概述:将内部的网络的私网地址转换成可以访问互联网的公网IP地址,其应用于各种互联网类型的网络中,NAT 不仅解决了公网IP地址不足的问题,而且能够隐藏内部网络的细节,避免了来自网络外部的攻击,提高了安全性,
私有地址通过路由器发送数据包时,私有地址被转换成合法的的IP地址,只需要通过NAT取得少量的地址就能实现与互联网的互联通信
例如;内网地址:192.168.233.21 转换地址:10.0.0.10 目的地址;180.20.21.22
内网到外网:源;192.168.233.21
目:180.20.21.22
NAT 转换
源:10.0.0.10
目:180.20.21.22
外网到内网:源180.20.21.22
目:10.0.0.10
NAT转换
源180.20.21.22
目: 192.168.233.21
由上可得:内网到外网:经过地址转换,变化的是源IP地址
外网到内网:经过地址转换,变化的是目的IP地址
MAT分类:
静态NAT、动态NAT、Easy IP、NAPT
静态NAT转换: 将内部网络的私有IP地址转换为公有IP地址,IP地址对应关系为一对一的,不变的
借助静态转换,能实现外部网络对内部网络中某些特定设备如服务器的访问
静态地址是手动设置的方式添加的,一对一的,对资源的浪费大,不节省公网IP
动态NAT转换:再将内网地址转换为公网地址时,IP地址的对应是不确定的、随机的,可以使用多个合法地址集,也是一对一,当内部网络同时访问外网,配置的地址少于地址池里的数量时,才可使用动态转换
特点:通过随机分配,一定程度节约了资源, NAT表中的条目是路由器出炉数据包时,自动形成的,基于NAT地址池实现私有地址和共有地址之间,相对静态更加节省公网IP,
NAPT 端口地址转换:从地址池进行地址转换时,不仅转换IP地址,同时也会对端口进行转换,从而实现共有地址与私有地址1:N映射,可以优先提高公有地址利用率,
192.168.233.21——端口映射例如:1024、3458、6523、9631
192.168.233.21:1024 端口;10.0.0.10:1025
共有IP地址地址通过多端复用,实现公有地址与私有地址的1:N
Easy IP:实现原理和NAPT相同,同时转换IP地址,传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址
适用于不具备固定公网IP地址的场景,如通过DHCP、PPPo拨号获取地址的私有网路出口,可以直接使用获得的动态地址进行转换
NAT技术的优缺点:
优点:
- 节省合法的公有IP(最大优点)
- 当网络发生变化时,避免从新编地址
- 对外隐藏内部地址,增加网络安全性
缺点
- 无法从NAT的外部向内不服务器建立连接(NAT穿越)
- 转换表的生成和转换操作都会产生一定开销
- 通信过程中一旦NAT遇到一场需从新启动时所有的TCP连接都将被重置 ,即使备两台NAT做容灾备份,TCP连接还是会被断开
NAT设置的命令
静态NAT:
第一种:全局模式下设置 nat ststic globsl 8.8.8.8 inside 192.168.10.10 静态将192.168.10.10 转换成8.8.8.8
nat static enable :开启静态地址转换
第二种:在接口下声明nat static int g0/0/1
dis nat static 查看NAT 静态配置信息
动态NAT
配置外网口和内网口的IP地址
定义合法地址池:新建一个名为"1"的NAT地址池:nat address-group 1 212.0.0.100 212.0.0.200
在接口上:nat outbound 2000 address-group 1 no -pat将ACL2000匹配的数据转换位该接口的IP地址作为源地址(no pat 不做端口转换,只做IP地址转换,默认位pat)
dis nat outbound : 查看NAT outbound 的信息