NAT(网络地址转换),用于实现私有网络和公有网络之间的互访
NAT的工作原理:
NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT功能:
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机
1.带宽分享:这是NAT主机的最大功能
2.安全防护:NAT之内的pc联机到Internet上面时,他所显示IP是NAT主机的公网IP,所以Clinet端的pc就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就会侦测不到源Client端的pc
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
静态NAT:
静态NAT实现私网地址和公网地址一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用
内部网络往外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址;外部网络向内部网络发送响应报文时,静态NAT将报文目的地替换为响应的私网地址
有两种配置方法:
第一种:
全局模式下设置静态NAT
nat static global 8.8.8.8 inside 192.168.10.10
int g0/0/1 ##外网口
nat static enable ##在网口上启动nat static enable 功能
第二种:
直接在接口上声明nat static
int g0/0/1 ##外网口
nat static global 8.8.8.8 inside 192.168.10.10
dis nat static ##查看NAT静态配置信息
动态NAT:
多个私网IP地址对应多个公网IP地址,基于地址池一对一映射
1.配置外部网口和内部网口的IP地址
2.定义合法IP地址池
nat address-group 1 212.0.0.100 212.0.0.200 ##创建一个名为1的nat地址池
3.定义访问控制列表
acl 2000 ##创建ACL,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过
rule permit source 192.168.20.0 0.0.0.255
rule permit source 11.0.0.0 0.0.0.255
4.在外网口上设置动态IP地址转换
int g0/0/1 ##外网口
nat outbound 2000 address-group 1 no-pat
##将ACL 2000 匹配的数据转换为改接口的IP地址作为源地址(no pat 不做端口转换,只做IP地址转换,默认为pat)
dis nat outbound ##查看NAT outbound 的信息
PAT端口多路复用:
PAT又称为NAPT,它实现一个公网地址和多个私网地址之间的映射,因此可以节约公网地址。
PAT的基本原理是将不同私网地址的报文的源IP地址转换为同一个公网地址,但他们被转换为该地址的不同端口号,因而任然能够共享同一地址
PAT的作用:
1.能改变数据包的IP地址和端口号
2.能够大量节约公网IP地址
PAT的类型:
1.动态PAT,包括NAPT和Easy IP
2.静态PAT,包括NAT server