目录
#本文为读书笔记
NAT介绍
借助于NAT技术,私有地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的公有IP地址,而一个局域网只需使用少量公有IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
1.宽带分享:这是 NAT 主机的最大功能。
2.解决lP地址不足:通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用的IP地址空间的枯竭。
3.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行端口扫描的时候,就侦测不到源Client 端的 PC ,还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
NAT实现的三种方式:
1.静态转换Static Nat即SAT:私有IP转公有IP,IP地址一对一,即某一私有IP转为某一公有IP。
2.动态转换Dynamic Nat即DAT:私有IP转公有IP,本质也是一对一转换,只是转换的公有IP地址不确定,常见是多对多,即内网地址通过一个公有IP地址池进行转换。
3.端口多路复用,即PAT:也叫端口地址转换。所有内部网络的主机均可共享一个合法外部IP地址实现对Internet的访问,也就是只要一个公有IP即可实现内部所有电脑的上网。PAT会维护一个映射表,通过端口号区分内部主机请求。不仅可以最大限度地节约IP地址资源,同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。故目前网络中应用最多的就是端口多路复用方式。
NAT配置
1>静态NAT:
主要介绍R1的配置:
R1(config)#interface fastethernet 0/0
R1(config-if)#ip address 200.11.2.1 255.255.255.0
R1(config-if)#ip nat outside #这个一定要配,用于确定内部或外部端口
R1(config)#interface fastethernet 0/1
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#ip nat inside #这个一定要配,用于确定内部或外部端口
R1(config)#ip nat inside source static 192.168.1.1 200.11.2.1 #配置静态NAT地址转换,将192.168.1.1转换为出接口地址;
R1(config)#ip route 0.0.0.0 0.0.0.0 200.11.2.2 #一般公司的出口防火墙/路由器会配一条默认路由,指向公网;
实验结果,抓包分析:
配置NAT之后:(公司内网访问公网对端IP)
2>动态NAT:
R1(config)#interface fastethernet 0/0
R1(config-if)#ip address 200.11.2.1 255.255.255.0
R1(config-if)#ip nat outside #这个一定要配,用于确定内部或外部端口
R1(config)#interface fastethernet 0/1
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#ip nat inside #这个一定要配,用于确定内部或外部端口
R1(config)#ip route 0.0.0.0 0.0.0.0 200.11.2.2 #一般公司的出口防火墙/路由器会配一条默认路由,指向公网;
R1(config)#access-list 1 permit host 192.168.1.0 0.0.0.255 #允许1.0网段通过NAT转换通信;
R1(config)#ip nat pool test 200.11.2.2 200.11.2.5 netmask 255.255.255.0 #配置动态转换地址池。共4个公网IP,可提供四台内部机器同时上网;
R1(config)#ip nat inside source list 1 pool test #配置动态NAT转换;
实验结果:
192.168.1.1和192.168.1.2能ping通192.168.10.1
3>端口转换:
R1(config)#interface fastethernet 0/0
R1(config-if)#ip address 200.11.2.1 255.255.255.0
R1(config-if)#ip nat outside #这个一定要配,用于确定内部或外部端口
R1(config)#interface fastethernet 0/1
R1(config-if)#ip address 192.168.1.254 255.255.255.0
R1(config-if)#ip nat inside #这个一定要配,用于确定内部或外部端口
R1(config)#ip route 0.0.0.0 0.0.0.0 200.11.2.2 #一般公司的出口防火墙/路由器会配一条默认路由,指向公网;
R1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
R1(config)#ip nat inside source list 1 interface fastEthernet 0/0 overload