目录
NAT(网络地址转换协议)
NAT的工作原理:
-
NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进行通信
-
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT功能: NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部的计算机。
1.宽带分享:这是NAT主机的最大功能。
⒉.安全防护:NAT之内的Pc联机到Internet.上面时,他所显示的IP是NAT主机的公网IP,所以client端的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC。
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
NAT的术语与转换表
内部(局域网地址)
外部(公网地址)
总结:NAT 数据包从内网到外网时,会转换源IP地址,由私网地址转换成公网地址
数据包从外网到内网,会转换目的IP地址,由公网地址转换成私网地址
静态NAT 静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。
有2种配置方法:第一种:
全局模式下设置静态NAT
[R1]nat static global 8.8.8.8(自己设定的公网地址30.0.0.30) inside 192.168.10.10
[R1 ]int g0/0/1###外网口
[R1-GigabitEthernet0/0/1] nat static enable ###在网口上启动nat static enable功能
第二种:直接在接口上声明nat static
[ R1]int g0/0/1 ###外网口
[R1-GigabitEthernet0/0/1]nat static global 8.8.8.8 inside 192.168.10.10
[R1]dis nat static ###查看NAT静态配置信息
动态NAT:
多个私网IP地址对应多个公网IP地址,基于地址池一对一映射、
1、配置外部网口和内部网口的IP地址
2、定义合法IP地址池
[R1]nat address-group 1 212.0.0.100 212.0.0.200 ###新建一个名为1的nat地址池(最多到7)
3、定义访问控制列表
[R1]acl 2000
3、定义访问控制列表
###创建ACL,允许源地址为192.168.20.0/24网段和11.0.0.0/24的数据通过[R1-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255 [R1-acl -basic-2000]rule permit source 11.0.0.0 0.0.0.255
4、在外网口,上设置动态IP地址转换 [R1-acl-basic-2000]int g0/0/1 ###外网口 [R1-GigabitEthernet0/0/i]nat outbound 2000 address-group 1 no-pat #将ACL 2000匹配的数据转换为改接口的IP地址作为源地址(no pat不做端口转换,只做IP地址转换,默认为pat)
[R1]dis nat outbound ###查看NAT Outbound的信息 inbound是端口入方向 outboundshi是端口出方向
NAT实现方式:
静态转换
动态转换
PAT端口多路复用
##并###EasyIp:多个私网IP地址对应路由器外网接口公网IP地址 (比如12.0.0.1)1、配置外部网口和内部网口的IP地址
2、定义合法IP地址池
由于直接实验外网口IP地址所以不用再定义IP地址池 3、定义访问控制列表
[R1]acl 3000###允许源地址为192.168.30.0/24网段的数据通过[R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255
4、在外网口,上设置IP地址转换
[R1]int g0/0/1###外网口
[ R1-GigabitEthernet0/0/1]nat outbound 3000
#祥当acl30oo匹配的源IP数据到达此接口时,转换为该接口的IP地址:做为源地址: [R1]display nat session all ##查看NAT的流表信息
##非#NAT server:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问
[R1]int g0/0/1
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www
###在连接公网的接口上将私网服务器地址和公网地址做一对NAT映射绑定
[R1-Gigabi tEthernet0/0/1]nat server protocol tcp global current-interface 8000 inside 10.1.1.1 www
###在连接公网的接口,上将私网服务器地址和外网接口做一对NAT映射绑定
[Rl-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp
###端口为21可以直接使用关键字"ftp代替
ACL访问列表
ACL两种作用:
用来对数据包做访问控制(丢弃或者放行)
2.结合其他协议,用来匹配范围
acl 工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
acl 种类:
基本acl (2000-2999):只能。。匹配源ip地址。
高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源Mac地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。
ACL.(访问控制列表)的应用原则:
基本ACL,尽量用在靠近目的点 高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
应用规则 1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行
3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)