1.NAT技术
NAT(Network Address Translation)即网络地址转换,是指将网络地址从一个地址空间转换到另一个地址空间的技术。
2NAT技术的作用
1. 缓解IP地址短缺:通过将私有IP地址转换为公有IP地址,减少了对公有IP地址的需求,缓解了IP地址短缺的问题。
2. 提高网络安全性:NAT可以隐藏内部网络的结构和IP地址,使外部网络无法直接访问内部网络,从而提高了网络的安全性。
3. 实现网络访问控制:NAT可以控制内部网络与外部网络的访问,允许或限制特定的内部主机访问外部网络,同时也可以限制外部网络对内部网络的访问。
3.NAT技术的分类
1. 静态转换:将内部网络的私有IP地址与公有IP地址进行一对一的固定映射。
2. 动态转换:根据内部网络主机的请求,动态地将私有IP地址转换为公有IP地址。
3. 端口多路复用:通过使用端口号来区分不同的内部网络主机,实现多个私有IP地址共享一个公有IP地址。
4.实验案例
如图所示
1.静态NAT地址转换基本配置
华为----------------------------------------------------------------------------------------
#全局模式
nat static global 192.168.1.3 inside 192.168.100.3 netmask 255.255.255.255 --> 将内网地址192.168.100.3地址转换成公网地址192.168。1.3
nat static global 192.168.1.4 inside 192.168.200.4 netmask 255.255.255.255 --> 将内网地址192.168.200.4地址转换成公网地址192.168。1.4
interface GigabitEthernet0/0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
nat static enable --> 开启接口静态NAT
#接口模式下
interface GigabitEthernet0/0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
nat static global 192.168.1.3 inside 192.168.100.3 netmask 255.255.255.255 --> 将内网地址192.168.100.3地址转换成公网地址192.168。1.3
nat static global 192.168.1.4 inside 192.168.200.4 netmask 255.255.255.255--> 将内网地址192.168.200.4地址转换成公网地址192.168。1.4
华三--------------------------------------------------------------------------------------
nat static outbound 192.168.1.3 192.168.100.3 --> 将内网地址192.168.100.3地址转换成公网地址192.168。1.3
nat static outbound 192.168.1.4 192.168.400.3 --> 将内网地址192.168.200.4地址转换成公网地址192.168。1.4
interface GigabitEthernet 0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
nat static enable --> 开启接口静态NAT
锐捷----------------------------------------------------------------------------------------
ip nat inside source static 192.168.100.3 192.168.1.3 permit-inside --> 将内网地址192.168.100.3地址转换成公网地址192.168。1.3
ip nat inside source static 192.168.200.4 192.168.1.4 permit-inside --> 将内网地址192.168.200.4地址转换成公网地址192.168。1.4
interface GigabitEthernet 0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
ip nat outside --> 配置该接口为NAT外网口
interface GigabitEthernet 0/0 --> 进入接口
ip nat inside --> 配置该接口为NAT内网口
2.动态NAT地址转换基本配置
华为----------------------------------------------------------------------------------------
nat address-group 1 192.168.1.10 192.168.1.100 --> 定义NAT地址池
acl number 3000 --> 创建ACL匹配列表
rule 5 permit ip --> 定义允许NAT地址(我这里全部地址转换)
interface GigabitEthernet 0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
nat outbound 3000 address-group 1 --> 定义匹配列表对应NAT地址池
华三----------------------------------------------------------------------------------------
nat address-group 1 --> 创建NAT地址池组
address 192.168.1.10 192.168.1.100 --> 定义NAT地址池
acl advanced 3000 --> 创建ACL匹配列表
rule 0 permit ip --> 定义允许NAT地址(我这里全部地址转换)
interface GigabitEthernet 0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
nat outbound 2000 address-group 1 --> 定义匹配列表对应NAT地址池
锐捷----------------------------------------------------------------------------------------
ip nat inside source list 100 pool ruijie overload --> 允许ACL访问列表通过NAT 访问
ip nat pool ruijie netmask 255.255.255.0 --> 创建NAT与ACL绑定关系列表
address 192.168.1.10 192.168.1.100 match interface gigabitEthernet 0/1 --> 定义NAT地址池并绑定端口
ip access-list extended 100 --> 创建ACL匹配列表
10 permit ip any any --> 定义允许NAT地址(我这里全部地址转换)
interface GigabitEthernet 0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
ip nat outside --> 配置该接口为NAT外网口
interface GigabitEthernet 0/0 --> 进入接口
ip nat inside --> 配置该接口为NAT内网口
3. 端口多路复用基本配置
华为&华三-----------------------------------------------------------------------------------
acl number 3000 --> 创建ACL匹配列表
rule 5 permit ip --> 定义允许NAT地址(我这里全部地址转换)
interface GigabitEthernet 0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
nat outbound 3000 --> 定义匹配列表转为为该接口NAT公网地址
锐捷----------------------------------------------------------------------------------------
ip nat inside source list 100 interface gigabitEthernet 0/1 overload --> 定义匹配列表转为为该接口NAT公网地址
ip access-list extended 100 --> 创建ACL匹配列表
10 permit ip any any --> 定义允许NAT地址(我这里全部地址转换)
interface GigabitEthernet 0/1 --> 进入接口
ip address 192.168.1.2 255.255.255.0 --> 配置运营商给的公网地址
ip nat outside --> 配置该接口为NAT外网口
interface GigabitEthernet 0/0 --> 进入接口
ip nat inside --> 配置该接口为NAT内网口
4.公网映射 --> 将内部服务器通过路由器映端口射到公网,使能外网能访问内网服务器
华为&华三-----------------------------------------------------------------------------------
interface GigabitEthernet 0/1
nat server protocol tcp global <公网地址> <端口号> inside <私网地址> <端口号>
锐捷----------------------------------------------------------------------------------------
ip nat inside source static tcp <私网地址> <端口号> <公网地址> <端口号> permit-inside
5.补充
1.出口路由对接运营商时必须写默认路由,即运营商给个公网地址下一跳。
2.运营商给的带宽由静态IP地址(公网专线)、动态IP地址(光猫拨号)、路由器PPPoE拨号(光猫透传)
3.查看NAT地址转换表命令
华为&华三-----------------------------------------------------------------------------------
display nat session all
锐捷----------------------------------------------------------------------------------------
show ip nat translation