NAT技术
1. NAT 技术背景
- IPv4地址枯竭已成为网络发展的瓶颈。
- IPv4, 32Bit
- 尽管IPv6可以从根本上解决IPv4地址空间不足的问题,但是目前众多的网络设备和网络应用仍是基于IPv4的。
- 因此,在IPv6广泛应用之前,一些过度技术的使用时解决这个问题的主要技术手段。
- 节约IP地址的技术
- VLSM(可变长子网掩码)
- NAT技术
2. 作用
- 网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络。
- 就是将私网地址转换成公网地址,使私网用户能够上网。
- 保证网络互通
- 节省公网地址
- 注意点:
- 用户使用的地址是私网地址,我们访问的百度服务器使用的都是公网地址,NAT一般部署在连接内网和外网的网关设备上
- 私网地址
- 10.0.0.0-10.255.255.255
- 172.16.0.0-172.32.255.255
- 192.168.0.0-192.168.255.255
- 公网地址
- 除私网地址+特殊地址外的
3. 优点
- 节约公网地址
- 保护内部的网络
- 实现IP地址复用,节约宝贵地址资源
4. 源NAT
源NAT就是指转换源IP地址,不转换目标IP地址。
4.1 静态NAT(一对一)
- 原理:实现公网地址和私网地址的一对一映射,一个公网IP只会分配给唯一固定的内网主机。即数据从局域网到公网的时候,路由器将数据包的内网IP换成公网路由器出接口公网IP。
-缺点:无法做到公网IP节约 - 命令
intterface g0/0/1 //进入接口
nat static enable //使能NAT
nat static global 200.10.10.1 inside 192.168.1.1 //数据出接口下敲,转换后的公网地址在前,转换前的私网地址在后
display nat session //查看nat情况
4.2 动态NAT(一对一,地址池)
- 原理:和静态实质是一样的,公网地址和私网地址进行一对一映射,基于地址池来实现私有地址和公有地址的转换。
- 不用一条一条指定配置转换规则,配置一个公网地址池,自动转换
- 缺点:如果有100个公网地址,则只允许100台私网主机上网,无法节约公网地址
- 命令
//配置ACL,允许哪一些私网地址进行转换
ACL 2000 //进程2000
rule 5 permit source 192.168.1.0 0.0.0.255
//定义一个公网地址池
nat address-group 1 200.10.10.1 200.10.10.200 //创建地址池1,开始地址-结束地址
//接口下进行调试
interface G0/0/0
nat outbound 2000 address-group 1 no-pat //允许ACL里面的IP,从地址池1里面匹配做NAT,no-pat必须带上,意思是不进行端口转换
//检查配置
display nat session all
4.3 NAPT(多对二)
- 原理:就是让多个私网地址能够被一个公网地址进行的不同端口转换
- 注意:这边的公网地址指的是非出接口的公网地址,端口值得就是传输层的端口概念,共65536个,取值范围0-65536,知名端口0-1023
- 缺点:必须要有两个公网地址,一个出接口公网地址,用于交互,一个用于转换的公网地址。
- 命令
- 唯一区别于动态NAT,去掉no-pat,即可
//配置ACL,允许哪一些私网地址进行转换
ACL 2000 //进程2000
rule 5 permit source 192.168.1.0 0.0.0.255
//定义一个公网地址池
nat address-group 1 200.10.10.1 200.10.10.200 //创建地址池1,开始地址-结束地址
//接口下进行调试
interface G0/0/0
nat outbound 2000 address-group 1 //允许ACL里面的IP,从地址池1里面匹配做NAT,no-pat不能带上,意思是不进行端口转换
//检查配置
display nat session all
4.4 EASY-IP(现网用的多,多对一)
- 原理:就是让多个私网地址能够被一个公网地址进行不同端口的转换
- 注意:这边的公网地址是出接口的公网地址,只需要一个公网地址就行
- 命令
//配置ACL,允许哪一些私网地址进行转换
ACL 2000 //进程2000
rule 5 permit source 192.168.1.0 0.0.0.255
//接口下进行调试
interface G0/0/0 //公网出接口
nat outbound 2000 //允许ACL里面的IP
//查看端口转换的IP地址
display nat session all
//检查配置
display nat session all
5. 目的NAT
- 原理:目标NAT就是转换目标IP地址,不转换源IP地址,通过配置NAT服务器,可以使外部用户访问用户访问内网服务器。
- 就是我们常见的服务器端端口映射
5.1 NAT-server
- 命令
interface g0/0/0
ipaddress 192.168.1.254 24
interface Serial1/0/0
ip address 200.10.10.2 24
//将服务器(192.168.1.1)的TCP 23端口映射到S1/0/0接口的9999端口
nat server protocol tcp global current-interface 9999 inside 192.168.1.1 23
- 注意
- 就是将服务器提供的 8080 服务映射到RTA公网地址200.10.10.1:80端口上面,外网的用户实际访问的就是200.10.10.1:80端口,然后路由器通过NAT Server的映射,会把请求发给服务器
- 如果服务器提供telnet服务的话,AR1这边不需要配置telnet的任何服务,外网用户可以通过telnet 200.10.10.1:9999 就可以远程到内网的服务器了。