什么是NAT
NAT 即 网络地址转换,用来转换 私有IP地址和公有IP地址,这个转换服务在路由器中进行。
NAT,就是为IPV4协议的应用产生的,NAT的转换服务是为了节约数量有限的IPV4公有IP地址。
核心:把内网地址转化为可以访问外网的IP地址
总结:
从内网——>外网,变化的是源IP地址
从外网——>内网,经地址转换,变化的是目的IP地址
NAT的功能
NAT不仅能解决IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
1.宽带分享: NAT 主机的主要功能。
2.安全防护: NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC
私有IP地址/内网地址:
属于非注册地址/内网地址,不能通过私有IP地址直接访问互联网,私有IP地址只能在内部只有,例如在家中、学校、企业等
路由器会给网络内部的设备分配一个私有IP地址
公有IP地址、公网地址:
其属于注册地址,可以直接访问互联网/外网
当学校或者企业的网络设备想要访问互联网时,路由器在内部就会将它们的私有IP地址进行转换,转换成互联网服务提供商分配的公有IP地址。
当互联网上的某台计算机A想要和私有网络中的设备进行通信,那么此时的路由器就会将计算机A发来的公有IP地址转换为设备的私有IP地址
NAT功能图例
NAT的实现方式
静态NAT :
私网地址和公网地址一对一,其有两种配置方式
1.全局模式下设置静态NAT:
2.直接在接口上声明:
静态NAT配置图例:
动态NAT:
多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
1.配置外部网口和内部网口的IP地址
2.定义合法IP地址池:
(R1) nat address-group 1 10.0.0.100 10.0.0.150 新建一个名为1的nat地址池
3.定义访问控制列表
(R1)acl 2000
创建ACL,允许源地址为192.168.1.0 /24网段和10.0.0.0 /24 的数据通过
[Huawei-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[Huawei-acl-basic-2000]rule permit source 10.0 0.0 0.0.0.255
动态nat,通过设置地址池:
Easy IP
演示图例:
在路由器AR1中配置两个接口的IP地址
设置一个高级acl来限制192.168.1.0这个网段可通过
在对应接口处用nat方法设置easy ip 的方法 来确定IP地址转换就用一个地址
测试:内网的主机和客户端ping向外网的服务器
抓包看出所有转换的公网IP地址都为设置公网接口的IP地址
NAPT.
NAPT与Esay IP的方法类似,但是增加了地址池的概念。
NAT特点
NAT的优点:
网络发生变化时,避免重新编址
节省合法的公有ip地址(太贵,省钱)
当地址重叠时,提供出解决办法
NAT的缺点:
无法进行端到端的ip跟踪(破坏了端对端通信的平等性)
很多应用层协议无法识别(比如ftp协议 )