在ipv4的地址中,存在ABC三类的单播地址;另ABC三类地址中还存在私有ip和公有ip的区别:
私有ip: 具有本地唯一性,不能在互联网中通讯,无需付费使用
公有ip:具有全球唯一性,可以在互联网中通讯,需要付费使用
私有ip地址:
10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
NAT:网络地址转换
边界路由器将流量向互联网转发时,进行ip地址转换,将数据包中的私有ip地址,转换为公有ip地址;从内网向外网转发时,修改源ip地址,生成记录;再外网收到内网的请求后,进行回复,流量回到边界路由器上后,边界路由器基于目标ip,查询记录转换目标ip地址;
红色字体中的规则仅限于特定的几种转发方式;
名词:一对一 一对多 多对多
动态 静态
全局(公有) 内部(私有)
华为—不需要在边界路由器上各个接口定义方向的,但nat在边界路由器上的外部接口上配置
1、静态nat -- 和cisco中的一对一一致
[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
公有 私有
[RTA]display nat static
2、动态nat – 和cisco的多对多相同
[RTA]nat address-group 1 200.10.10.1 200.10.10.200 公有ip范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有ip范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 在连接互联网的公有ip地址接口配置
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
私有 公有
切记:携带no-pat为静态多对多;不携带为动态多对多;
[RTA]display nat address-group 1
3、easy nat和cisco中的一对多相同:PAT 端口地址转换
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 私有
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 该接口为公有ip地址所在接口;
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound
4、nat服务器:和cisco的端口映射相同
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0 该接口为连接公网的接口
nat server protocol tcp global current-interface www inside 192.168.3.254 www
nat server protocol tcp global current-interface 8080 inside 192.168.3.253 www
在IP地址空间的A,B,C三类单播地址中,各有一部分地址,他们被称为私有地址(或私网IP地址),其余的都称为公有地址(公网IP地址)。
A:10.0.0.0 - 10.255.255.255 --- 相当于一个A类的网段
B:172.16.0.0 - 172.31.255.255 --- 相当于16个B类的网段
C:192.168.0.0 - 192.168.255.255 --- 相当于256个C类的网段
私网IP地址具有可复用性但是不允许私网IP地址在互联网(公网)使用。
我们习惯将使用私网IP地址通讯的网络称为私网,并且私网IP地址在私网内部需要保证唯一性,使用公网IP地址通讯的网络称为公网。
NAT --- 网络地址转换 --- 他的基本作用就是实现私网IP地址和公网IP地址之间的转换。
华为设备所有NAT相关配置,都是在边界路由器(公网和私网的交界处的路由)的出接口上配置。
NAT的四种应用:
静态NAT 动态NAT NAPT 端口映射
1、静态NAT 一对一NAT
静态NAT简单来说,就是通过配置在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表反应了公网IP地址和私网IP 地址之间一一对应的映射关系。
静态NAT配置
[r2-GigabitEthernet0/0/2]nat static global 12.0.0.3 inside 192.168.1.2 --- 将内网的192.168.1.2映射到12.0.0.3,12.0.0.3为r2 g0/0/2 接口的IP地址
注:公网ip不能用12.0.0.1(正在使用的接口),因为万一路由器就只是单纯的想给12.0.0.1发数据包,路由器还是会把数据包的目标ip改成私网ip
global 后+公网ip inside 后+私网ip
边界路由器的出接口上的公网ip地址要求:
1、必须属于公网IP地址网段中的一个
2、必须是花钱从运营商处买来(授权)的地址
[r2]display nat static --- 查看静态地址映射表
12.0.0.3 --- 这个地址我们称为 --- 漂浮地址 --- 当通过ARP请求一个漂浮地址时,他将返回其对应物理接口的MAC地址。
2、动态NAT --- 多对多
动态NAT的配置
1、创建公网IP组
[r2]nat address-group 0 12.0.0.4 12.0.0.8 --- 创建组0,包含12.0.0.4到12.0.0.8地址
公网IP地址必须是连续的并且是经过ISP(运营商)授权的
2、利用ACL抓取感兴趣流
[r2]acl 2000 --- 创建基本ACL
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255 --- 允许192.168.0.0网段通过
3、将公网IP组和ACL抓取的流量对应
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0 no-pat --- 将ip组与流量绑定
注意:动态NAT需要加no - pat
动态NAT在同一时间内也是一个一对一的NAT,当上网流量过大时,将会造成延迟升高的现象。
3、NAPT ---- 网络地址端口映射 --- PAT
可以实现一个公网IP地址对应多个私网IP地址的效果,最多同一时间允许通过65535个数据包。
一对多的NAT ---- EASY IP
EASY IP 配置
1、利用ACL抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2、在接口上配置EASY IP
[r2-GigabitEthernet0/0/2]nat outbound 2000
多对多的NAPT配置
1、创建公网IP组
[r2]nat address-group 0 12.0.0.4 12.0.0.8
公网IP地址必须是连续的并且是经过ISP授权的。
2、利用ACL抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
3、将公网IP组和ACL抓取的流量对应
[r2-GigabitEthernet0/0/2]nat outbound 2000 address-group 0
注:此处不需要加no-pat
4、端口映射
配置
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80