NAT转换;PNAT
参考:https://blog.csdn.net/gui951753/article/details/79593307
原因:私网地址和公网地址只能在各自的环境下使用
解决:使用默认路由和nat实现内部IP地址和外部公有地址的转换路由

Nat:工作时依靠一个核心工作表:nat转换表私有地址1——公有地址1
静态nat:在边界设备上,手动的创建nat转换条目;
动态nat:在边界设备上,设备基于数据包触发而形成nat转换条目;不需要人工干预。如果一个nat转换条目在一段时间之内不使用,会自动删除
NAT转换;PNAT血虚笔记22_第1张图片

Nat(network address translation)地址转换协议,在边界网关实现公有地址和私有地址之间转换
NAT转换;PNAT血虚笔记22_第2张图片
Tips:
Cisco:router rip;passive被动-interface g1/0(rip包不从此端口发出)
静态nat配置:
思路:1.确定nat的网络边界
2.配置nat转换条目
3.验证、测试、保存
Cisco:
1、 端口IP地址配置,交换机vlan配置,运营商的网络配置(igp);静态路由
2、 边界路由Nat配置(R3)
Interface f0/0:ip nat inside(端口界面)
Interfaceg1/0:ip nat outside(端口界面)
Ip nat inside source static 192.168.10.1 100.1.1.X(配置界面)
验证:show ip nat translation(查看nat转换表);debug ip nat
Tips:配置路由协议时考虑内网外网(IGP和EGP)

华为静态nat配置
1、 启动功能
在任意端口上都可以启用
端口模式:nat static enable
2、 配置nat转换条目
可以在全局模式下配置
Nat static global 100.1.1.3(这个在华为上要用另一个外网IP地址) inside 192.168.10.1
可以再接口模式下(必须在出端口上)
Nat static global 100.1.1.3 inside 192.168.10.1
3、 验证
Display nat static
Terminal monitor(ping 目的地址服务器)
Terminal debugging
Debugging ip icmp
Debugging nat all(nat服务器)
静态nat:
在这种类型的nat中,私有地址与公有地址对应关系是1:1
在动态nat的一种类型中——pnat
所形成的的私有地址与公有地址的对应关系式n:1,节省IP地址
、PNAT:
(port nat也叫作nat重载/复用)用一个公网地址的不同端口号,对应内网不同私网地址
改变外出数据包的源IP地址和源端口
配置思路:
1、 确定nat边界
2、 确定需要进行nat转换的私有地址空间
a) 工具:ACL(access control list访问控制列表)
匹配感兴趣的流量:内网中所有数据包原ip为192.168.10.X的ip数据包
192.168.10.0——》0.0.0.255通配符(wildcard bits)
规则: 通配符中0所对应的IP地址是关注的//按照这个规则可以抓住IP地址为192.168.10.X的所有的数据包

Acl
规则——匹配感兴趣的流量
动作——permit(允许)/deny(拒绝)
事件——需要对感兴趣流量做的事情

3、 针对私有地址,配置对应的nat转换条目
4、 验证、测试、保存
Cisco配置:
创建acl:access-list 1 permit 192.168.10.0 0.0.0.255
Nat转换条目:ip nat inside source list 1 (对应上面acl)interface gi1/0
验证:show ip nat statistics(查看nat的简要配置信息);show ip access-list ;show ip nat translation(查看nat的核心工作表);
Debug ip nat

Tips:思科设备ctrl +a(ahead)到一排命令开头;ctrl+e(end)到最后

华为pnat配置
1、 定义感兴趣的流量
acl 200
rule 5 permit 192.168.10.0 0.0.0.255
2、 在流量的出端口配置nat
端口模式:nat outbound 2000

思考:内网可以向外网主动发送数据,被动时呢?外网可以主动访问内网的服务器么?
Nat路由器数据转发过程:
内网——外网:先查rib(route information base 路由信息表);再过nat转换
外网——内网:反过程,先查nat表,再看rib表

解决:让边界网关上面有nat条目(非内网流量触发,而是永久存在的静态nat条目)
nat的高级应用端口映射(静态nat)
命令:ip nat inside source static tcp 192.168.10.1 23(代表telnet服务) 100.1.1.3 123456
华为命令
NAT转换;PNAT血虚笔记22