目录
一、技术背景:
(1)NAT技术背景
- 要真正了解NAT就必须先了解IP地址的使用情况,私有 IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球地址。RFC 1918 为私有网络预留出了三个IP 地址块,如下:
- A 类:10.0.0.0~10.255.255.255
- B 类:172.16.0.0~172.31.255.255
- C 类:192.168.0.0~192.168.255.255
- 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。
- 随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。
- 虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。
(2) PAT技术背景:
————————————————————————————————————————————————————————
二、NAT技术优缺点:
- NAT(网络地址翻译)能解决不少令人头疼的问题。它解决问题的办法是:在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用。其具体的做法是把IP包内的地址域用合法的IP地址来替换。
- NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表,用来把非法的IP地址映射到合法的IP地址上去。每个包在NAT设备中都被翻译成正确的IP地址发往下一级,这意味着给处理器带来了一定的负担。但这对于一般的网络来说是微不足道的,除非是有许多主机的大型网络
- 需要注意的是,NAT并不是一种有安全保证的方案,它不能提供类似防火墙、包过滤、隧道等技术的安全性,仅仅在包的最外层改变IP地址。这使得黑客可以很容易地窃取网络信息,危及网络安全。
——————————————————————————————————————————————————————————
三、NAT类型:
- 静态NAT(staticNAT): 静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
- NAT池(pooledNAT):则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。实现私网地址和公网地址的多对多转换。
- PAT(端口NAT):则是把内部地址映射到外部网络的一个IP地址的不同端口上。实现私网地址和公网地址的一对多转换。
—————————————————————————————————————————————————————————
四、配置及思路:
(1)PAT地址转换思路:
- ——1.1 先用ACL匹配哪些需要上网的数据包,可以用标准ACL(1~99)去匹配,根据数据包的源IP地址匹配需 要上网的数据包
- ——1.2 连接外网的接口定义成outside,连接内网的接口定义成inside
- ——1.3 做PAT地址转换
(2)PAT配置
r1(config)#access-list 1 permit 192.168.10.0 0.0.0.255
r1(config)#access-list 1 permit 192.168.20.0 0.0.0.255
r1(config)#int f0/0
r1(config-if)#ip nat outside
r1(config-if)#exit
r1(config)#int f0/1
r1(config-if)#ip nat inside
r1(config-if)#exit
r1(config)#ip nat inside source list 1 interface f0/0 overload ——将匹配的IP地址(内部的源)从我的出接口映射到外网
inside source list 1 :list 1调用的access-list 1 源IP地址为192.168.10.0 和192.168.20.0的从inside接口进来,查路由,从outside接口出去的,使用连接外网的F0/0接口的公网IP地址做PAT地址转换
注:三层交换机与路由器相连的网线需要no siwtchport(把二层接口转换成三层接口)才能设置IP
(3)静态NAT配置及思路:
- 公司内网有一台服务器需要对外网提供访问服务,而且服务器配置的是私有IP地址,此时需要把服务器的私有IP地址静态映射到一个公网IP地址上面去,最好通过端口号的映射
r1(config)#ip nat inside source static tcp 192.168.30.1 80 100.1.1.1 80
//把inside的192.168.30.1的TCP 80端口静态一对一映射到100.1.1.1的TCP 80端口上面去
show ip nat trasction//查看