1.NAT概述
NAT英文全稱是“Network Address Translation”,中文意思是“網絡地址轉換”,它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標准,允許一個整體機構以一個公用IP(Internet Protocol)地址出現在Internet上。顧名思義,它是一種把內部私有網絡地址(IP地址)翻譯成合法網絡IP地址的技術。
NAT不僅能解決了lP地址不足的問題,而且還能夠有效地避免來自網絡外部的***,隱藏並保護網絡內部的計算機。
1.寬帶分享:這是 NAT 主機的最大功能。
2.安全防護:NAT 之內的 PC 聯機到 Internet 上面時,他所顯示的 IP 是 NAT 主機的公共 IP,所以 Client 端的 PC 當然就具有一定程度的安全了,外界在進行 portscan(端口掃描) 的時候,就偵測不到源Client 端的 PC 。
1.2NAT工作原理
借助於NAT,私有(保留)地址的"內部"網絡通過路由器發送數據包時,私有地址被轉換成合法的IP地址,一個局域網只需使用少量IP地址(甚至是1個)即可實現私有地址網絡內所有計算機與Internet的通信需求。
NAT將自動修改IP報文的源IP地址和目的IP地址,Ip地址校驗則在NAT處理過程中自動完成。有些應用程序將源IP地址嵌入到IP報文的數據部分中,所以還需要同時對報文的數據部分進行修改,以匹配IP頭中已經修改過的源IP地址。否則,在報文數據部分嵌入IP地址的應用程序就不能正常工作。
1.3NAT類型
(1)靜態NAT
- 靜態NAT實現了私有地址和共有地址的一對一映射;
- 一個公網IP只會分配給唯一且固定的內網主機。
如果希望一台主機優先使用某個關聯地址,或者想要外部網絡使用一個指定的公網地址訪問內部服務器時,可以使用靜態NAT。
但是在大型網絡中,這種一對一的IP地址映射無法緩解公用地址短缺的問題。
(2)動態NAT
- 動態NAT基於地址池來實現私有地址和公有地址的轉換。
動態NAT地址池中的地址用盡以后,只能等待被占用的公網地址被釋放后,其他主機才能使用它來訪問公網。
(3)NAPT
- NAPT允許多個內部地址映射到同一個公有地址的不同端口。
NAPT(Network Address Port Translation),也稱為NAT-PT或PAT,網絡地址端口轉換,允許多個私網地址映射到同一個公網地址的不同端口。
通常是企業,家庭的上網方式。
(4)Easy IP
- Easy IP允許將多個內部地址映射到網關出接口地址上的不同端口。
Easy IP適用於小規模局域網中的主機訪問Internet的場景。
小規模局域網通常部署在小型的網吧或者辦公室中,這些地方內部主機不多,出接口可以通過撥號方式獲取一個臨時公網地址。Easy IP可以實現內部主機使用這個臨時公網IP地址訪問Internet。
1.4、NAT應用場景
- 企業或家庭所使用的網絡為私有網絡,使用的是私有地址;運營商維護的網絡為公共網絡,使用的是公有地址。私有地址不能在公網路由。
- NAT一般部署在連接內網和外網的網關設備上。
3.1 靜態NAT:一個私網IP地址對應一個公網IP地址(有兩種配置方法)
第一種(比較常用):全局模式下 nat static global 8.8.8.8 inside 192.168.10.10
在接口上啟動 nat static enable 功能
第二種:直接在接口上聲明 nat static
3.2 動態NAT:多個私網地址IP地址對應多個公網IP地址
nat address-group 1 212.0.0.100 212.0.0.200 ####新建為1的nat地址池
acl 2000
rule permit source 192.168.20.0 0.0.0.255 ####反掩碼
rule permit source 11.0.0.0 0.0.0.255 ####反掩碼
int g0/0/1 ####外網口
nat outbound 2000 address-group 1 no-pat ####端口轉換
3.3 EasyIP:多個私網地址IP地址對應外網口(12.0.0.1)公網IP地址 ####+端口號
acl 3000
rule permit ip source 192.168.30.0 0.0.0.255
int g0/0/1 ####外網口
nat outbound 3000