NAT地址转换服务
一.IPV4的ABC三类地址中,还存在私有ip地址与公有ip地址的区分:
公有ip地址:具有全球唯一性,可以在互联网中通讯,需要付费使用
私有ip地址:具有本地唯一性,不能在互联网中通讯,无需付费使用
私有ip地址范围:
10.0.0.0/8 172.16.0.0/16-172.31.0.0/16 192.168.0.0/24-192.168.255.0/24
二.NAT:网络地址转换
在两个独立间通信时,需要一台边界路由器,同时处于两个网络,该路由器被成为边界路由器; 该边界路由器可以进行通讯过程中的ip地址转换,来实现两个网络的互通;
nat最常使用场景:
内网(区域网、企业网、校园网)私有地址 访问 外网(internet互联网)公有地址时,两网之间存在边界路由器,在内部访问外部时,修改源ip地址,外部回应内部时修改目标ip地址;
三.分类:
动态 静态
一对一(静态) 一对多(动态) 多对多(静态、动态均可) 端口映射(静态)
配置: 所有的nat配置均在边界路由器,连接外部的接口上配置;
(1)一对一(静态):固定将一个ip地址和另一个ip地址映射,绑定
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.126
外部地址 内部地址
- 一对多(动态):将多个私有ip地址,转换为同一个公有ip地址,且可以直接转换为外网接口上配置的ip地址
多个私有ip地址同时转换为一个公有地址,只能基于端口号来进行区分;
故一对多的nat又被成为pat-端口地址转换
Easy-nat -最简单的一种一对多:
[r2]acl 2000 先使用标准ACL,将可以被转换的私有ip地址的范围定义为感兴趣流量
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
[r2-acl-basic-2000]q
[r2]interface g0/0/2 再在边界路由器,连接外部网络的接口上配置nat,调用该acl
[r2-GigabitEthernet0/0/2]nat outbound 2000 将acl表格2000中提到的私有地址,向外部通讯时,修改其源ip地址,为本地接口(g0/0/2)的ip地址
此方案最大的优势在于,g0/0/2的公有ip地址,可以变化,特别适用于没有固定公有ip地址的场所(家庭宽带、小型企业宽带)
(3)端口映射 --- 仅针对某一个ip地址的特点端口进行地址转换
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.126 80
当外网访问R2的G0/0/2口的公有ip地址时,且同时目标端口为80,那么就将目标ip修改为192.168.1.126,端口80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.2 80
当外网访问R2的G0/0/2口的公有ip地址时,且同时目标端口为8888,那么就将目标ip修改为192.168.1.2,端口80
- 多对多
[r2]nat address-group 1 12.1.1.3 12.1.1.10 先定义公有地址范围池塘
再使用acl定义私有ip地址范围
[r2]acl 2001
[r2-acl-basic-2001]rule permit source 192.168.0.0 0.0.255.255
[r2]interface g0/0/2 最后在边界路由器上,连接外部的接口上配置关联
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1
此时,相当于同时执行多个一对多;(NAPT网络地址端口转换)
切记:一旦在默认添加no-pat指令,那么不再执行端口转换,最先来的边界的几个ip地址,将公有地址池中的公有ip占用;相当于同时执行了多个一对一;
[r2-GigabitEthernet0/0/2]nat outbound 2001 address-group 1 no-pat
5747
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
