NAT
作用:实现私网和公网互访,进行私有地址或者公有地址的转换(源 NAT)
——————————————————————————————————————————
静态 NAT: 实现 1:1 的转换
(1个私有地址绑定一个公网地址,当该私网地址访问时,可以实现源 IP 地址转换)
作用:实现私网和公网互访
缺点:私网地址不能随意修改,修改后,有可能导致私网地址无法转换
一个私网地址对应一个公网地址,浪费公网地址空间
——————————————————————————————————————————
动态 NAT:实现 1:1 的转换
(1个私有地址可以动态的对应一个公网地址,当该私网地址访问时,可以实现源 IP 地址转换)
补充:公网地址池可以有 N 个 IP 地址,但是工作时只能是 1:1 的转换
例如:公网地址 100.1.1.1 被占用了,其他私网就无法使用这个地址进行转换
作用:实现私网地址动态的对应公网,修改了私网地址也可以动态的绑定公网地址,不需要管理员手工修改 NAT 配置
缺点:一个私网地址对应一个公网地址,浪费公网地址空间
——————————————————————————————————————————
NAPT: 在动态 NAT 基础上,加入 port ID 来进行标识,实现 N:1 ( N 个私网地址对应 1 个公网地址)
(可以实现 N 个 私网地址,转换成 1 个 公网地址,私网地址通过不同的 Port ID 来标识,用于区分私网地址,以免冲突)
作用:实现了 N :1 以及动态修改 NAT 映射表的功能
缺点:需要利用公网地址池,例如运营商在分配地址给客户时,至少需要 2个 地址(一个接口互联地址,一个 NAT 地址池地址)
———————————————————————————————————————————
EASY IP:与 NAPT 类似,使用的端口号和转换 IP 地址的方式也一样,不同的在于, EAYS IP 只使用 NAT 服务器出接口的 IP 地址
(无需配置 NAT 地址池)
作用:作用:实现了 N :1 以及动态修改 NAT 映射表的功能,并且无需 NAT 地址池,可以使用接口地址来进行转换
缺点:在大型网络中,可能会因为接口带宽不足,导致其他设备无法访问
(EASY IP 只会使用接口的地址进行转换,如果大型网络中有多个出口,可以使用 NAPT 来替换)
补充:大型网络如果每个出接口都有公网地址,也可以同时部署多个 EASY IP 来实现转换功能
(目的 NAT)
——————————————————————————————————————————————————————————————————
NAT server :例如,服务器在内网,公网设备发起访问,无法进行 NAT 转换,这时候可以使用 NAT server 来对公网 IP 进行转换
把公网的 (目的 IP 地址)转换成 私网的 (目的 IP 地址)
使得公网设备主动发起访问,也能访问到私网的服务器
————————————————————————————————————————————————————————————————————
NAT 配置
1、静态 NAT
在网关出口路由器配置(出接口)即:连接外网的接口
nat static global 100.1.1.1 inside 192.168.1.1 // 把私网地址 192.168.1.1 转换成公网地址 100.1.1.1
(1:1 绑定)
——————————
2、动态 NAT
① 先匹配需要转换的私网地址段
acl 2000
rule permit source 192.168.1.0 0.0.0.255 // 例如:匹配 192.168.1.0/24 网段
② 创建 NAT 动态地址池
nat address-group 1 100.1.1.1 100.1.1.2 // 例如:地址池 1,地址范围:100.1.1.1 到 100.1.1.2
③在网关出口路由器配置(出接口)即:连接外网的接口应用
nat outbound 2000 address-group 1 no-pat // 把 ACL 2000 绑定到地址池 1 中
(实现 192.168.1.0/24 网段,任意地址都能够转换成 100.1.1.1 或 100.1.1.2 地址访问)
但是任意一个地址在使用的过程中,无法再分配给第二台主机使用,即:地址池有 2 个地址,只能同时给 2 台主机使用
——————————
3、NAPT
① 先匹配需要转换的私网地址段
acl 2000
rule permit source 192.168.1.0 0.0.0.255 // 例如:匹配 192.168.1.0/24 网段
② 创建 NAT 动态地址池
nat address-group 1 100.1.1.1 100.1.1.2 // 例如:地址池 1,地址范围:100.1.1.1 到 100.1.1.2
③在网关出口路由器配置(出接口)即:连接外网的接口应用
nat outbound 2000 address-group 1 // 把 ACL 2000 绑定到地址池 1 中
(实现 192.168.1.0/24 网段,任意地址都能够转换成 100.1.1.1 或 100.1.1.2 地址访问)
与 动态 NAT 不同的是,任意设备都可以重复使用这两个地址,通过端口号区分即可(N:1)
————————————
4、EASY IP
① 先匹配需要转换的私网地址段
acl 2000
rule permit source 192.168.1.0 0.0.0.255 // 例如:匹配 192.168.1.0/24 网段
②在网关出口路由器配置(出接口)即:连接外网的接口应用
nat outbound 2000 // 把 ACL 2000 匹配到的数据包,转换成该出口的接口 IP 地址
———————————————————————————————————————————————————————————————
5、NAT server 配置
进入内网出口路由器配置
(和源 NAT 相同接口)
nat server global 12.1.1.100 inside 192.168.1.1 // 例如:内网服务器地址为 : 192.168.1.1
(把 12.1.1.100 转换成内网服务器地址)
配置后:当外网设备访问 12.1.1.100 (即:服务器对外宣称的公网地址为 12.1.1.100)
路由收到该目的地址为:12.1.1.100 的公网数据包,会自动交给本地网络的 192.168.1.1 服务器设备,实现对目的地址转换
一、FTP:用于传输文件和下载文件的协议(文件传输协议)
用于路由器、交换机或者网络设备传递文件
(例如:传递路由器的升级包和补丁等)
服务器端(配置)
1、开启 FTP 服务(系统配置视图)
ftp server enable // 开启 FTP 服务
2、创建登陆用户(系统配置视图)
aaa // 进入 AAA 视图
local-user 123 password cipher 123 // 例如:创建用户 123,密码(密文显示)123
local-user 123 privilege level 15 // 用户等级
local-user 123 ftp-directory flash: // 开启访问的文件权限
local-user 123 service-type ftp // 该用户用于 FTP 服务
——————————————————————————————
客户端登陆
<AR1>ftp 2.2.2.2 (在用户视图配置) // 例如登陆 FTP 服务器 2.2.2.2(IP 地址必须是可达才可以进行登陆,不可达的时候先解决 IP 地址问题)
————————————————————————————————————————————————————————
二、Telnet :用于远程访问设备,并且可以登陆设备进行配置和查看等操作(远程维护设备)
服务器端(配置)
1、开启 Telnet 服务(系统配置视图)
telnet server enable // 开启 Telnet 服务(模拟器已经开启,无法配置该命令)
2、修改登陆模式为 AAA
user-interface vty 0 4 // 进入 VTY 0 4 信道(默认:每个信道最多 5 个登陆用户)
authentication-mode aaa // 修改模式为 AAA
3、创建登陆用户(系统配置视图)
aaa // 进入 AAA 视图
local-user 123 password cipher 123 // 例如:创建用户 123,密码(密文显示)123
local-user 123 privilege level 15 // 用户等级
local-user 123 service-type telnet // 该用户用于 Telnet 服务
—————————————————————————————————
客户端登陆
<AR1>telnet 2.2.2.2 (在用户视图配置) // 例如登陆 FTP 服务器 2.2.2.2
(IP 地址必须是可达才可以进行登陆,不可达的时候先解决 IP 地址问题)
—————————————————————————————————————————————————————————
补充:Telnet 和 FTP 可以使用同一个账户登陆
例如:local-user 123 service-type telnet ftp http // 等于该用户 123 可以使用以下几种服务(Telnet、FTP、HTTP 等)
三、Console (本地维护,通过管理线缆)
模拟器,双击打开路由器,等于使用 Console (真实设备需要安装登陆软件,如:CRT、putty 等)
1、修改登陆模式(系统配置视图)
user-interface console 0 // 进入到 console 接口
authentication-mode aaa // 认证类型为 aaa 模式
2、创建登陆用户(系统配置视图)
aaa // 进入 AAA 视图
local-user 123 password cipher 123 // 例如:创建用户 123,密码(密文显示)123
local-user 123 privilege level 15 // 用户等级
————————————————————————————
退出用户视图后,下一次登陆需要用户名和密码