相关概念:
NAT: 私网访问公网需要将IP转换为公有地址。
ACL:控制网络设备上数据流的访问控制列表。在路由器上设置规则,ACL用于过滤和控制流量
映射表:网络地址转换(NAT)映射表,它将内部私有IP地址映射到外部公共IP地址。这些映射表用于确定数据包的转换规则,使得数据包能够在不同网络之间传递。
一 静态NAT:
每个私有地址都有一个与之对应且固定的共有地址
缺点 缺乏灵活性。
实现:私网到公网 源转为公网地址目标地址不变 公网到私网 目标转公网地址源地址不变
对内地址和对外地址一一映射。
在接口下打开nat 功能
二 动态NAT(NAPT)(使用最多):
区别于一一映射
使用动态地址池 (NAT映射表 当主机不再访问时标记为not use )
在范围内随机标注 一般大集群常用动态NAT
生成临时NAT映射表 发送的时候使用匹配 回来时查看该表 数据到达
基本ACL:匹配需要进行动态转换的源地址范围
不使用端口进行映射
不进行端口号转换 一一映射 不再连接才会释放 (No-PAT)
地址复用 同一地址的不同端口进行跳转 提高地址复用率
基于动态匹配 NATNO PAT取消 选择端口来配
生成临时映射表
一对N加端口 记录前后私有和共有地址 单一IP后面接端口号
涉及到了端口 http tcp协议
这里以IP地址的端口号 做映射 不同端口号的IP可能是同一IP
三 EASY IP:
把所有的网站全部转换成
与NAPT相同 将所有的地址转换为接口的地址 (没有地址池)
这里的端口号是写死的 等于NAPT的静态 端口号可能不一样但是出去的地址一定是
适用于不具备固定公网IP地址的场景。
四 NAT SEVER:
共有地址端口与私有地址端口做一一映射
公有地址端口和私有地址端口一一映射
服务应用的端口号 根据服务类型设计的不是随机的
80 3306 22 对外提供服务的端口一一对应
一一映射后访问外网服务的地址 其实就是访问内网服务的地址
总结:
静态 一对一写死
动态 一对多 在匹配范围之内 随机匹配未被占用的
NAPT 同一对外访问的IP加上端口号以示区分(以端口号区分)
资源利用最大化 资源复用率 IP和端口在左做映射
实验:
实验基本都是在企业出口这台路由器上完成
查看nat配置 dis nat static
- 静态地址
HUB:
配置企业出口路由:
Undo t m
Sys
Int g0/0/0
Ip add 192.168.1.254 24
Int g0/0/1
Ip add 2000.1.1.1 24
配置静态地址对外提供访问
打开NAT功能
Nat static enable
配置静态 对外(不要使用接口地址 任意)4
Nat static global 200.1.1.100 inside 192.168.1.1
然后配置运营商的接口IP配置另一个方向的静态地址
动态地址:
给企业出口的路由器设置组设置允许
Nat address-group 1 200.1.1.10 200.1.1.20
Acl 2000
Rule permit source 192.168.1.0 0.0.0.255
Int 0/0/1
删除掉静态
Undo nat static global 200.1.1.00 inside 192.168.1.1
匹配刚才设置的两千
Nat outbound 2000 address-group 1 no-pat
若不生效
Q
Save (用户视图)
端口映射
将服务器的sever1 的80端口提供给对外访问
Nat sever protocol tcp global current-interface 80 inside 192.168.1.100 www
Y
非直连网段配置静态路由
设置一边为默认路由就可以了(默认匹配所有)
访问的地址只需要知道企业出口的IP地址 作为访问中介, 无法访问直接访问到PC
Q
Ip route-static 0.0.0.0 200.1.1.2
Easy-Ip:
系统视图查看nat dis nat session all
Undo nat sever protocol tcp global current-interrace www inside 192.16.1.100 www
Q
Rule permit source 192.168.1.0.0.0.255
Int g0/0/1
Nat outbound 2001
删除实验二的动态地址
Undo nat outbound 2000 address-group 1 no-pat