NAT网络地址转化
文章目录
随着Internet的发展和网络应用的增多,IF4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但目前众多的网络设备和网络应用仍是基于IPv4的,因此在IPv6广泛应用之前,一些过渡技术的使用是解决这个问题的主要技术手段。
网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转换为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
应用场景:
- 企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由。
- NAT一般部署在连接内网秘外网的网关设备上。
NAT实现方法和工作过程
NAT的特性
优点:节省公有合法工P地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
NAT的工作原理:
-
NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
-
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发
跨2个不同网络可以存在重复地址
NAT功能:
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
1.宽带分享:这是NAT主机的最大功能
2.安全防护:NAT之内的Pc联机到Internet.上面时,他所显示的IP是NAT主机的公网IP,所以client端的Pc就具有一定程度的安全
了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的Pc。
静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。
有2种配置方法:
第一种:
全局模式下设置静态NAT
[R1]nat static global 30.0.0.5 inside 192.168.10.10
[R1]intg0/0/1###外网口
[R1-GigabitEthernet0/0/1]nat static enable
###在网口上启动nat static enable.功能
第二种:直接在接口上声明nat static
[R1]intg0/0/1###外网口
[R1-GigabitEthernet0/0/1]nat static global 30.0.0.7 inside 192.168.10.10
[R1-GigabitEthernet0/0/1]undo shut
[R1]dis nat static
###查看NAT静态配置信息
动态NAT
二、动态NAT一PAT(多个内网地址对多个公网地址)
R1
<Huawei>u t m
Info:Current terminal monitor is off.
<Huawei>sys
Enter system view,return user view with Ctrl+Z.
[Huawei]sys r1
[r1]intg0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown
Info:Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]q
[r1]intg0/0/1
[r1-GigabitEthernet0/0/1]ip add 202.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info:Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
#nat 分组(映射的外网IP范围)
[r1]nat address-group 1 200.10.100.10 200.10.100.20
#ACL访问控制
[r1]ac1 2000
#PS:ac1 (2000-2999):只能匹配源ip地址
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r1-acl-basic-2000]q
[r1]intg0/0/1
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
[r1-GigabitEthernet0/0/1]display nat outbound
小结:
映射出去的地址池(范围段)
ACL规则,允许哪些主机出去
需要确定在哪个网络接口(路由接口)应用这个规则
判断是出口方向还是进口方向
Easyip(多个内网地址对一个接口)
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sys r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 202.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ##定义规则
[r1-acl-basic-2000]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]nat outbound 2000 ## 指向出去位置
[r1-GigabitEthernet0/0/1]display nat outbound
NAT Outbound Information:
--------------------------------------------------------------------------
Interface Acl Address-group/IP/Interface Type
--------------------------------------------------------------------------
GigabitEthernet0/0/1 2000 202.10.100.1 easyip
--------------------------------------------------------------------------
Total : 1
静态PAT(一对一,但是外网口IP和服务映射网内网服务器的IP和服务)
R1
<Huawei>u t m
Info: Current terminal monitor is off.
<Huawei>sys
Enter system view, return user view with Ctrl+Z.
[Huawei]sysname r1
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 200.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
[r1]ip route-static 0.0.0.0 0 200.10.100.2##配置一个静态路由(因为跨网段了)
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]at server protocol tcp global 200.10.100.254 21 inside 200.10.100.2 21
###映射一个服务 TCP协议 在全局模块中
[r1-GigabitEthernet0/0/1]display nat server
Nat Server Information:
Interface : GigabitEthernet0/0/1
Global IP/Port : 200.10.100.254/21(ftp)
Inside IP/Port : 200.10.100.2/21(ftp)
Protocol : 6(tcp)
VPN instance-name : ----
Acl number : ----
Description : ----
Total : 1
[ar1-GigabitEthernet0/0/1]
[r1-GigabitEthernet0/0/1]q
[r1]nat alg all enable
#FTP服务默认数据端口没有开启,需要手动去开:
R2
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 202.10.100.3 24
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[ISP-GigabitEthernet0/0/0]q
[ISP]ip route-static 15.0.0.10 32 202.10.100.1
AR1
<AR1>ftp 200.10.100.254
Connected to 200.10.100.254
220 FtpServerTry FtpD for free
Uger(200.10.100.254:(none):
331 Password required for
Enter password:
230 User logged in progeed
ls ##查看当前目录下的文件
小结:
NAT 是对内网IP/PORT 转换为外网IP/PORT 的一种映射的技术
NAT 的作用:
① 节省ipv4地址(跨2个网络环境的IP就可以借助于NAT的技术来支持重复IP)
② 安全性(让外网网络设备无法直接获取内网的IP/PORT)
③ 灵活性
NAT 常用的方式:
① EasyIP ——》EIP : 一组内网地址映射为一个外网接口IP
场景:常规企业的公网IP 例如www.baidu.com 域名对应的IP
② 静态NAT
③ 静态PAT
④ 动态NAT-PAT
2 - 4 主要用于公司内部进行划分
NAT 配置:
两种方式:一种在系统视图模式配置
一种在接口模式中配置
如果想要可以ping 通来交互,那么需要配置ACL
ACL 范围:
基本acl (2000-2999) :只能匹配源ip地址。 (与接口中的outbound 和inbound(方向)来配合)
高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。
小结:
NAT是对内网IP/PORT转换为外网IP/PORT的一种映射的技术
-
NAT的作用:
节省ipv4地址(跨2个网络环境的IP就可以借助于NAT的技术来支持重复IP) -
安全性(让外网网络设备无法直接获取内网的IP/PORT)
-
灵活性
NAT常用的方式:
①EasyIP-》
EIP:一组内网地址映射为一个外网接口IP
场景:常规企业的公网IP例如www.baidu.com域名对应的IP
②静态NAT
③静态PAT
④动态NAT-PAT
2-4主要用于公司内部进行划分
ACL范围:
基本acl(2000-2999):只能匹配源ip地址。(与接口中的outbound和inbound(方向)来配合)
高级acl(3000-3999):可以匹配源ip、月标ip、源端口、月标端口等三层和四层的字段和协议。
三层ACL(4000-4999):根据数据包的源MAc地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。
