NAT
NAT (Network Address Translator )的主要原理是通过解析IP报文头部,自动替换报文头中的源地址或目的地址,实现私网用户通过私网IP访问公网的目的。私网IP转换为公网IP的过程对用户来说是透明的。
1、内部地址访问外部地址 园区网内部,私有地址是不能上公网的,公网路由器上没有私网的路由
2、多个内部地址同时访问外部
3、NAT的形式
静态NAT 一个公网IP只会分配给唯一且固定的内网主机。 实际上是一对一的地址转换
动态NAT(NAT-NOPAT) 基于地址池的转换 (地址池不是自己随意配置的,是运营商分配的) 实际上还是一对一的地址转换
同时地址转换,他的含义,仅限于地址池有多少个IP,地址池有两IP,同时就只能转换两个IP
内部地址访问外部地址 对外发布服务器
=======================================
NAPT 是多对一的地址转换 借用了端口号 基于地址池的多对一的转换
Easy ip 基于接口的多对一的地址转换 小规模局域网中的主机访问Internet的场景 1023-65535
打破了端到端的通信过程 内网只能主动访问外网 外网不能主动访问内网
==================================
服务器的特殊性决定,它必须能够被外网访问以提供服务
有两种办法可以实现内网发布服务器
静态NAT 直接一对一的绑定 浪费公网IP 不适用于是有一个公网IP的网络环境
NAT server 利用绑定的PAT端口号来实现 类似家庭用路由器的DMZ主机
4、NAT的基本概念
外部全局网络:是指与位于LAN外部的路由器相连、无法识别LAN主机私有地址的任何网络。
内部本地网络︰是指连接到私有寻址LAN中路由器接口的任何网络。内部网络中主机的IP地址在传输到外部目的地之前需要先进行转换。
外部本地
接口调用的方向 inside outside
源地址转换和目标地址转换
源地址转换表示的NAT转换的时源IP地址
目标地址转换表示的NAT转换的是目标IP地址
5.NAT的工作原理
1).PC1 ( 192.168.10.10)希望与外部 Web服务器(209.205.201.1)通信。它发送数据包给配置了NAT的网络边界网关R1。
2).R1读取数据包的目的IP地址,并检查数据包是否符合规定的转换标准。
3).R1有一个ACL,它确定该数据包的源IP地址是否可进行转换。若可以转换。
4).R1将内部本地IP地址转换成内部全局IP地址。
5).并将本地与全局地址映射关系存储在NAT表中。
6).沿途路由器通过查询路由表将数据包转发到目的地。
7).WEB服务器回应时,数据包回到R1的内部全局地址。
8).R1参考NAT表,发现这是原先转换的IP地址。因此,它将内部全局地址转换成内部本地地址,然后将数据包转发给P地址为192.168.10.10的PC1.
9).如果它没有找到映射关系,数据包将被丢弃。
6.NAT的优缺点
优点
缓解公网地址紧缺问题
解决IP地址空间冲突或重叠的问题
网络扩展性更高,本地控制也更容易
内网结构及相关操作对外变得不可见
增加了安全性
缺点
存在转发延迟
端到端寻址变得困难
某些应用不支持NAT
NAT产生的表项需占用设备的内存空间
设备性能问题
5、NAT配置
需要和ACL结合
静态一对一IP映射
现在PC有需求要访问外网,在OR.上部署静态一对一IP映射,分配给内网PC192.168.1.1的公网地址是200.1.1.100
[OR-GigabitEthernet0/0/1] nat static global 200.1.1.100 inside 192. 168.1.1
基于动态地址池的一对—IP映射( no-pat )
现在192.168.1.0/24网段的PC均需访问外网,申请到的公网地址池是200.1.1.100~200.1.1.110, 部署 一对一 的地址转换,也就是只转换数据包的地址而不转换端口信息。
[OR-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
基于动态地址池的多对一 IP、端口映射
[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
Easy IP
现在192.168.1.0/24网段的PC均需访问外网,现在希望内网能够使用GE0/0/1的公网IP .以Easy IP的方式访问公网。
[OR-GigabitEthernet0/0/1] nat outbound 2000
内部服务器映射( nat server )
现在内网的Server需要对外提供WEB服务,申请到的公网地址是200.1.1.100,现在要将内网这台Server的TCP80端口映射到200.1.1.100的TCP 8080端口,使得外网能够访问。
[OR-GigabitEthernet0/0/1] nat server protocol tcp global 200.1.1.100 8080 inside 192.168.1.100 80