NAT:网络地址转换
1.工作原理
在一台路由器上对进或出的流量进行ip地址的修改,常用规则为从内部去往外部时修改源ip地址;从外部进入内部时修改目标ip地址;NAT技术最大的优点是:节省了大量的IP资源
2.IPV4地址存在私有和公有的区别:
- 私有地址:本地唯一性,不能在互联网中通讯,无需付费使用;
- 公有地址:全球唯一性,可以在互联网中通讯,需要付费使用;
3.NAT的作用
- 数据包在内网与外网通讯时,对数据包的IP地址进行转换;
- 由内部到外部时修改源IP地址;由外部到内部时修改目标IP地址;
4.NAT的分类
- 静态NAT:一对一,多对多(地址间的映射关系为固定)
- 动态NAT:一对多,多对多(临时地址映射)
5.Cisco配置(边界路由器)
切记:cisco设备中无论配置何种nat,都需要在边界路由器上定义各个接口的方向;
r1(config)#interface fastEthernet 0/0
r1(config-if)#ip nat inside
r1(config-if)#exit
r1(config)#interface fastEthernet 0/1
r1(config-if)#ip nat outside
(1)一对一:固定的将一个IP地址转换成另一个IP地址
r1(config)#ip nat inside source static 192.168.1.2 12.1.1.1
内部本地 内部全局
(2)一对多(动态):内部私有IP地址在NAT成为公有IP地址时,需要不同的源端口号,来形成唯一的临时映射关系临时映射需要内部流量先去往外部,被装换成记录,之后返回,映射刷新;因为需要修改流量的端口,故一对多又被称为PAT—端口地址转换
一个公有IP仅存在65535个端口,故一个时间节点最大一次转发65535个数据包,所以不能用于大型网络中;
定义多个内网地址
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r1(config)#ip nat inside source list 1 interface fastEthernet 0/1 overload
内部本地 内部全局
inside 换源 outside 换目标
注:overload 携带该单词为动态nat,不携带为静态,但因为一对多只能为动态,故即使不配置该单词,设备也会自动在默认添加该单词;
(3)多对多(动、静态均可):主要针对大型的局域网,同一时间大量数据包需要进入互联网;一个公有IP只能进行65535个数据包的转发,故同时提供多个公有IP;
①定义多个内网
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
②定义多个公网 202.100.1.10--20
r1(config)#ip nat pool test 202.100.1.10 202.100.1.20 netmask 255.255.255.0
③配置NAT
r1(config)#ip nat inside source list 1 pool test overload
注:携带overload为动态,就是循环将私有ip转换不同公有ip的不同端口;相当于同时进行多个一对多;
不携带overload为静态,就是最先出来的一些私有ip,和各个公有ip形成一对一映射;
(4)端口映射(静态)
r1(config)#ip nat inside source static tcp 192.168.1.250 80 12.1.1.1 80
只有在外网访问12.1.1.1且目标端口为80时,才进行转换,转换为目标ip192.168.1.250,目标端口80
r1(config)#ip nat inside source static tcp 192.168.1.251 80 12.1.1.1 8888
只有在外网访问12.1.1.1且目标端口为8888时,才进行转换,转换为目标ip192.168.1.251,目标端口80
6.华为配置(边界路由器)
华为不需要在边界路由器上各个接口定义方向,但NAT还是在边界路由器上配置
(1)静态NAT (和cisco中一对一一致)
[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
公有 私有
[RTA]display nat static
(2)动态NAT (和cisco的多对多相同)
[RTA]nat address-group 1 200.10.10.1 200.10.10.200 公有ip范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有ip范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 在连接互联网的公有ip地址接口配置
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
私有 公有
[RTA]display nat address-group 1
切记:携带no-pat为静态多对多;不携带为动态多对多;
(3)easy nat和cisco中的一对多相同:PAT 端口地址转换
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 该接口为公有ip地址所在接口;
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound
(4)nat服务器:和cisco的端口映射相同
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0 该接口为连接公网的接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
来源:CSDN
作者:炫酷的腿毛!
链接:https://blog.csdn.net/weixin_44244493/article/details/104007159