NAT技术小结及配置
NAT技术
- 1. NAT 技术背景
- 2. 作用
- 3. 优点
- 4. 源NAT
- 4.1 静态NAT(一对一)
- 4.2 动态NAT(一对一,地址池)
- 4.3 NAPT(多对二)
- 4.4 EASY-IP(现网用的多,多对一)
- 5. 目的NAT
- 5.1 NAT-server
1. NAT 技术背景
- IPv4地址枯竭已成为网络发展的瓶颈。
- IPv4, 32Bit
- 尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但是目前众多的网络设备和网络应用仍是基于IPv4的。
- 因此,在IPv6广泛应用之前,一些过度技术的使用时解决这个问题的主要技术手段。
- 节约IP地址的技术
- VLSM(可变长子网掩码)
- NAT技术
2. 作用
- 网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络。
- 就是将私网地址转换成公网地址,使私网用户能够上网。
- 保证网络互通
- 节省公网地址
- 注意点:
- 用户使用的地址是私网地址,我们访问的百度服务器使用的都是公网地址,NAT一般部署在连接内网和外网的网关设备上
- 私网地址
- 10.0.0.0-10.255.255.255
- 172.16.0.0-172.32.255.255
- 192.168.0.0-192.168.255.255
- 公网地址
- 除私网地址+特殊地址外的
3. 优点
- 节约公网地址
- 保护内部的网络
- 实现IP地址复用,节约宝贵地址资源
4. 源NAT
源NAT就是指转换源IP地址,不转换目标IP地址。
4.1 静态NAT(一对一)
- 原理:实现公网地址和私网地址的一对一映射,一个公网IP只会分配给唯一固定的内网主机。即数据从局域网到公网的时候,路由器将数据包的内网IP换成公网路由器出接口公网IP。
-缺点:无法做到公网IP节约 - 命令
intterface g0/0/1 //进入接口
nat static enable //使能NAT
nat static global 200.10.10.1 inside 192.168.1.1 //数据出接口下敲,转换后的公网地址在前,转换前的私网地址在后
display nat session //查看nat情况
4.2 动态NAT(一对一,地址池)
- 原理:和静态实质是一样的,公网地址和私网地址进行一对一映射,基于地址池来实现私有地址和公有地址的转换。
- 不用一条一条指定配置转换规则,配置一个公网地址池,自动转换
- 缺点:如果有100个公网地址,则只允许100台私网主机上网,无法节约公网地址
- 命令
//配置ACL,允许哪一些私网地址进行转换
ACL 2000 //进程2000
rule 5 permit source 192.168.1.0 0.0.0.255
//定义一个公网地址池
nat address-group 1 200.10.10.1 200.10.10.200 //创建地址池1,开始地址-结束地址
//接口下进行调试
interface G0/0/0
nat outbound 2000 address-group 1 no-pat //允许ACL里面的IP,从地址池1里面匹配做NAT,no-pat必须带上,意思是不进行端口转换
//检查配置
display nat session all
4.3 NAPT(多对二)
- 原理:就是让多个私网地址能够被一个公网地址进行的不同端口转换
- 注意:这边的公网地址指的是非出接口的公网地址,端口值得就是传输层的端口概念,共65536个,取值范围0-65536,知名端口0-1023
- 缺点:必须要有两个公网地址,一个出接口公网地址,用于交互,一个用于转换的公网地址。
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xmD1QOAM-1587973673126)(_v_images/20200327145905015_18385.png)]](https://img-blog.csdnimg.cn/20200427155131585.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2RvdWJsZWRTUw==,size_16,color_FFFFFF,t_70)
- 命令
- 唯一区别于动态NAT,去掉no-pat,即可
//配置ACL,允许哪一些私网地址进行转换
ACL 2000 //进程2000
rule 5 permit source 192.168.1.0 0.0.0.255
//定义一个公网地址池
nat address-group 1 200.10.10.1 200.10.10.200 //创建地址池1,开始地址-结束地址
//接口下进行调试
interface G0/0/0
nat outbound 2000 address-group 1 //允许ACL里面的IP,从地址池1里面匹配做NAT,no-pat不能带上,意思是不进行端口转换
//检查配置
display nat session all
4.4 EASY-IP(现网用的多,多对一)
- 原理:就是让多个私网地址能够被一个公网地址进行不同端口的转换
- 注意:这边的公网地址是出接口的公网地址,只需要一个公网地址就行
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-VWwKaf6U-1587973673129)(_v_images/20200327155838518_15711.png)]](https://img-blog.csdnimg.cn/20200427155155429.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2RvdWJsZWRTUw==,size_16,color_FFFFFF,t_70)
- 命令
//配置ACL,允许哪一些私网地址进行转换
ACL 2000 //进程2000
rule 5 permit source 192.168.1.0 0.0.0.255
//接口下进行调试
interface G0/0/0 //公网出接口
nat outbound 2000 //允许ACL里面的IP
//查看端口转换的IP地址
display nat session all
//检查配置
display nat session all
5. 目的NAT
- 原理:目标NAT就是转换目标IP地址,不转换源IP地址,通过配置NAT服务器,可以使外部用户访问用户访问内网服务器。
- 就是我们常见的服务器端端口映射
5.1 NAT-server
- 命令
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RSYfmvvU-1587973673136)(_v_images/20200327165928772_28899.png)]](https://img-blog.csdnimg.cn/2020042715522165.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2RvdWJsZWRTUw==,size_16,color_FFFFFF,t_70)
interface g0/0/0
ipaddress 192.168.1.254 24
interface Serial1/0/0
ip address 200.10.10.2 24
//将服务器(192.168.1.1)的TCP 23端口映射到S1/0/0接口的9999端口
nat server protocol tcp global current-interface 9999 inside 192.168.1.1 23
- 注意
- 就是将服务器提供的 8080 服务映射到RTA公网地址200.10.10.1:80端口上面,外网的用户实际访问的就是200.10.10.1:80端口,然后路由器通过NAT Server的映射,会把请求发给服务器
- 如果服务器提供telnet服务的话,AR1这边不需要配置telnet的任何服务,外网用户可以通过telnet 200.10.10.1:9999 就可以远程到内网的服务器了。
本文来自互联网用户投稿,文章观点仅代表作者本人,不代表本站立场,不承担相关法律责任。如若转载,请注明出处。 如若内容造成侵权/违法违规/事实不符,请点击【内容举报】进行投诉反馈!