NAT(⽹络地址转换实现⽅式以及⼯作过程配置
NAT(⽹络地址转换)实现⽅式以及⼯作过程配置
⼀. NAT⽹络地址转换
NAT(Network Address Translation)⼜称为⽹络地址转换,⽤于实现私有⽹络和公有⽹络之间的互访。
1 .NAT⼯作原理
1.NAT⽤来将内⽹地址和端⼝号转换成合法的公⽹地址和端⼝号,建⽴⼀个会话,与公⽹主机进⾏通信。
2.NAT外部的主机⽆法主动跟位于NAT内部的主机通信,NAT内部2主机想要通信,必须主动和公⽹的⼀个IP通信,路由器负责建⽴⼀个映射关系,从⽽实现数据的转发。
A类私有地址: 10.0.0.0-~10.255.255.255
B类私有地址:172.16.0.0–172.31.255.255
C类私有地址:192.168.0.0⼀192.168.255.255
2. NAT功能
NAT不仅能解决了IP地址不⾜的问题,⽽且还能够有效地避免来⾃⽹络外部的⼊侵,隐藏并保护⽹络内部的计算机。
1.宽带分享:这是NAT主机的最⼤功能。
2.安全防护:NAT之内的Pc联机到Internet 上.⾯时,他所显⽰的IP是NAT主机的公⽹1,所以client端的Pc就具有⼀定程度的安全了,外界在进⾏ portscan(端⼝扫描)的时候,就侦测不到源client端的PC 。
优点:节省公有合法IF地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增⼤、配置和维护的复杂性、不⽀持某些应⽤(⽐如IVPN)
3. NAT实现的⽅式
静态转换,动态转换,端⼝地址转换
⼆. 静态NAT
张靓颖怒斥卓伟
静态NAT实现私⽹地址和公⽹地址的⼀对⼀转换。有多少个私⽹地址就需要配置多少个公⽹地址。静态Ner不能节约公⽹地址,但可以起到隐藏内部⽹络的作⽤。
内部⽹络向外部⽹络发送报⽂时,静态NAT将报⽂的源TP地址替换为对应的公⽹地址;外部⽹络向内部⽹络发送响应报⽂时,静态Ner将报⽂的⽬的地址替换为相应的私⽹地址。
有2种配置⽅法:
第⼀种:
全局模式下设置静态NAT
[R1]nat static global8.8.8.8inside192.168.10.10
[R1]int go/0/1外⽹⼝
[Ri-GigabitEthernetO/0/1]nat static enable###在⽹⼝上启动nat static enable功能
第⼆种:直接在接⼝上声明nat static
[R1 ]int go/0/1外⽹⼝
[R1-GigabitEthernet0/0/1]nat static global8.8.8.8inside192.168.10.10
大专专业[R1]dis nat static查看NAT静态配置信息
三. 动态NAT
动态NAT:多个私⽹IP地址对应多个公⽹IP地址,基于地址池⼀对⼀映射
1、配置外部⽹⼝和内部⽹⼝的IP地址
2、定义合法IP地址池
[R1]nat address-group1212.0.0.100212.0.0.200
#新建⼀个名为1的nat地址池
3、定义访问控制列表
赵虹乔[R1]acl2000
#创建ACL,允许源地址为192.168.20.0/24⽹段和11.0.0.0/24的数据通过
[R1-acl-basic-2000]rule permit source192.168.20.00.0.0.255
[R1-acl-basic-2000]rule permit source11.0.0.00.0.0.255
4、在外⽹⼝上设置动态IP地址转换
[R1-acl-basic-2000]int g0/0/1外⽹⼝黄山仙女弹琴图片
[R1-GigabitEthernet0/0/1]nat outbound2000address-group1no-pat
将ACL2000匹配的数据转换为改接⼝的IP地址作为源地址(no pat不做端⼝转换,只做IP地址转换,默认为pat)
[R1]dis nat outbound查看NAT Outbound的信息
三. PAT端⼝多路复⽤
PAT⼜称为NAPT (Network Address Port Translation) ,它实现⼀个公⽹地址和多个私⽹地址之间的映射,因此可以节约公⽹地址。PAT 的基本原理是将不同私⽹地址的报⽂的源IP地址转换为同⼀公⽹地
址,但他们被转换为该地址的不同端⼝号,因⽽仍然能够共享同⼀地址.
1.PAT的作⽤
(1)·改变数据包的ip地址和端⼝号;
(2),能够⼤量节约公⽹IP地址。
2.PAT的类型
(1)·动态PAT,包括NAPT和Easy IP;
(2)、静态PAT,包括NAT Server.
(1).NATP
多个私⽹IP地址对应固定外⽹IP地址(⽐如200.1.1.10) ,配置⽅法与动态NAT类似
(2).Easy Ip
多个私⽹IP地址对应外⽹⼝公⽹IP地址(⽐如12.0.0.1)
(3).NAT Server
端⼝映射,将私⽹地址端⼝映射到公⽹地址,实现内⽹服务器供外⽹⽤户访问
>NAPT:多个私⽹IP地址对应固定外⽹Ip地址(⽐如200.1.1.10),配置⽅法与动态NAT类似
1、配置外部⽹⼝和内部⽹⼝的IP地址
2、定义合法IP地址池
[R1]nat address-group1200.1.1.10200.1.1.10#使⽤⼀个固定IP
3、定义访问控制列表
[R1]acl2000#允许源地址为192.168.30.0/2.4⽹段的数据通过
创意表白方式
[R1-acl-adv-2000]rule permit source192.168.0.255
4、在外⽹⼝上设置IP地址转换
[R1-acl-basic-2000]int g0/o/1##外⽹⼝
[R1-GigabitEthernet0/0/1]nat outbound2000address-group1
#当ac13000匹配的源IP数据到达此接⼝时,转换为该接⼝的IP地址做为源地址
国产奶粉排行榜十强
[R1]display nat session all##查看NAT的流表信息
#NAT server:端⼝映射,将私⽹地址端⼝映射到公⽹地址,实现内⽹服务器供外⽹⽤户访问[R1 ]int go/0/1
[R1-GigabitEthernet0/0/1]nat server protocol tcp global9.9.9.9ww inside192.168.10.100www#在连接公⽹的接⼝上将私⽹服务器地址和公⽹地址做⼀对NAT映射绑定
[R1-GigabitEthernet0/0/1]nat server protocol tco global current-interface8080inside10.1.1.1www#在连接公⽹的接⼝上将私⽹服务器地址和外⽹接⼝做⼀对NAT映射绑定
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface2121inside10.1.1.2ftp#端⼝为21可以直接使⽤关键字“ftp”代替