NAT是指网络地址转换,指内网地址访问外网,私网地址访问公网等。
NAT分类:
静态NAT:内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的。
动态NAT:内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。
1.静态NAT(一对一,有多少内网地址就有多少公网地址)
配置接口(略)
[ AR1 ]ip route-static 0.0.0.0 0 12.1.1.6
[ AR1 ]int g0/0/1
[ AR1-GigabitEthernet0/0/1 ] nat static global 12.1.1.2 inside 192.168.1.2
允许内网地址192.168.1.2 在出外网时转换成公网地址 12.1.1.2。
ping测试之后查看nat 映射记录:
缺点:一对一,有多少内网地址就有多少公网地址。
静态一对一NAT映射目的:可以直接在外网通过访问公网地址来访问内网的PC。即可以将内网的地址直接映射成公网地址。
2.动态NAT(多对多,映射关系不固定,不转换端口)
本示例中,当内部主机A和主机B需要与公网中的目的主机通信时,网关RTA会从配置的公网地址池中选择一个未使用的公网地址与之做映射。每台主机都会分配到地址池中的一个唯一地址。当不需要此连接时,对应的地址映射将会被删除,公网地址也会被恢复到地址池中待用。当网关收到回包后,会根据之前的映射再次进行转换之后转发给对应主机。
动态NAT地址池中的地址用尽以后,只能等待被占用的公用IP被释放后,其他主机才能使用它来访问公网。
配置接口(略)
动态NAT配置:
[ AR1 ]acl number 2000 使用acl匹配私网地址范围
[AR1-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255
[ AR1 ]nat address-group 1 12.1.1.1 12.1.1.5 建立公网地址池
[ AR1 ]interface Gi0/0/1
[ AR1-GigabitEthernet0/0/1 ]nat outbound 2000 address-group 1 no-pat
注意:华为模拟器bug 不进行no-pat(不进行端口转换模式),去掉就是动态 NAT模式,由华为ensp模拟器不支持,所以需要去掉。真机可以。
Ping测试
查看nat 映射记录:
3.NAPT模式(多对多,映射关系不固定,转换端口)
网络地址端口转换NAPT(Network Address Port Translation)允许多个内部地址映射到同一个公有地址的不同端口。
本例中,RTA收到一个私网主机发送的报文,源IP地址是192.168.1.1,源端口号是1025,目的IP地址是100.1.1.1,目的端口是80。RTA会从配置的公网地址池中选择一个空闲的公网IP地址和端口号,并建立相应的NAPT表项。这些NAPT表项指定了报文的私网IP 地址和端口号与公网IP地址和端口号的映射关系。之后,RTA将报文的源IP地址和端口号转换成公网地址200.10.10.1和端口号2843,并转发报文到公网。当网关RTA收到回复报文后,会根据之前的映射表再次进行转换之后转发给主机A。主机B同理。
基于端口的,支持多个内网用户进行一个公网地址转换
动态NAT配置:
[ AR1 ]acl number 2000 使用acl匹配私网地址范围
[AR1-acl-basic-2000] rule 5 permit source 192.168.1.0 0.0.0.255
[ AR1 ]nat address-group 1 12.1.1.1 12.1.1.5 建立公网地址池
[ AR1 ]interface Gi0/0/1
[ AR1-GigabitEthernet0/0/1 ]nat outbound 2000 address-group 1
4.Easy ip NAT(基于接口)
工作原理:数据包在出外网时,路由器将基于源端口将报文进行相应的地址转换。并进行相应的映射记录(缓存),当报文回来时,基于端口来区分内网不同的PC。为 了防止PC源端口相同,数据出包时源端口也会被转换掉。
步骤一:
[ AR1 ]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
使用acl匹配允许被nat 转换的内网地址的网段
步骤二:
[ AR1 ]interface Gi0/0/1(公网接口)
[ AR1-GigabitEthernet0/0/1 ]nat outbound 2000 公网接口调用acl 2000
注意:easy ip nat 内网数据包出外网时全部会转换成公网接口的ip地址(12.1.1.1)。
注意:NAT天然能够保护企业内网。
5.NAT server(端口映射)
[AR1 ]interface Gi0/0/1(公网接口)
[AR1-GigabitEthernet0/0/1]nat server protocol tcp global 12.1.1.5 80 inside 192.168.1.200 80
将内网的192.168.1.200 的80端口映射成外网12.1.1.5 的 80端口
优点:将服务器放置于防火墙(路由器)的后面,通过将相关服务端口映射到防火墙(路由器)上面实现访问,服务器得到保护。更加安全!!