一、实验简介
1. NAT简介
NAT(Network Address Translation) 网络地址转换,是一种IETF(Internet Engineering Task Force, Internet工程任务组)标准,是把内部私有网络地址转换成合法外部公有网络地址的技术。
TCP/IP协议版本IPv4,有IP地址匮乏的先天生缺陷;如果专用网络的计算机要访问Internet,则组织机构在连接Internet的设备上至少需要一个公有IP地址,然后采用NAT技术,将内部网络的计算机私有IP地址转换为公有IP地址,从而让使用私有IP地址的计算机能够和Internet中的计算机进行通信。
NAT 除了解决 IP 地址短缺的问题,还带来了两个好处:
• 有效避免来自外网的攻击,可以很大程度上提高网络安全性。
• 控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。
2. NAT类型
1.静态NAT(服务器地址转换)
静态NAT实现了私有地址和公有地址的一对一转换,一个公网地址对应一个私网地址
2.动态NAT
动态NAT基于地址池来实现私有地址和公有地址的转换,转换是随机的
3.NAPT(网络地址端口转换)
NAPT允许多个私网地址转换到同一个公有地址的不同端口,私网利用端口号来区分。
4.Easy IP:转换成出接口地址
利用端口号来识别不用的私网地址,NAPT的特例。直接将内网私有地址转换为出接口的公网IP地址。
2.5 多种模式的比较
3.NAT转换内部地址范围
10.0.0.0- 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
二、实验配置
1.实验拓扑以及IP地址分配如下:
2.静态NAT配置步骤:
进入“出接口”:interface s4/0/0
地址转换:nat static(静态) global(公网IP:未分配的IP地址)172.16.2.3 inside (内网需要转换的PC的私有IP地址)192.168.1.1
3.动态NAT配置:
设置公网地址池:nat address-group 1 172.16.2.3 172.16.2.254
创建ACL:acl 2000
允许网段1.0的数据进行转换:rule 5 permit source 192.168.1.0 0.0.0.255
:rule 10 deny //华为acl最后有一条默认的隐藏命令:permit any 与思科相反
进入接口(出方向):interface serial4/0/0
匹配ACL:nat outbound 2000 address-group 1 no-pat //no-pat的作用:(不进行端口转换)
4.NAPT的配置:
公网地址池被缩减为只包含一个IP地址: nat address-group 1 172.16.2.254 172.16.2.254
在动态NAT的第五步进行接口转换,nat outbound 2000 address-group 1
5.Easy IP的配置:
创建ACL:acl 2000
允许1.0的数据进行转换:rule 5 permit source 192.168.1.0 0 .0.0.255
:rule 10 deny
进入接口(出方向):interface serial4/0/0
匹配ACL:nat outbound 2000