1、NAT–Network Address Translation:网络地址转换
NAT属于接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法公网IP地址的IP地址转换技术,它被广泛应用于各种类型 Internet接入方式和各种类型的网络中。
2、NAT类型
(1)静态----NAT(static NAT):内部网络中的单个主机IP地址被永久映射成外部网络中的某个合法的公网IP地址。
(2)动态----NAT(pooled NAT):在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。
(3)端口复用----PAT(Port address Translation):把多个内部地址映射到外部网络的一个IP地址的不同端口上。
(4)NAT server 。
3、NAT价值(作用)
NAT地址转化技术的出现的重要价值主要体现在改善网络安全和解决IPV4地址不够用。
(1)解决 IPV4地址不足问题:这个主要通过动态NAT及Pat来解决—其中PAT技术可以借助一个合法的公网IP地址使成百上千个内网用户达到访问外网的目标(如果不是PAT技术,IPV4那40多亿地址根本不能够满足地球人人手一个可用的 IPV4地址使用,更别提现在在物联网时代每个物品都会有自己的 IP地址)
(2)安全:通过地址转换将暴露的在公网的重要或核心服务器的地址映射出去,使映射的代理地址来应对攻击,相当于给受保护的地址披上了一层伪装。这是保护和隐藏重要服务器及核心设备地址不会轻易收到网络攻击的重要手段。
(3)控制:控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。
(一)静态NAT
1、静态NAT
(1)工作: NAT转换时,内部网络主机IP地址与公网IP是一对一静态绑定的,每个公网IP只能给固定的内网主机转换使用;静态NAT转换时只转换IP地址,不涉及端口号。
(2)配置:全局配置+接口挂接
① 在NAT路由器配置好静态NAT转化映射表。
② 在公网接口启用静态NAT配置。
2、静态NAPT
(1)工作:静态NAPT转换时,内部网络主机IP+端口号与公网IP+端口号进行一对一静态绑定的,每个公网IP只能给固定的内网主机转换使用;
(2)配置:
① 在NAT路由器配置好静态NAPT转化映射表。
② 在公网接口启用静态NAT配置。
(二)动态NAT
1、Basic NAT
(1)工作:
Basic NAT工作时,内部网络主机IP地址在预先设置好的公网IP地址池中的公网IP地址动态建立一对一映射。
Basic NAT工作时,在同一时刻的公网地址只能被一个私网地址所映射。
Basic NAT转换时只转换IP地址,不涉及端口号。
(2)配置:
① 在NAT路由器配置动态公网地址池
② 用ACL匹配待转换的内网地址
③ 在外网出口配置动态NAT,实现公网地址池和内网地址的挂接,只转换IP地址不进行端口转化。
2、动态NAPT
(1)工作: NAT转换时,内部网络主机IP+端口号与公网IP+端口号实现动态映射,实现多个内网共用一个公网IP地址访问外网。
(2)配置:
① 在NAT路由器配置动态公网地址池
② 用ACL匹配待转换的内网地址
③ 在外网出口配置动态NAPT,实现公网地址池和内网地址的挂接(默认的动态NAT是动态PAT)
3、Easy IP
(1)工作:Easy IP是动态NAPT的一个特例
Easy IP自动将本设备的外网接口IP+端口和内网IP+端口进行映射;Easy IP无需创建公网地址池。
(2)配置:
① 在NAT路由器通过ACL匹配待转化的内网地址
② 在公网接口启用挂接匹配到的内网ACL。
(三)NAT Server(端口映射)
NAT Server依然是公网IP+端口与内网IP+端口的映射;目的是解决公网IP访问内网IP的问题。
(1)工作:NAT Server依然属于端口和IP地址都I转换的NAT
(2)配置:
① 在对应公网接口设置好NAT Server 实现内网IP+端口与公网IP+端口的映射
如图配置拓扑、接口地址。
底层用任意协议都可以。(OPSF、IS-IS、BGP、静态路由等)
1、Easy IP(动态NAPT的一种)部署
在GW-1出接口部署Easy使得内网192.168.1.0网段正常访问外网
[AR-3]acl 2000
[AR-3-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255//使用基本ACL匹配需要进行NAT转换的内网成员为192.168.1.0网段
[AR-3-acl-basic-2000]quit
[AR-3]int g0/0/1
[AR-3-GigabitEthernet0/0/1]nat outbound 2000 //在网关路由器连接外网出口做NAPT,通过ACL2000匹配到的内网数据从本接口发出时替换源IP和源端口为本接口地址信息
2、静态NAT
在GW-2部署静态NAT使得公网成员可以访问内部服务器AR-7的所有端口
[AR-4]nat static global 24.1.1.102 inside 192.168.3.7 netmask 255.255.255.255
//系统视图配置将内网192.168.3.7地址转为公网地址24.1.1.102访问外网,或者外部网络一24.1.1.102来访问内部主机192.168.3.7
[AR-4]int g0/0/1
[AR-4-GigabitEthernet0/0/1]nat static enable
//网关路由器连接外部网络的出口开启静态nat映射功能,所有在全局做了映射的数据从本接口发出时都会进行IP地址的转化
[AR-5]ping 24.1.1.102
3、NAT Server
在GW-2部署NAT Server使得公网成员可以访问内部服务器AR-8开放的telnet服务
[AR-4]int g0/0/1
[AR-4-GigabitEthernet0/0/1]nat server protocol tcp global 24.1.1.101 5000 inside 192.168.3.8 23
//将内网192.168.3.8的基于TCP协议的23端口映射到公网地址24.1.1.101和5000端口
4、在NAT设备部署[Huawei]nat alg all enable 使得ftp,dns等应用数据可以正常对外发布
[AR-3]nat alg all enable
[AR-4]nat alg all enable
5、ACL安全
在GW-2部署ACL放行FTP和Telnet服务外,其他数据全部禁止
[AR-4]acl 3000
[AR-4-acl-adv-3000]rule 5 permit tcp destination 24.1.1.100 0 destination-port eq telnet
[AR-4-acl-adv-3000]rule 10 permit tcp destination 24.1.1.101 0 destination-port eq 5000
[AR-4-acl-adv-3000]rule 15 permit tcp destination 24.1.1.100 0 destination-port eq ftp-data
[AR-4-acl-adv-3000]rule 1000 deny ip
开启AR-7和AR-8的FTP服务,远程登录认证,创建测试用户(3级用户,FTP目录ybd)
AR-7
[AR-7]aaa //进入设备的本地AAA配置
[AR-7-aaa]local-user hcie password cipher hcie //创建本地用户,名称为hcie,密码hcie ,cipher表示密码在本地加密保存
[AR-7-aaa]
[AR-7-aaa]local-user hcie privilege level 3 //设置hcie用户等级为3级用户(默认是管理员用户,拥有所有权限)
[AR-7-aaa]
[AR-7-aaa]local-user hcie ftp-directory ybd //设置hcia用户通过FTP登录上来所在的目录为“ybd:”
[AR-7-aaa]quit
[AR-7]ftp server enable //开启本设备的FTP服务
[AR-7]user-interface vty 0 4 //进入到虚拟进程0 到4这5个虚拟进程下
[AR-7-ui-vty0-4]authentication-mode aaa //设置远程登录的方式为AAA认证(采用刚才本地的AAA用户来验证远程登录--telnet)
AR-8
[AR-8]aaa
[AR-8-aaa]local-user hcie password cipher hcie
[AR-8-aaa]
[AR-8-aaa]local-user hcie privilege level 3
[AR-8-aaa]
[AR-8-aaa]local-user hcie ftp-directory ybd
[AR-8-aaa]
[AR-8-aaa]quit
[AR-8]ftp server enable
[AR-8]user-interface vty 0 4
[AR-8-ui-vty0-4]authentication-mode aaa
1、NAT static测试
(1)在AR-5目的公网地址24.1.1.102 默认端口Telnet登录AR-7,save ar-7.cfg;
2、NAT Server测试
(1)在AR-5目的公网地址24.1.1.101 端口5000 Telnet登录到AR-8 save ar-8.cfg
我是艺博东!欢迎你和我一起讨论,我们下期见。