NAT
- 网络地址转换 — ip地址转换,在数据包经过路由器时,修改包中的源或者目标ip地址;
- 最常用于私有网络访问公有网络时,仅公、私有IP地址转换;
种类
| 静态NAT | 动态NAT |
|---|---|
| 一对一、多对多 | 一对多、多对多 |
配置地方
- NAT的所有配置均在边界路由器上进行,华为设备在边界路由器的公有ip地址所在接口
一对一(静态)
- 将内部私有地址与公有地址进行一对一转换
- 主要用于在内部网络又对外部提供服务的服务器
- 缺点 :占用IP地址
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.1
公有 私有
华为设备无法使用端口IP,只能使用新的IP
一对多(动态):PAT端口地址转换
- 将内部多个私有ip地址,转换为同一个公有ip地址
- 基于端口号仅转换和区分
- 先使用ACL将需要被转换的ip地址抓取;再在边界路由器外网接口上调用接口
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2]interface GigabitEthernet 0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000
- 当ACL2000内关注的数据包从该接口出的时候进行地址转换,转换为该接口的ip地址;同时产生一条临时的记录,再该数据回来后,基于记录转换回原有地址;再转发源设备上,删除该记录;
多对多:
[r2]nat address-group 1 12.1.1.4 12.1.1.10 定义公有ip地址池,创建池塘1;
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255 定义私有地址范围
[r2-acl-basic-2001]q
[r2]interface GigabitEthernet 0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1 no-pat
切记:no-pat 添加的区别很大:
- 若添加为静态多对多,不添加为动态多对多;
- 静态多对多: 多个 一对一
- 动态多对多: 多个 一对多
端口映射
将边界路由器上公有ip地址的某个端口,固定映射给某一个私有ip地址
[r2-GigabitEthernet0/0/2]nat static protocol tcp global current-interface 80 inside 192.168.1.3 80
当前接口ip地址,12.1.1.1
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y