目录
地址类型
NAT地址转换工作过程:
NAT的好处:
静态NAT:
NAT配置命令
动态nat配置:
ACL:
应用规则
私有地址和公有地址:
公有网络地址(以下简称公网地址)是指在互联网上全球唯一的IP地址。2019年11月26日,是人类互联网时代值得纪念的一-天,全球近43亿个IPv4地址已正式耗尽。
私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,IANA
(互联网数字分配机构)规定将下列的IP地址保留用作私网地址,不在Internet(互联网).上被分配,可在一个单位或公司内部使用。RFC1918中规定私有地址如下:
A类私有地址: 10.0.0.0~10.255.255.255
B类私有地址: 172.16.o.Q~172.31.255.255
c类私有地址:192.168.o.0~192.168.255.255
首先目的地址为公网地址,源ip地址为pc机的私有地址,经过路由器时进行第一次地址转换,目的地址还是公网地址,源ip地址这时候转换成nat路由器的一个设置好的公网地址
回包的时候源ip地址是之前的目的地址的公网地址,目的地址是之前转换的nat路由器的i公网ip地址,这时候经过nat设备后进行第二次转换,目的地址转换成原来的私有地址,源ip地址仍是之前的目的地址详细如下:
请看上述图片,100.1.1.1和200.1.1.1分别代表了两家不同的公司,这两家公司都使用了相同的私有地址段,202.1.1.1是公网IP地址,100.1.1.1和200.1.1.1分别是两家公司的出口路由器这个接口连接着运营商,运营商给两家公式分配不同的公网地址,公网地址肯定是唯一的,内口则使用私有地址段。192.168.1.2这台用户想要访问202.1.1.1这台pc,他的源地址是192.168.1.2,目的地址是202.1.1.1,他会走网关走到192.168.1.1这个路由器这台路由器再通过默认路由走到运营商,运营商是拥有真个互联网条目的,最终会把数据包发送到202.1.1.1这台pc,所以从内网发送数据包到目的地是没有问题的,回包的时候做一个源目调换,源地址是202.1.1.1目的地址则为192.168.1.2但是这个在这就出现问题了,因为这个网址不是唯一的,A公司在用,B公司也在用这是问题一,问题二。当202.1.1.1这台pc将数据包发送给运营商的时候,运营商只要收到目的地址为私有地址的时候会自动丢弃。所以在回包的时候数据包是回不到192.168.1.2这台用户的,所以192.168.1.2这台私有地址用户是访问不到互联网的。
那我们现在怎么解决这个问题呢,这就使用我们一个技术叫路由转换技术,他是在出口路由器上做就是在与公网连接的这台路由器,一般来说交换机是不支持的,地址转换就是将你的数据报里的源目地址做一个调换请看下图
当我有一个数据包从192.168.1.2这台用户发送到202.1.1.1这台pc上时,源地址为192.168.1.2,目的地址为202.1.1.1在内网传送,送到出口路由器的时候,使用nat,做一个地址转换将源地址转换成100.1.1代替掉原来的192.168.1.2这个私有地址,所以现在我们这个源目地址为100.1.1.1,202.1.1.1,目的地址是不能变的,不然怎么访问到202.1.1.1这台互联网设备上呢。这时候我们的源地址会变成100.1.1.1这个公网ip,我们这个100.1.1.1是唯一的是吧。我们这个由内到外是没有区别的,因为不管源地址是什么他的目的地址都是到202.1.1.1这台互联网设备的,在内部转发数据包的时候他是不看源地址的。但是呢回包的时候就不一样了,他会做一个源目调换,这就变成了目的地址为100.1.1.1源地址为202.1.1.1,100.1.1.1这个地址是唯一的,这个地址是运营商提供的,唯一的公网地址,这时候,运营商就能转发数据包到100.1.1.1这台出口路由器了,这就不会象其他路由器发送了。那么到了100.1.1.1这台出口路由器并不是终点它得传到内网192.1.2上,那怎么转发呢,一开始从192.168.1.2这台机器转发到100.1.1.1这台出口路由器的时候他就会有一个nat路由转换表,他就会记录到192.168.1.2这个地址它转换到100.1.1.1,那这个表项他会存到缓存里,这时候出口路由器发现这个数据包目的地址是100.1.1.1的时候,它会自动将目的地址转换成192.168.1.2,所以说从出口路由器转发到内网的时候他的源地址是202.1.1.1目的地址就从100.1.1.1变成了192.168.1.2,这是最开始的发包的那台用户,最终完成了来回的路由转换。
总结一下,我们这个nat总共做了两次路由转换第一次是从内到外第二次是有外到内。
NAT不仅能解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的入侵,隐藏并保护网络内部 计算机。
1.宽带分享:这是NAT主机的最大功能。
2.安全防护:NAT之内的Pc联机到internet.上面时,他所显示的IP是NAT主机的公网IP,所以client端的PC就具有一定程度的安全了,外界在进行portscan(端口扫描)的时候,就侦测不到源client端的PC。
优点:节省公有合法IP地址、处理地址重叠、增强灵活性、安全性
缺点:延迟增大、配置和维护的复杂性、不支持某些应用(比如VPN)
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用。
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址替换为对应的公网地址:外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。
、
第一种:
第二种:直接在接口上声明nat地址
EASY IP
ACL: access list 访问控制列表
ACL两种作用:
用来对数据包做访问控制(丢弃或者放行)结合其他协议,用来匹配范围
ACL 工作原理:当数据包从接口经过时,由于接口启用了acl,此时路由器会对报文进行检查,然后做出相应的处理。
ACL 种类:
基本ACL(2000-2999) :只能匹配源ip地址。
高级ACL (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAc地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。
ACL(访问控制列表)的应用原则:基本ACL,尽量用在靠近目的点
高级ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
1、一个接口的同一个方向,只能调用一个acl
2、一个acl里面可以有多个rule规则,按照规则ID从小到大排序,从上往下依次执行3、数据包一旦被某rule匹配,就不再继续向下匹配
4、用来做数据包访问控制时,默认隐含放过所有(华为设备)