HCIA第十三天
NAT
在IP地址空间中,ABC 三类单播地址中各有一部分地址,他们被称为私有地址(或私网IP地址),其余的都被称为公有地址(公网IP地址)
A:10.0.0.0-10.255.255.255--相当于一个A类的网段作为子网IP地址
B:172.16.0.0-172.31.255.255--相当于16个B类的网段
C:192.168.0.0-192.168.255.255--相当于256个C类网段
私网IP地址具有可复用性,不允许私网IP地址在互联网的使用
习惯将使用私网IP地址通讯的网络称为私网,并且私网IP地址在私网内部需要保证唯一性;使用公网IP地址通讯的网络称为公网
NAT:网络地址转换--基本作用就是实现私网IP地址和公网IP地址之间的转换
华为设备所有NAT相关配置都是在边界路由器的出接口上配置
静态NAT(一对一NAT):通过配置在私网边界路由器上建立维护一张静态地址映射表。静态地址映射表反映了公网IP地址和私网IP地址之间一一对应的映射关系
静态NAT配置:nat static global
Display nat static:查看静态地址映射表
1.必须属于公网IP地址网段中的一个
2.必须是花钱从运营商处买来的地址
地址称为漂浮地址--当通过ARP请求一个漂浮地址时,他将返回其对应物理接口的MAC地址
动态NAT:多对多
配置:1.创建公网IP组--nat address-group<0-7>
公网IP地址必须是连续的并且是经过运营商ISP授权的
2.利用ACL抓取感兴趣流
3.将公网IP组合ACL抓取的流量对应
Nat outbound 2000 address-group 0 no-pat
注:动态NAT需要加no-pat
动态NAT在同一时间内其实也是一个一对一的NAT,当上网流量过大时,将会造成延迟升高的现象
NAPT--网络地址端口映射
可以实现一个公网IP地址对应多个私网IP地址的效果,最多同一时间允许通过65535个数据包
一对多的NAT--EASY IP
NAPT也可以实现多对多的NAT,每一个公网IP 地址同一时间都可以通过65535个数据包
EASY IP配置:
1.在ACL上抓取感兴趣流
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.0.0 0.0.255.255
2.在接口上配置EASY IP
[r2-GigabitEthernet0/0/2]nat outbound 2000
多对多的NAPT配置:
3.将公网IP组和ACL抓取的流量对应
Nat outbound 2000 address-group 0
端口映射:
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80
Warning:The port 80 is well-known port. If you continue it may cause function failure.
Are you sure to continue?[Y/N]:y
[r2-GigabitEthernet0/0/2]nat server protocol tcp global current-interface 8080 inside 192.168.1.20 80