NET 又称为网络地址转换,用于实现私有网络和公有网络之间的互访
私有网络地址和公有网络地址
公有网络地址(以下简称公网地址)
私有网络地址是指内部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址,不在Internet上被分配,可在一个单位或公司内部使用,
RFC1918中规定私有地址如下:
A类私有地址:10.0.0.0~192.168.255.255
B类私有地址:172.16.0.0~172.31.255.255
C类私有地址:192.168.0.0~192.168.255.255
NAT的工作原理:
-
NAR用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信(一个公网地址对应多个私网地址)
-
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而是实现数据的转发
数据包从外网到内网是,目的IP会从goon官网IP转换成私网IP(192.168.10.10)
小结:(数据是有来也有回)
数据包是从内网———>外网(会转换源IP地址,由私网地址转换成公网地址)
数据包是从外网———>内网(会转换目的IP地址,由公网地址转换成内网地址)
NAT功能:
NAT不仅解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机
1.宽带分享:这时NAT主机的最大功能
2.安全防护:NAT之内的PC练级到Internet上面时,他所显示的IP是NAT主机的公网IP,所以client段的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client的PC
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VRN)
###静态NAT
静态NAT实现私网地址和公网地址的一对一转换,有多少个私网地址就需要配置多少个公网地址
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址,外部网络向内部发送响应报文时,静态NAT将报文的目的地替换为相应的私网地址
实现私网与公网一对一得到转换;缺点:不能节约公网地址,但可以隐藏内部网络
静态NAT两种配置方法:
1.全局模式下设置静态NAT
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1]nat static enabble ##在网口上启动nat static enable 功能
nat static global +公网地址(是否可以自定义?)+inside+私网地址 ##设置静态NAT
2.直接在接口上声明nat static
[R1]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]dis nat static ###查看NAT静态配置信息
进入接口后公网地址选择自定义(不能原接口相冲)
动态NAT
动态NAT:多个私网IP地址对应多个公网IP地址,基于地址池(公网一对一映射
1.配置外部网口和内部网口的IP地址
2.定义合法IP地址池
[R1]nat addresss-group 1 212.0.0.100 21.2.0.0.200 新建一个名为1的nat地址池
3.定义访问控制列表
[R1]acl 200
###创建ACL,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
[R1-acl basic-2000]rule permit source 192.168.20.0 0.0.0.255
[R1-acl basic-2000]rule permit source 11.0.0.0 0.0.0.255
4.在外网口上设置动态IP地址转换
[R1-acl basic-2000]int g0/0/ ###外网口
[R1-GigabitEthernet0/0/1]nat outbound 2000 addresss-group 1 no-pat ###将ACL2000匹配的数据转换为改接口的IP地址作为源地址(no pat不做端口转换,制作IP地址转换,默认为pat)
多个私网IP地址对应多个公网IP地址,基于地址池(公网)一对一映射
动态访问后的nat地址池逐一增加
permit:允许
deny:拒绝
no-pat:制作地址转换,不做端口转换
acl 2000:允许通过 私网地址(2000代表IP段)
rule permit source+私网地址+反掩码
outbound 2000 addresss-group 1 no-pat ###将ACL2000匹配的数据转换为改接口的IP地址作为源地址
inbound:端口的入方向
outbound:端口的出方向
ACL访问控制列表
ACL的两种作用:
(1)用来对数据包做访问控制(丢弃或放行)
(2)结合其他协议,用来匹配范围
ACL工作原理:当数据包从接口经过时,由于接口启用了ACL,此时路由器会对报文进行检查,做出相应处理
acl种类:
基本acl(2000-2999):只能匹配ip地址
高级acl(3000-3999):可以匹配源IP、目标IP、源端口、目标端口等三层和四层的字段和协议
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息指定规则
ACL(访问控制列表)的应用原则:
基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
###acl应用原则:
1.一个接口的同一个方向,只能调用一个acl
2.一个acl里面可以有多个rule规则,按照规则IP从小到大排序,从上往下依次执行
3.数据包一旦被某rule匹配,就不再继续向下匹配
4.用来做数据包访问控制时,默认隐含放过所有(华为设备)
ACL访问控制列表
创建ACL,允许源地址网段和反掩码(/24的反掩码:0.0.0.255)通过
二、PAT端口多路复用
PAT又称为NAPT,它是实现一个公网地址和多个私网地址的映射,因此可以节约公网地址,就是将不同私网地址的报文的源IP地址转换为同一公网地址,转换为该地址的不同端口号,但仍共享同一公网地址
PAT作用:改变数据包的IP地址和端口号
能够节约大量公网IP地址
PAT类型分为两种类型:
动态PAT,包括NAPT和Easy IP
静态PAT,包括NAT Server
#NAPT多个私网IP地址:对应固定外网IP地址(例如200.1.1.10)配置与动态NAT类似
1.配置外部网口和内部网口的IP地址
2.定义合法IP地址池
[R1]nat address-group 1 200.1.1.10 200.1.1.10 ###使用一个固定IP 定义访问控制列表 [R1]acl2000 ###允许源地址为192168300/24网段的数据通过 [R1-acl-adv-2000]rule permit source 192.168.30.0 0.0.0.255 在外网口上设置IP地址转换 [R1-acl-basic-2000linta0/0/1 ###外网口. [Rl-GigabitEthernet0/0/1]nat outbound 2000 address-aroup 1
###Easy IP:多个私网IP地址对应路由器外网接口公网IP地址(例12.0.0.1)
-
配置外部网口和内部网口的IP地址
-
定义合法IP地址池
(由于直接实验外网口IP地址所以不用再定义IP地址池)
3.定义访问控制列表
[R1]acl 3000 ###允许源地址为192168300/24网段的数据通过 [R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255
4.在外网口,上设置IP地址转换 [R1]int g0/0/1 ###外网口 [R1-GigabitEthernet0/0/1]nat outbound 3000 ##当ac13000匹配的源IP数据到达此接口时,转换为该接口的IP地址做为源地址 [R1]display nat session all ##查看NAT的流表信息
###NAT server:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问 [R1]int g0/0/1 [R1-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 WWW ###在连接公网的接口上将私网服务器地址和公网地址做一对NAT映射绑定 [R1-Giqabi tEthernet0/0/1]nat server protocol tcp global current-interface 8080 inside 10.1.1.1 WWW ###在连接公网的接口,上将私网服务器地址和外网接口做一对NAT映射绑定 [Rl-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp ###端口为21可以直接使用关键字"ftp"代替
扫一扫
1273
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
