NAPT转化映射表。
② 在公网接口启用静态NAT配置。
3、Basic NAT
(1)工作:
Basic NAT工作时,内部网络主机IP地址在预先设置好的公网IP地址池中的公网IP地址动态建立一对一映射。
Basic NAT工作时,在同一时刻的公网地址只能被一个私网地址所映射。
Basic NAT转换时只转换IP地址,不涉及端口号。
(2)配置:
① 在NAT路由器配置动态公网地址池
② 用ACL匹配待转换的内网地址
③ 在外网出口配置动态NAT,实现公网地址池和内网地址的挂接,只转换IP地址不进行端口转化。
4、动态NAPT
(1)工作: NAT转换时,内部网络主机IP+端口号与公网IP+端口号实现动态映射,实现多个内网共用一个公网IP地址访问外网。
(2)配置:
① 在NAT路由器配置动态公网地址池
② 用ACL匹配待转换的内网地址
③ 在外网出口配置动态NAPT,实现公网地址池和内网地址的挂接(默认的动态NAT是动态PAT)
1.全局模式
第一种配置静态vlan方法
配置接口的IP地址
[R1]nat static global 8.8.8.8 inside 192.168.17.1
全局配置静态nat的地址转换
[R1]int g0/0/0
连接外网的接口
[R1-GigabitEthernet0/0/0]nat static enable
在接口上启动nat static功能
R1的G0/0/0上的抓包数据
R1的G0/0/1的抓包数据
对比两个可以发现经过R1后192.168.17.1 的IP地址变成了8.8.8.8
2.接口模式
第二种方法;接口配置静态NAT
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat static global 8.8.8.8 inside 192.168.17.1
两种模式配置结果是一样的
动态NAT
1.配置外部网络和内部网口的IP地址
2.定义合法IP地址池
[R1]nat address-group 1 1.0.0.1 1.0.0.200
3.定义访问控制列表
定义访问控制列表
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.17.0 0.0.0.255
[R1-acl-basic-2000]rule permit source 192.168.18.0 0.0.0.255
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat
将acl2000匹配的数据转换成地址池1里的地址(no-pat是不做端口转换,只进行IP转换,默认为pat)
抓包
[R1]dis nat outbound ##查看NAT outbound信息
PAT
1.PAT端口多路复用
PAT端口多路复用 PAT又称为NAPT CNetwaork Address_Port
Translation),它实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址。PAY的基本原理是将不同私网地址的
报文的源IP地址转换为同一公网地址,但他们被转换为该地址的不同端口号,然而仍然能够共享同一地址。
2.PAT有以下作用
1.改变数据包的IP地址和端口号
2.能够大量节约公网IP地址
PAT的类型有以下:
1.动态PAT。包括NAPT和和Easy
2.静态PAT。包活NAT Server。
3.NATP
配置对应接口的IP地址
多个私网IP对应一个固定的外网IP,配置方法和动态NAT类似
[R1]nat address-group 1 1.0.0.1 1.0.0.1
配置一个固定的IP
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.17.0 0.0.0.254
[R1-acl-basic-2000]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1
Easy IP
多个私网IP对应外网口公网IP地址
配置内网、外网IP
定义IP地址池
访问控制列表
第一步,对应接口的IP地址
实际情况中,公网IP无法自己定义,这里不再配置
[R1]acl 3000
[R1-acl-adv-3000]rule permit ip source 192.168.17.0 0.0.0.255
[R1-acl-adv-3000]q
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 3000
当acl3000匹配的源IP数据到这接口时,转换成此接口的IP地址作为源IP地址
[R1-GigabitEthernet0/0/0]q
NAT server端口映射
将私有地址作为公网地址映射
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]nat server protocol tcp global 1.1.1.1 www inside 192.168.16.1
在连接公网的接口上将私网的服务器地址和公网地址做一对NAT映射
[R1-GigabitEthernet0/0/2]
或者用下面的命令,和上面命令的作用是一样的
[R1]int g0/0/2
[R1-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.16.1
在连接公网的接口上将私网的服务器地址和公网接口做一对NAT映射
