NAT(Network Address Translation)又稱為網絡地址轉換,用於實現私有網絡和公有網絡的互訪
私有網絡地址和公有網絡地址
公有網絡地址( 以下簡稱公網地址):是指在互聯網上全球唯一的IP地址。2019年11月26日,是人類互聯網時代值得紀念的一-天,全球近43億個IPy4地址已正式耗盡。
私有網絡地址(以下簡稱私網地址):是指內部網絡或主機的工P地址,IANA
(互聯網數字分配機構)規定將下列的IP地址保留用作私網地址,不在Internet.上被分配,可在一一個單位或公司內部使用。RFC1918中 規定私有地址
A類私有地址:10.0.0.0-------------------10.255.255.255
B類私有地址:172.16.0.0----------------172.31.255.255
C類私有地址:192.168.0.0---------------192.168.255.255
NAT的工作原理
NAT用來將內網地址和端口號轉換成合法的公網地址和端口號,建立一個會話,與公網主機進行通信,外部的主機無法主動跟位於NAT內部的主機通信,NAT內部主機想要通信,必須主動和公網的一個IP通信,路由器負貴建立一個映射關系,從而實現數據的轉發。
NAT功能
NAT不僅能解決了IP地址不足的問題,而且還能夠有效地避免來自網絡外部的入侵,隱藏並保護網絡內部的計算機。
1.寬帶分享:這是NAT主機的最大功能。
2.安全防護:NAT之內的PC聯機到Internet。上面時,他所顯示的TP是NAT主機的公網IP,所以client端的PC就具有一定程度的安全了,外界在進行portscan (端口掃描)的時候,就偵測不到源client端的PC。
NAT的優缺點
優點∶節省公有合法iP地址、處理地址重疊、增強靈活性、安全性
缺點∶延遲增大、配置和維護的復雜性、不支持某些應用(比如VPN)
靜態NAT
靜態NAT實現私網地址和公網地址的一對一轉換。有多少個私網地址就需要配置多少個公網地址。靜態NAT不能節約公網地址,但可以起到隱藏內部網絡的作用。
內部網絡向外部網絡發送報文時,靜態NAT將報文的源IP地址替換為對應的公網地址∶外部網絡向內部網絡發送響應報文時,靜態NAT將報文的目的地址替換為相應的私網地址。
NAT轉換過程
NAT數據包從內網到外網時,會轉換源IP地址,由私網地址轉換成公網地址
數據包從外網到內網時,會轉換目的IP地址,由公網地址轉換成內網地址
NAT配置方法
第一種:全局模式下設置靜態NAT
[R1] nat static global 8.8.8.8 inside 192.168.10.10
[R1] int g0/0/1 ###外網口
[R1-GigabitEthernet0/0/l] nat static enable ###在網口上啟動nat static enable功能
第二種:直接在接口上聲明nat static
[R1] int g0/0/1 ###外網口
[R1-GigabitEthernet0/0/1] nat static global 8.8.8.8 inside 192.168.10.10
[R1] dis nat static ###查看NAT靜態配置信息
動態NAT
動態NAT∶多個私網工P地址對應多個公網工P地址.基於地址池—對—映射
1、配置外部網口和內部網口的IP地址
2、定義合法IP地址池
[R1] nat address-group 1 212.0.0.100 212.0.0.200 ###新建一個名為1的nat地址池
3、定義訪問控制列表
[R1] acl 2000
###創建ACL,允許源地址為192.168.20.0/24網段和11.0.0.0/24的數據通過
[R1-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255
[R1-acl-basic-2000] rule permit source 11.0.0.0 0.0.0.255
4、在外網口,上設置動態IP地址轉換
[R1-acl-basic-2000] int g0/0/1 ###外網口
[R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 no-pat
###將ACL2000匹配的數據轉換為改接口的IP地址作為源地址(no pat 不做端口轉換,只做IP地址轉換,默認為pat)
[R1] dis nat outbound ###查看NAT Outbound的信息
PAT端口復用
PAT又稱為NAPT(Network Address Port Translation),它實現一個公網地址和多個私網地址之間的映射,因此可以節約公網地址。PAT的基本原理是將不同私網地址的報文的源IP地址轉換為同一公網地址,但他們被轉換為該地址的不同端口號,因而仍然能夠共享同一-地址。
PAT的作用
1、改變數據包的IP地址和端口號
2、能夠大量節約公網IP地址
PAT的類型
1、動態PAT,包含NAPT和Easy IP;
2、靜態PAT,包括NAT Server.
NAPT∶多個私網IP地址∶對應固定外網IP地址(比如200.1.1.10)。
配置方法
1、配置外部網口和內部網口的IP地址
2、定義合法IP地址池
3、[R1] nat address-group 1 200.1.1.10 200.1.1.10 ##使用一個固定IP
定義訪問控制列表
[R1] acl 2000 ###允許源地址為192.168.30.0/24網段的數據通過
[R1-acl-adv-2000] rule permit source 192.168.30.0 0.0.0.255
在外網口上設置IP地址轉換。
[R1-acl -basic- 2000] int g0/0/1 ###外網口。
[Rl-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
NAT server∶端口映射,將私網地址端口映射到公網地址,實現內網服務器供外網用戶訪問
[R1] int g0/0/1 ###返回的出口
[R1-GigabitEthernet0/0/1] nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www (公網地址)
((源地址)內網)
###在連接公網的接口上將私網服務器地址和公網地址做一對NAT映射綁定
[R1-Gigabi tEthernet0/0/1] nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www
###在連接公網的接口, 上將私網服務器地址和外網接口做一對NAT映射綁定
8080端口是被用於WWW代理服務的,可以實現網頁瀏覽,經常在訪問某個網站或使用代理服務器的時候,會加上“:8080”端口號。為了避免病毒的攻擊,可以把8080端口關閉
[R1-GigabitEthernet0/0/1] nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp
###端口為21可以直接使用關鍵字"ftp"代替
Server NAT
將外網地址轉換成綁定對應的的內網IP地址,然后再對這個內網地址轉發
