NAT —— Network Address Translation,网络地址转换
NAT技术
网络地址转换方法是在1994年提出的。这种方法需要在专用网连接到互联网的路由器上安装NAT软件。装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址。这样,所有使用本地地址主机在和外界通信时,都在NAT路由器上将其本地地址转换成全球IP地址,才能和互联网连接。提示:以下是本篇文章正文内容,下面案例可供参考
零、工作原理
具体可参考:华为文档-技术指导
一、源NAT
基于源IP地址的NAT是指对发起连接的IP报文头中的源地址进行转换。它可以实现内部用户访问外部网络的目的。通过将内部主机的私有地址转换为公有地址,使一个局域网中的多台主机使用少数的合法地址访问外部资源,有效的隐藏了内部局域网的主机IP地址,起到了安全保护的作用。由于一般内网区域的安全级别比外网高,所以这种应用又称为NAT Outbound。[1]
1.NAPT
NAPT(Network Address and Port Translation,网络地址与端口号转换),可以实现并发的地址转换。它允许多个内部地址映射到同一个公有地址上,因此也可以称为“多对一地址转换”或地址复用。
NAPT方式属于多对一的地址转换,它通过使用“IP地址+端口号”的形式进行转换,使多个私网用户可共用一个公网IP地址访问外网。
以下简单演示
在PC1、PC2、Server1中配置ip地址
R1路由器配置
[AR1-GigabitEthernet0/0/0]ip address 192.168.1.254 255.255.255.0 //配置IP地址
[AR1-GigabitEthernet0/0/1]ip address 192.168.2.254 255.255.255.0
[AR1-GigabitEthernet0/0/2]ip address 1.1.1.1 255.255.255.252
未进行转换(对g0/0/2抓包)
[AR1]acl 2001 //配置ACL
[AR1-acl-basic-2001]rule permit source 192.168.1.0 0.0.0.255 //允许通过
[AR1]nat address-group 1 2.2.2.10 2.2.2.10 //指定公网ip范围
[AR1-GigabitEthernet0/0/2]nat outbound 2001 address-group 1 //接口出向绑定转换关系
转换后(对g0/0/2抓包)
2.NO-PAT
NO-PAT只转换IP,不转换端口号,所以一个公网IP只能由一台主机使用,属于一对一的关系。
NO-PAT与上述配置基本一致
[R1-GigabitEthernet0/0/2]nat outbound 2002 address-group 2 no-pat
3.EASY-IP
Easy IP是一种特殊方式的NAPT,直接使用网关出接口的IP地址。
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[R1-GigabitEthernet0/0/2]nat outbound 2000
二、目的NAT
基于目的IP地址的NAT是指对IP报文头中的目的地址进行转换。通常用于隐藏一个对外提供服务的网络设备的真实IP地址,使客户端可以通过访问一个公网地址来访问这些服务器。[1]
1.NAT-Server
NAT-Server具有”屏蔽“内部主机的作用,如果内网需要对外提供服务,比如www服务、ftp服务,可以通过NAT-Server(端口映射)的方式解决这个问题。在NAT-Server事先配置好”公网IP+端口“与”私网IP+端口“之间的映射关系,将服务器的"公网IP+端口号"根据映射关系替换成对应的"私网IP+端口"。
Client1、AR2、AR3、Server1配置ip地址
Server1开启http服务
[R2]ip route-static 172.16.1.0 24 1.1.1.2 //配置静态路由
[R3]ip route-static 192.168.1.0 24 1.1.1.1
[R3-GigabitEthernet0/0/0]nat server protocol tcp global 1.1.1.3 80 inside 172.16.1.1 80
[R3]display nat server
[R1]display nat session all //查看NAT流表
[R1]display nat static //查看静态ntp配置信息
[R1]display nat outbound //查看NAT outbound信息
[R1]display nat session protocol udp verbose //查看NAT Session的详细信息
[1]https://forum.huawei.com/enterprise/zh/thread-262551.html