首先明确网络有内网和外网的划分,内网到外网需要缺省路由,而外网回到内网需要NAT。
IPV4地址中在A/B/C三的单播地址中,还存在私有ip 与公有的区分;
(1)公有:具有全球唯一性,可以在互联网中通讯,需要付费使用
(2)私有:具有本地唯一性,不能在互联网中通信,无需付费使用
私有ip地址包括:10.0.0.0/8 172.16.0.0/16-172.31.0.0/26 192.168.0.0/24-192.168.255.0/24
NAT:网络地址转换 ----- 在边界路由器上,从内网进入外网时,时修改源ip地址;返回时修改目标ip地址。
NAT两种分类方式:(1)划分为静态、 动态 ;
(2)一对一、一对多、多对多 、端口映射;
第一类划分:
【1】静态NAT原理:
静态NAT:每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射。
支持双向互访:私有地址访问Internet经过出口设备NAT转换时,会被转换成对应的公有地址。同时,外部网络访问内部网络时,其报文中携带的公有地址(目的地址)也会被NAT设备转换成对应的私有地址。
【2】动态NAT原理 :
动态NAT:静态NAT严格地一对一进行地址映射,这就导致即便内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念即所有可用的公有地址组成地址池。
当内部主机访问外部网络时临时分配一个地址池中未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“Not Use”
第二类划分:
【1】一对多(动态) --- 将多个私有ip地址经过边界路由器,转换为同一个公有ip地址到达外网,并且使用端口号进行区分(动态端口号可分配范围1024--65535)。
原理:当源ip地址为私有的数据包,来到边界路由器上进入公网时,修改其源ip地址为公网ip,之后产生映射记录 ;当数据包从公网回复时,基于记录将目标ip修改回原来的私有地址。过程中每一个公有ip可以提供65535个端口号,可以保障每一毫秒进行65535个数据包的地址映射,其中映射具有时效性,超时未响应则删除对应的映射关系。因此一对多又被称为端口地址转换(PAT)
举例:在边界路由器(R2)先使用ACL设置限制条件(标准列表即可),定义可被转换的私有ip地址范围 。
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 (允许该网段范围的ip通行)
然后再在边界路由器上,公有ip地址所在接口进行nat的配置即可
[r2]interface g0/0/2
[r2-GigabitEthernet0/0/2]nat outbound 2000
代码含义:若内网有流量从Ge 0/0/2口出去,则执行ACL 2000列表的要求进行转化。
【2】一对一(静态) 固定将一个私有地址,转换为一个公有地址
仍然在边界路由器上,公有ip地址所在接口进行nat的配置
[r2-GigabitEthernet0/0/2]nat static global 12.1.1.3 inside 192.168.1.3
公有地址 私有地址
一对一主要用于内网中存在需要被外网用户直接访问的服务器设备,需要单独的公有ip地址。
【3】端口映射 仅将一个公有ip地址的一个端口号,固定和一个私有ip地址的一个端口号进行转换
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.3 80
将该接口ip地址的80端口,与192.168.1.3的80端口进行转换映射
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8888 inside 192.168.1.11 80 ( 将该接口地址的8888端口,与192.168.1.11的80端口进行转换映射。)