記事のディレクトリ
1.NATの概念
NAT(ネットワークアドレス変換)は、ネットワークアドレス変換とも呼ばれ、プライベートネットワークとパブリックネットワーク間の相互アクセスを実装するために使用されます。
2.NATのしくみ
●NATは、内部ネットワークアドレスとポート番号を有効なパブリックネットワークアドレスとポート番号に変換し、パブリックネットワーク上のホストと通信するためのセッションを確立するために使用されます。
●NAT外部のホストはNAT内のホストとアクティブに通信できません。内部のホストNAT通信する場合は、パブリックネットワーク上のIPと積極的に通信する必要があります。ルーターは、データ転送を実現するためのマッピングシステムを確立する責任があります。
3.NATの機能
NATは、不十分なIPアドレスの問題を解決するだけでなく、ネットワークの外部からの侵入を効果的に回避し、ネットワーク内のコンピューターを隠して保護します。
1.ブロードバンド共有:これはNATホストの最大の機能です。
2.セキュリティ保護:NAT内のPCがインターネットに接続されている場合、表示されるIPはNATホストのパブリックIPであるため、クライアント側のPCにはある程度のセキュリティがあり、外界はポートスキャンを実行しています。 (ポートスキャン)、ソースクライアント側のPCを検出できません。
4.NATの長所と短所
利点:パブリックリーガルIPアドレスを保存し、重複するアドレスを処理し、柔軟性とセキュリティを強化します。
欠点:遅延の増加、構成とメンテナンスの複雑さ、特定のアプリケーション(VPNなど)をサポートしません。
5.NATの分類
5.1静的NAT
静的NATは、プライベートネットワークアドレスとパブリックネットワークアドレスの間の1対1の変換を実現します。プライベートネットワークアドレスと同じ数のパブリックネットワークアドレスを構成する必要があります。静的NATはパブリックネットワークアドレスを保存できませんが、内部ネットワークを隠すことはできます。
内部ネットワークが外部ネットワークにメッセージを送信すると、静的NATはメッセージの送信元IPアドレスを対応するパブリックネットワークアドレスに置き換えます。外部ネットワークが内部ネットワークに応答メッセージを送信すると、静的NATはの宛先アドレスを置き換えます。対応するプライベートネットワークアドレスを持つメッセージ。
最初のタイプ:グローバル構成静的NAT
[R1] nat静的グローバル8.8.8.8内部192.168.10.10(1つはバインディング1)
[R1] int g0 / 0/0
インターフェイスは外部ネットワークに接続されています
[R1- GigabitEthernet0 / 0/0 ] nat static enable
は、インターフェイスでnatstatic機能を開始します
2番目の方法;インターフェース構成静的NAT
[R1] int g0 / 0/0
外部ネットワークポート
[R1-GigabitEthernet0 / 0/0] nat static global 8.8.8.8 inside192.168.17.1
5.2ダイナミックNAT
動的NAT:複数のプライベートネットワークIPアドレスは、複数のパブリックネットワークIPアドレスに対応し、アドレスプールに基づいて1対1でマッピングします
。1。外部ネットワークポートと内部ネットワークポートのIPアドレスを構成します。
2.有効なIPアドレスプールを定義します
[R1] nat address-group 1 212.0.0.100 212.0.0.2001
という名前の新しいNATアドレスプールを作成します
3.アクセス制御リストを定義します
[R1] acl 2000
[R1-acl-basic-2000]ルール許可ソース192.168.20.00.0.0.255
[R1-acl-basic-2000]ルール許可ソース11.0.0.00.0.0.255
作成するACL、送信元アドレスのネットワークセグメントからのデータの通過を許可
4.外部ネットワークポート
[R1] int g0 / 0/0
外部ネットワークポート
[R1-GigabitEthernet0 / 0/0] natアウトバウンド2000アドレスグループ1no-patで動的IPアドレス変換を設定して、
一致するデータを変換します。 acl2000をアドレスプールにアドレス指定1(no-patはポート変換なし、IP変換のみ、デフォルトはpat)
6、PAT
6.1PAT-ポート多重化
PATはNAPT(ネットワークアドレスポート変換)とも呼ばれ、パブリックネットワークアドレスと複数のプライベートネットワークアドレス間のマッピングを実装するため、パブリックネットワークアドレスを保存できます。PATの基本原則は、異なるプライベートネットワークアドレスを持つパケットの送信元IPアドレスを同じパブリックネットワークアドレスに変換することですが、それらはアドレスの異なるポート番号に変換されるため、同じアドレスを共有できます。
6.2PATの役割
データパケットのIPアドレスとポート番号を変更すると
、多くのパブリックネットワークIPアドレスを節約できます。
6.3PATの種類
NAPTを含む動的PATおよび
NATサーバーを含むEasyIP(ホーム)静的PAT(サーバーが使用)
6.3.1
NAPT NAPT:複数のプライベートネットワークIPアドレスは固定外部ネットワークIPアドレス(200.1.1.10など)に対応します。構成方法は動的NAT1と同様
です。外部ネットワークポートと内部ネットワークポートのIPアドレスを構成します。
2.有効な1Pアドレスプールを定義します
[R1] natアドレスグループ1200.1.1.10 200.1.1.10 ####固定IPを使用します
3.アクセス制御リストを定義します
[R1] acl 2000
##### 192.168.30.0/24ネットワークセグメントの送信元アドレスを持つデータが
[R1-acl-adv-2000]ルールを通過できるようにしますソース192.168.30.0を許可します0.0.0.255
4.外部ネットワークポート
[R1-acl-basic-2000] int g0 / 0/1 ###外部ネットワークポート
[R1-GigabitEtherneto / o / 1] natアウトバウンド2000アドレスグループ1に1Pアドレス変換を設定します。
6.3.2 Easy IP
EasyIp:複数のプライベートネットワークIPアドレスが
外部ネットワークポート(12.0.0.1など)のパブリックネットワークIPアドレスに対応します1.外部ネットワークポートと内部ネットワークポートのIPアドレスを構成します
2.有効な1Pアドレスプールを定義します。
外部ネットワークポートのIPアドレスを直接実験するため、IPアドレスプールを定義する必要はありません。
3.アクセス制御リストを定義します
[R1] acl 3000 ##送信元アドレスがネットワークセグメント192.168.30.0/24であるデータが
[R1-acl-adv-3000]ルールpermitip source 192.168.30.00.0を通過できるようにします。 0.255
4.外部ネットワークポートに1Pアドレス変換を設定します
[R1] int go / 0/1 ####外部ネットワークポート
[R1-GiqabitEtherneto / 0/1] natアウトバウンド3000 ##### ac13000と一致する送信元IPデータがこのインターフェイスに到着すると、送信元アドレスとしてインターフェイスの1Pアドレスに変換されます。
[R1]すべてのNATセッションを表示### NATフローテーブル情報を表示
6.3.3
NATサーバーNATサーバー:ポートマッピング、プライベートネットワークアドレスポートのパブリックネットワークアドレスへのマッピング、外部ユーザーが
[R1] int g0 / 0/1
[R1-GigabitEtherneto / 0/1]にアクセスするための内部ネットワークサーバーの実現] nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www ####プライベートネットワークサーバーアドレスとパブリックネットワークアドレスを、パブリックネットワークに接続されたインターフェイス上のNATマッピングバインディングのペアとしてバインドします
[R1-GigabitEtherneto / 0/1] natサーバープロトコルtcpqlobal current-interface 8080 inside 10.1.1.1 www ####プライベートネットワークサーバーアドレスと接続されているインターフェイス上の外部ネットワークインターフェイスの間にNATマッピングバインディングのペアを作成しますパブリックネットワーク
[R1-GiqabitEthernet0 / 0/1] nat server protocol tcp global current-interface 2121 inside 10.1.1.2ftp…ポートが21の場合、代わりにキーワード「ftp」を直接使用できます。
外部ネットワークポート
を入力し、インターフェイスの下に「natoutbound2000」と入力します