NAT网络地址转换协议
文章目录
- 前言
- 一、NAT的工作原理
-
- NAT包含4类地址
- 二、NAT功能
-
-
-
- 优点
- 缺点
-
-
- 三、NAT的实现方式
-
- 1、静态转换(Static Translation)
-
- 配置方法
- 2、动态转换(dynamic Translation)
- 3、端口多路复用(Port Address Translation----PAT)
-
- 3.1基本原理
- 3.2类型
-
-
- 静态PAT
- 动态PAT
-
- 4、ACL控制访问
-
- 4.1ACL的作用
- 4.2ACL的应用原则
- 4.3ACL类型
- 5、NAT配置
-
- 5.1 NAPT配置
- 5.2 Easy IP配置
- 5.3NAT Server 配置
- 总结
前言
认识NAT(Network Address Translation):网络地址转换协议,一般用于实现私有网络与公有网络之间的访问
认识私有网络
A类私有地址:10.0.0.0~10.255.255.255
B类私有地址:172.16.0.0~172.31.255.255
C类私有地址:192.168.0.0~192.168.255.255
一、NAT的工作原理
NAT是用来将内网地址与端口号转换成合理地公网地址和端口号,建立公网与私网之间的会话,实现跨网通信(一个公网地址可以对应多个私网地址)
特点:NAT外部的主机无法主动跟位于NAT内部的主机通信,而内部主机想要通信必须要主动与公网的IP通信(其中路由负责建立映射关系来实现数据的转发功能)
数据有来也有回
从内网–>外网:会转换源IP地址,由私网地址转换成公网地址
从外网–>内网:会转换目的IP地址,由公网地址转换成内网地址
NAT包含4类地址
二、NAT功能
NAT功能有安全分享和安全防护
NAT可以解决IP地址的不足:可以有效的避免来自外部网络的入侵,隐藏并保护网络内部的计算机
优点
节省公有合法IP地址、地址处理重叠、增量灵活性、安全性
缺点
延迟增大、配置和维护的负责性、不支持某些应用(比如VPN)
当所有应用都走公网的时候会加大公网的延迟
三、NAT的实现方式
1、静态转换(Static Translation)
静态NAT可以实现私网地址和公网地址的一对一转换,有多少个私网就要配置多少个公网地址
缺点:不能节省公网地址
优点:可以隐藏内部网络
内部网络向外部网络发送报文时,静态NAT将报文的源IP地址转换为所对应的公网地址,而外部网络向内部网络发送报文时,静态NAT会将报文的目的地址转换为其所对应的私网地址
配置方法
1、全局模式下配置:
nat static global 8.8.8.8 inside 192.168.10.10 #设置静态NAT
int g0/0/1 #进入外网口
nat static enable #启动静态NAT
2、接口上配置:
int g0/0/1 #进入外网口
nat static global 8.8.8.8 inside 192.168.10.10 #设置静态NAT
display nat static #查看静态NAT配置信息
注意:公网地址可以进行自定义,但不能与接口地址相冲!
2、动态转换(dynamic Translation)
多个私网IP地址需要对应多个公网IP地址,是基于地址池的一对一映射,配置指令如下:
1、配置外部网口和内部网口的IP地址
2、定义合法的IP地址
nat address-group1 20.0.0.100 20.0.0.200 #新建一个名为1的nat地址池
3、定义访问控制列表
acl 2000 #创建acl(允许源IP为192.168.10.0/24网段和10.0.0.0/24的数据通过)
rule permit source 192.168.10.0 0.0.0.255 #源地址+反掩码
rule permit source 10.0.0.0 0.0.0.255
4、在外网口上设置动态IP地址转换
nat outbound 2000 address-group 1 no-pat #做允许通过的私网地址的转换,但不做端口转换
display nat outbound #显示NAT端口出方向的信息
3、端口多路复用(Port Address Translation----PAT)
PAT端口多路复用(Network Address PORT Translation)
3.1基本原理
是将不同的私网地址源IP转换为同一公网地址(不同端口号-1~65535对应不同服务)
公网——私网(一对多)
作用:改变数据包的IP地址和端口号;节约公共网地址
3.2类型
静态PAT
NAT Server:内网地址+端口--------公网地址+端口
动态PAT
NAPT:网络地址端口转换——允许多个内部地址映射到同一个公有地址的不同端口
NAPT实现了私有地址对共有地址多对一
Easy IP:Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet(主要是应用在小规模局域网中)
从哪个内网客户端访问外网服务器就是把外网地址转换成其所绑定的内网地址,然后再对这个内网地址进行转发
进程之间都是通过端口来进行通讯的,不同的进程通信应该走不同的端口,且不能有冲突
4、ACL控制访问
4.1ACL的作用
是用于控制设备之间的数据包的互通。
4.2ACL的应用原则
基本ACL:尽量用在靠近目的点
高级ACL:尽量用在靠近源的地方(可以保护带宽和其他资源)
4.3ACL类型
| 基本ACL | 2000~2999 | 只能匹配源IP地址 |
|---|---|---|
| 高级ACL | 3000~3999 | 可以匹配源IP、目标IP、源端口、目标端口等三层和四层字段协议 |
| 二层ACL | 4000~4999 | 根据数据包的源MAC地址、目标MAC地址、802.1q优先级、二层协议类型等二层信息定制规则 |
5、NAT配置
5.1 NAPT配置
nat address-group 1 200.1.1.20 200.1.1.20 #配置NAPT(多个内网地址对应固定外网地址)
acl 2000 #允许目标网段通过
rule permit source 192.168.10.0/24 #允许网段的数据通过
nat outbound 2000 address-group 1 #在外网口上设置IP地址转换
5.2 Easy IP配置
1、配置外网口和内网口IP地址
2、定义合法合理的外网口IP地址
3、定义访问控制列表
4、在外网口设置IP转换地址,到接口时,自动转变为公网地址,不需要再配置公网地址
display nat session all #显示NAT流表信息
5.3NAT Server 配置
nat server protocol tcp global 9.9.9.9 www inside 10.1.1.1 www #公网地址映射成内网地址
##www是指80端口;ftp是指21端口
总结
外网与内网之间的转换是可以通过不同的方式进行IP地址转发接入的,如果说我们想要访问指定IP地址时,其实是需要通过ACL访问控制列表permit允许访问才可以进入的,一但ACL给出deny拒绝访问的提示,就会无法进行访问