NAT分类及配置
NAT技术背景
• 私有IP地址的定义极大程度的缓解了IPv4地址紧缺的问题。
• 私有IP地址可以在本地局域网、私有网络内部随意使用,但是这些地址在公网上是不可被路由的,因此私有IP地址无法直接访问公网。
• NAT网络地址转换技术能够将数据包中的IP地址进行转换。
静态NAT,Static NAT用于将内部本地地址(私有IP)与内部全局地址(公有IP)进行一对一的映射。
基于地址池的源地址转换(一对一)是一种动态NAT,其实也是一对一的映射关系。
端口地址转换(Port Address Translation,PAT),也即对数据包的源地址和端口均进行转换,通过这种转换,可以使多个内部本地地址同时共享同一个公网地址,通过IP+端口的方式来识别不通的源,也就是多对一的映射。广泛采用。
配置静态NAT转换
• 创建NAT静态映射条目
Router(config)# ip nat inside source static local-ip global-ip
• 指定内部接口
Router(config-if)# ip nat inside
• 指定外部接口
Router(config-if)# ip nat outside
基于地址池方式的NAT(多对一)实现多数人公用一个IP地址 overload
ip nat pool natpool 200.1.1.10 200.1.1.20 netmask 255.255.255.0
NAT维护
• 查看nat映射
Router# show ip nat translations
• 清除所有动态NAT表项
Router# clear ip nat translation *
• 清除特定的NAT表项
Router# clear ip nat translation ?
扩展
VPS Virtual Private Server 虚拟专用服务器
80端口的站点挂在同一公网IP下,采用技术端口+域名的双重映射
NAT穿透原则
高层穿透低层 (三层以上协议可以穿透三层NAT)
CAPWAP,VxLAN (UDP封装,4层) 能穿透NAT
那些不适合做NAT端口映射的应用
视频会议
通过实际项目分析 端口多,容易错
解决方法:做中转代理
数据库
NAT延时,端口映射危险
数据库是后台,只映射前端应用