本文详细介绍了网络地址转换(NAT)、访问控制列表(ACL)和端口多路复用(PAT)的概念与应用。NAT用于解决IP地址不足问题,分为静态NAT和动态NAT,而PAT则能进一步节省公网IP地址。ACL则用于数据包的访问控制,提供安全防护。此外,文章还涵盖了NATServer配置,用于端口映射,便于内网服务器供外网访问。
目录
一、NAT
NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。
私有地址:私有网络地址是指內部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP地址保留用作私网地址不在Internet上被分配,可在一个单位或公司内部使用。
A类私有地址:10.0.0.0~10.255.255.255 /8
B类私有地址:172.16.0.0~172.31.255.255 /16
C类私有地址:192.168.0.0~192.168.255.255 /24
NAT工作原理
NAT是通过公网转私网(走专线从公网IP转私网IP),用来将内网地址与端口号转为合理的公网地址和端口号,建立一个会话与公网进行通信(一个公网地址对应多个私网地址)
总结:
数据有来有回
NAT数据包从内网到外网是,会转换成IP地址,由私网地址转换成公网地址
数据包从外网到内网时,会转换成目的IP地址,有公网地址转换成私网地址
NAT功能
NAT不仅能解决IP地址不足的问题,而且还能够有效避免来自网络外部的入侵,隐藏并保护网络内部的计算机
1.宽带分享:这是NAT主机的最大功能
2.安全防护:NAT之内的PC联机到Internet 上面时,他所显示的IP时NAT主机的公网IP所以client端的PC就具有一定程度的安全,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC。
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时,静态NAT将报文的源Ip地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。
配置方法:
1.全局模式下设置静态NAT
[R1]nat static global 8.8.8.8 inside 192.168.10.10
[R1] int g0/0/1 (外网口)
[R1-GigabitEthernet0/0/1] nat static enable (在网口上启动nat static enable功能)
2.在接口上声明nat static
[R1] int g0/0/1 (外网口)
[R1-GigabitEthernet0/0/1] nat static global 8.8.8.8 inside 192.168.10.10
[R1] dis nat static ( 查看NAT静态配置信息)
动态NAT
动态NAT:多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
1、配置外部网口和内部网口的IP地址
2、定义合法IP地址池
[R1]nat address-group1 21.0.0.100 21.0.0.200 ###新建一个名为1的nat地址池 ,范围是21.0.0.100到21.0.0.200
3、定义访问控制列表[R1]acl 2000
(创建ACL,允许源地址为192168.20.0/24网段和11.0.0.0/24的数据通过)
[R1-acl-basic-20001]rule permit source 192.168.20.0 0.0.0.255 允许源IP为192.168.20.0的数据通过(把permit换成deny则是拒绝)
[R1-acl-basic-2000]rule permit source 11.0.0.0.0.0.0.255
4、在外网口,上设置动态IP地址转换
[R1-acl-basic-2000]int g0/0/1 (外网口)
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group1no-pat ( 将ACL2000匹配的数据转换为改接口的IP地址作为源地址(no pat不做端口转换,只做IP地址转换,默认为pat)
二、ACL访问控制表
1.ACL的两种作用:
用来对数据包做访问控制(丢弃或放行)
结合其协议用来匹配范围
2.ACL工作原理:
数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后 做出相应的处理
3.ACL种类:
基本acl (2000-2999):只能匹配源IP地址
高层acl (3000-3999):可以匹配源ip、源端口、目标端口等三层和四层的字段和协议
二层acl (4000-4999):根据数据包的源MAC地址、目的MAC弟子、802.1q优先级、二层协议 类型等二层信息制定规则
4.ACL的应用规则:
一个接口的同一个方向,只能调用一个acl
一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
数据包一日被某rule匹配,就不再继续向下匹配
用来做数据包访问控制时,默认隐含放过所有(华为设备)
创建ACL的命令
[Huawei] acl number 2000 (创建 acl 2000)
[Huawei-acl–basic- 2000] rule 5 deny source 192.168.1.1 0 (拒绝源地址为192.168.1.1的流量0代表仅此一台,5是这条规则的序号(可不加)
三、PAT端口多路复用
PAT又称为NAPT(Network Address PortTranslation),它现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址。PAT的基本原理是将不同私网地址的报文的源IP地址转换为同一公网地址,但他们被转换为该地址的不同端口号,因而仍然能够共享同一地址。
1.PAT作用:
改变数据包的ip地址和端口号
能够大量节约公网IP地址。
2.PAT类型
动态PAT:包括NAPT和EasyIP
静态PAT:包括NAT Server
3.NAPT配置
NAPT:多个私网p地址:对应定外网IP地址(比如200.1.1.10),配置方法与动态NAT类似
配置外部网口和内部网口的IP地址
定义合法IP地址池
[R1]nat address-group 1 200.1.1.10 200.1.1.10 (使用一个固定IP 定义访问控制列表)[R1]acl2000 (允许源地址为192168300/24网段的数据通过)
[R1-acl-adv-2000]rule permit source 192.168.30.0 0.0.0.255 ( 在外网口上设置IP地址转换)
[R1-acl-basic-2000linta0/0/1 (外网口)
[Rl-GigabitEthernet0/0/1]nat outbound 2000 address-aroup 1
4.Easy IP配置
EasyIp:多个私网IP地址对应路由器外网接口公网IP地址(比如12.0.0.1)配置外部网口和内部网口的IP地址
定义合法IP地址池
由于直接实验外网口IP地址所以不用再定义IP地址池
定义访问控制列表
[R1]acl 3000 (允许源地址为192168300/24网段的数据通过)
[R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255 (在外网口,上设置IP地址转换)
[R1]int g0/0/1 (外网口)
[R1-GigabitEthernet0/0/1]nat outbound 3000 (当ac13000匹配的源IP数据到达此接口时,转换为该接口的IP地址做为源地址)
[R1]display nat session all (查看NAT的流表信息)
5.NAT Server配置
NAT server:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问
[R1]int a0/0/1
[R1-GigabitEthernet0/0/11nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 WWW###在连接公网的接口上将私网服务器地址和公网地址做一对NAT映射绑定
[R1-Giaabi LEthernet0/0/1nat server protocol tep global current-interface 8080 inside 10.1.1.1 www##在连接公网的接口,上将私网服务器地址和外网接口做一对NAT映射绑定
[R1-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp###端口为21可以直接使用关键字"ftp"代替
扫一扫
973
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
