NAT:网络地址转换

こ雲淡風輕ζ 提交于 2020-01-21 04:49:09

NAT:网络地址转换

1.工作原理

在一台路由器上对进或出的流量进行ip地址的修改,常用规则为从内部去往外部时修改源ip地址;从外部进入内部时修改目标ip地址;NAT技术最大的优点是:节省了大量的IP资源

2.IPV4地址存在私有和公有的区别:

  • 私有地址:本地唯一性,不能在互联网中通讯,无需付费使用;
  • 公有地址:全球唯一性,可以在互联网中通讯,需要付费使用;

3.NAT的作用

  • 数据包在内网与外网通讯时,对数据包的IP地址进行转换;
  • 由内部到外部时修改源IP地址;由外部到内部时修改目标IP地址;

4.NAT的分类

  • 静态NAT:一对一,多对多(地址间的映射关系为固定)
  • 动态NAT:一对多,多对多(临时地址映射)

5.Cisco配置(边界路由器)

切记:cisco设备中无论配置何种nat,都需要在边界路由器上定义各个接口的方向;

r1(config)#interface fastEthernet 0/0
r1(config-if)#ip nat inside 
r1(config-if)#exit
r1(config)#interface fastEthernet 0/1
r1(config-if)#ip nat outside

(1)一对一:固定的将一个IP地址转换成另一个IP地址

r1(config)#ip nat inside source static 192.168.1.2    12.1.1.1
                                         内部本地       内部全局

(2)一对多(动态):内部私有IP地址在NAT成为公有IP地址时,需要不同的源端口号,来形成唯一的临时映射关系临时映射需要内部流量先去往外部,被装换成记录,之后返回,映射刷新;因为需要修改流量的端口,故一对多又被称为PAT—端口地址转换

一个公有IP仅存在65535个端口,故一个时间节点最大一次转发65535个数据包,所以不能用于大型网络中;

定义多个内网地址
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r1(config)#ip nat inside source   list 1        interface fastEthernet 0/1    overload
                                                  内部本地   内部全局

inside 换源 outside 换目标

注:overload 携带该单词为动态nat,不携带为静态,但因为一对多只能为动态,故即使不配置该单词,设备也会自动在默认添加该单词;

(3)多对多(动、静态均可):主要针对大型的局域网,同一时间大量数据包需要进入互联网;一个公有IP只能进行65535个数据包的转发,故同时提供多个公有IP;

①定义多个内网
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
②定义多个公网  202.100.1.10--20
r1(config)#ip nat pool test 202.100.1.10 	202.100.1.20 netmask 255.255.255.0
③配置NAT
r1(config)#ip nat inside source list 1 pool test overload

注:携带overload为动态,就是循环将私有ip转换不同公有ip的不同端口;相当于同时进行多个一对多;
不携带overload为静态,就是最先出来的一些私有ip,和各个公有ip形成一对一映射;

(4)端口映射(静态)

r1(config)#ip nat inside source static tcp 192.168.1.250 80 12.1.1.1 80
只有在外网访问12.1.1.1且目标端口为80时,才进行转换,转换为目标ip192.168.1.250,目标端口80

r1(config)#ip nat inside source static tcp 192.168.1.251 80 12.1.1.1 8888
只有在外网访问12.1.1.1且目标端口为8888时,才进行转换,转换为目标ip192.168.1.251,目标端口80

6.华为配置(边界路由器)

华为不需要在边界路由器上各个接口定义方向,但NAT还是在边界路由器上配置

(1)静态NAT (和cisco中一对一一致)

[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
                              公有             私有
[RTA]display nat static 

(2)动态NAT (和cisco的多对多相同)

[RTA]nat address-group 1 200.10.10.1 200.10.10.200     公有ip范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   私有ip范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0  在连接互联网的公有ip地址接口配置
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
                         私有               公有
[RTA]display nat address-group 1

切记:携带no-pat为静态多对多;不携带为动态多对多;

(3)easy nat和cisco中的一对多相同:PAT 端口地址转换

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255  私有
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0   该接口为公有ip地址所在接口;
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound 

(4)nat服务器:和cisco的端口映射相同

[RTA-GigabitEthernet0/0/1]interface Serial1/0/0  该接口为连接公网的接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!