地址转换NAT原理:
对IP数据报文中的IP地址进行转换,是一种在现网中被广泛部署的技术,一般部署在网络出口设备,例如路由器或防火墙上。
一般化场景:大量用户私网访问公网,NAT提供访问给私网用户;
企业网场景:NAPT端口转换(PAT或NAPT)——地址不够用
端口范围——0~65535(0、65535不能使用)
技术:静态NAT、动态NAT、NAPT、Easy-IP、NAT Server。
一、静态NAT:
1.原理:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
(缺点:一对一对应,一个私网地址需要一个公网地址,部署成本高;主机长期离线,公网IP不可分配给其他主机使用,浪费地址,没有提高一个公网地址的利用率等问题)
2.配置示例:
方式一(接口下配置):[HW-G0/0/0] nat static global 外部公有地址 inside 内部私网地址;
方式二(系统视图下配置):[HW] nat static global xxx inside yyy,配置完后需要再具体接口下开启静态NAT([HW-G0/0/0] nat static enable)。
二、动态NAT:
1.原理:设备上存在一张NAT映射表,当内部主机访问外部网络时临时分配一个未使用的地址,并将该地址标记为“In Use”,当主机不在使用该地址,将该地址回收并标记为“Not Use”。
2.配置示例:
1)创建地址池:[HW] nat address-group 地址池编号 起始地址 结束地址。
2)配置地址转化ACL原则:[HW] acl acl编号;[HW-acl]rule permit source 源地址范围。
3)相应的出接口调用acl:[HW-g0/0/0] nat outbound acl编号 address-group 地址池编号 后面可跟no-pat(指定不进行端口转换,缺省下进行端口转换)
(注意:还是需要一对一映射,没有提供公网地址利用率问题)
三、NAPT(Network Address and Port Translation,网络地址端口转换):
在动态NAT的基础上加入端口转换,从而实现公网1对n映射,提高公网利用率。
四、Easy-IP
1.原理:现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。
2.适用场景:Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。
3.配置示例:[R1]acl acl编号;[R1-acl]rule 5 permit source 源地址 0.0.0.255(表示前24为精确匹配,后8为随机,代表一个24位地址网段)
五、NAT-Server:
1.原理:指定[公有地址:端口]与[私有地址:端口]的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提供服务时使用。 外网主机主动访问[公有地址:端口]实现对内网服务器的访问。
2.应用场景:公网地址访问私网服务器——做静态映射
3.配置示例:[R1-Gig0/0/1]nat server protocol tcp global 公网地址 inside 服务器地址 ;
(注意:ping测试不能直接ping测服务器私网IP,直接ping测出口公网IP,做了映射转到服务器)
(需要秒通,则将服务器接交换机的端口设置成启用边缘接口([Huawei-GigabitEthernet0/0/1]stp edged-port enable)——不在进行生成树计算;)
4.缺点:以上映射做法不安全(将服务器暴露在公网)
改进措施:端口映射:进入端口>[Huawei-GigabitEthernet0/0/1]nat server protocol tcp global 公网IP 协议端口号 inside 服务器IP 协议端口号;
六、其他一些涉及到的命令:
当ACL用于NAT时,默认拒绝;接入端口,调用[Huawei-GigabitEthernet0/0/1]nat outbound 2000;接口为出口路由器公网接口。
创建NAT地址池——[Huawei]nat address-group 1 1.1.1.1 2.2.2.2;
查看映射关系:
[Huawei]display nat session all;
[Huawei]display nat server;
NAT端口映射
源端口——本地区分,静态映射,端口不能重复;