网络地址转换技术NAT(第九课)
一 什么是NAT?
NAT是网络地址转换的缩写,是一种在计算机网络中使用的技术,可以将私有地址转换为公共地址,从而实现本地网络与公共网络的互联。NAT工作在网络层,可以隐藏内部网络中的IP地址和端口号,从而增强网络的安全性和灵活性。在家庭网络、企业网络、公共WIFI热点等场景中广泛应用。
二 NAT 的作用?
NAT的全称是网络地址转换(Network Address Translation),它是一种在计算机网络中常见的技术。它的作用是将私有网络(Private Network)中的IP地址转换为公共网络(Public Network)中的IP地址,从而可以让私有网络中的计算机通过公共网络与其他计算机通信,同时也可以隐藏私有网络的真实IP地址,提高网络的安全性。NAT技术广泛应用于家庭网络、企业网络和公共场所的网络中。
三 Nat的理论部分?
3.1 NAT 的核心表?
NAT核心表通常包括以下信息:
内部地址:指内部网络的私有地址。
外部地址:指NAT设备为内部地址所分配的公网地址。
工作状态:指当前记录的状态,如建立连接、关闭连接等。
超时时间:指NAT设备维持该转换状态的时间。
端口转换:指NAT设备进行的端口转换,将内部地址和端口映射到公网地址和端口。
NAT核心表可以帮助NAT设备进行地址和端口转换,并通过记录转换状态进行管理和优化。同时,NAT核心表的大小和容量将直接影响NAT设备的转换效率和性能。
3.2 Nat 的分类?
NAT(Network Address Translation)是网络地址转换的意思,根据其功能和作用,可以分为以下三种类型:
静态NAT(Static NAT):将一个或多个外部公网IP地址映射到内部网络的私有IP地址,保证内部网络的安全性和隐私性。
动态NAT(Dynamic NAT):动态地将一个或多个外部公网IP地址分配给内部网络的设备,实现内部网络与外部网络的通信。
PAT(Port Address Translation):一种特殊的NAT形式,将内部网络中许多私有IP地址映射到一个或多个公网IP地址上,同时使用不同的端口号使内部网络中的多个设备可以同时与外部网络通信。
3.3 NAT转发表
每一个条目 1个私有 和 1个公有 绑定在一起
数据包从内向外发送时
- 转换的是数据包的:“源IP地址”,由私转公
- 先经过路由表,再经过NAT表
数据包从外向内返回时
- 转换的是数据包的:“目标IP地址” 由公转私
- 先经过NAT表,再经过路由表
四 什么是静态Nat?
静态NAT一般由网络管理员手动配置,将内部网络中的IP地址映射到公网的唯一IP地址上。这个唯一的IP地址可以是企业所拥有的公网IP地址,也可以是ISP提供的NAT地址。
与动态NAT相比,静态NAT的转换规则比较固定,转换后的IP地址也比较稳定,因此可以提高网络连接的稳定性和安全性。但是静态NAT需要管理员手动配置,因此管理起来比较麻烦。
总结:静态NAT技术 是一对一的关系 这样不但没有节约IP地址 反而还浪费了IP地址
配置代码
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.248
nat static global 100.1.1.2 inside 192.168.1.1 netmask 255.255.255.255
interface GigabitEthernet0/0/0
ip address 100.1.1.2 255.255.255.248
#
interface GigabitEthernet0/0/1
ip address 200.1.1.254 255.255.255.0
#
interface GigabitEthernet0/0/2
#
在R1 R2 中配置IP地址 后设置一条 默认路由连接外网 能让这俩个路由器ping 通
[R1-GigabitEthernet0/0/1]nat ?
outbound Specify net address translation
server Specify NAT server
static Specify static NAT
[R1-GigabitEthernet0/0/1]nat s
[R1-GigabitEthernet0/0/1]nat st
[R1-GigabitEthernet0/0/1]nat static ?
enable Enable function
global Specify global information of NAT
protocol Specify protocol
[R1-GigabitEthernet0/0/1]nat static g
[R1-GigabitEthernet0/0/1]nat static global ?
X.X.X.X Global IP address of NAT
interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.248
nat static global 100.1.1.3 inside 192.168.1.1 netmask 255.255.255.255
nat static global 100.1.1.4 inside 192.168.2.1 netmask 255.255.255.255
nat static global 100.1.1.5 inside 192.168.4.3 netmask 255.255.255.255
nat static global 100.1.1.6 inside 192.168.5.6 netmask 255.255.255.255
#
return
[R1-GigabitEthernet0/0/1]interface GigabitEthernet0/0/1
ip address 100.1.1.1 255.255.255.248
nat static global 100.1.1.3 inside 192.168.1.1 netmask 255.255.255.255
nat static global 100.1.1.4 inside 192.168.2.1 netmask 255.255.255.255
nat static global 100.1.1.5 inside 192.168.4.3 netmask 255.255.255.255
nat static global 100.1.1.6 inside 192.168.5.6 netmask 255.255.255.255
为什么?
五 什么是动态Nat?
动态NAT(Network Address Translation)是一种网络协议,它可以将私有IP地址映射为公共IP地址,从而实现内部网络与外部网络之间的互联。动态NAT使用动态端口映射技术,将多个内部IP地址映射到唯一的公共IP地址上。对于出站数据包,动态NAT会将源IP地址和端口号与一个公共IP地址和端口号进行映射;对于入站数据包,动态NAT会通过查找已建立的映射表,将目标IP地址和端口号与一个内部IP地址和端口号进行映射。动态NAT可以有效地扩展IP地址空间,同时提高网络的安全性和灵活性。
总结一句话:动态NAT没有从根本上解决IPd地址都浪费
[R1]ping 100.1.1.2
PING 100.1.1.2: 56 data bytes, press CTRL_C to break
Reply from 100.1.1.2: bytes=56 Sequence=1 ttl=255 time=120 ms
Reply from 100.1.1.2: bytes=56 Sequence=2 ttl=255 time=20 ms
Reply from 100.1.1.2: bytes=56 Sequence=3 ttl=255 time=20 ms
Reply from 100.1.1.2: bytes=56 Sequence=4 ttl=255 time=20 ms
Reply from 100.1.1.2: bytes=56 Sequence=5 ttl=255 time=10 ms
--- 100.1.1.2 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 10/38/120 ms
[R1]nat
[R1]nat ?
address-group IP address-group of NAT
alg Application level gateway
dns-map DNS mapping
filter-mode NAT filter mode
link-down Link down reset session function
mapping-mode NAT mapping mode
overlap-address Overlap address pool to temp address pool map
static Specify static NAT
[R1]nat a
[R1]nat address-group 2 100.1.1.3 100.1.1.5
[R1]ac
[R1]acl 2000
[R1-acl-basic-2000]ru
[R1-acl-basic-2000]rule 10 p
[R1-acl-basic-2000]rule 10 permit so
[R1-acl-basic-2000]rule 10 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]
sys
Enter system view, return user view with Ctrl+Z.
[R1]int
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 2 no-pat
display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 58544
NAT-Info
New SrcAddr : 100.1.1.5
New DestAddr : ----
New IcmpId : ----
Total : 1
这样安全吗?
六 什么是NAPT技术?
NAPT(Network Address Port Translation)技术是一种基于NAT(Network Address Translation)的技术,它允许多个私有IP地址通过一个或几个公共IP地址来访问互联网。NAPT技术还可以将一个公共IP地址映射到多个私有IP地址,这使得在企业内部或家庭网络中使用多台计算机连接到互联网变得更加容易。NAPT技术通过将源端口号和目的端口号一起翻译来实现IP地址和端口号的转换,这样就可以将多个私有IP地址映射到同一个公共IP地址上,从而实现网络地址转换。
七什么是NAPT之NAT地址池?
NAPT:网络地址端口转换
使用“IP地址+端口号”的形式进行转换,使多个私有IP地址可共用一个公网IP地址访问外网
允许多个私有地址同时转换为同一个公有地址,因此也称为“多对一地址转换”或地址复用
NAPT的实现方式主要有EasyIP和地址池NAPT
地址池NAT在目前企业中应用的最为广泛,是最主流的NAT解决方案
地址池NAT适用于大型企业,主机数量多企业
[R1-acl-basic-2000]display th
[R1-acl-basic-2000]display this
[V200R003C00]
#
acl number 2000
rule 10 permit source 192.168.1.0 0.0.0.255
#
return
[R1-acl-basic-2000]
dis
display n
display nat s
display nat session a
display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59173
NAT-Info
New SrcAddr : 100.1.1.5
New DestAddr : ----
New IcmpId : 10254
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59172
NAT-Info
New SrcAddr : 100.1.1.5
New DestAddr : ----
New IcmpId : 10253
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59171
NAT-Info
New SrcAddr : 100.1.1.5
New DestAddr : ----
New IcmpId : 10252
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59170
NAT-Info
New SrcAddr : 100.1.1.5
New DestAddr : ----
New IcmpId : 10251
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.1
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59168
NAT-Info
New SrcAddr : 100.1.1.5
New DestAddr : ----
New IcmpId : 10250
Total : 5
dis
display na
display nat s
display nat s
display nat session a
display nat session all
NAT Session Table Information:
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59241
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10272
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59240
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10271
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59239
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10270
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59234
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10266
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59233
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10265
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59232
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10264
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59231
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10263
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59229
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10261
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59235
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10267
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59237
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10268
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59238
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10269
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59244
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10275
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59224
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10256
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59225
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10257
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59226
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10258
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59227
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10259
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59228
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10260
Protocol : ICMP(1)
SrcAddr Vpn : 192.168.1.2
DestAddr Vpn : 200.1.1.1
Type Code IcmpId : 0 8 59230
NAT-Info
New SrcAddr : 100.1.1.3
New DestAddr : ----
New IcmpId : 10262
Total : 18
抓包
八 Http实验
加上几台HTTP服务器
九 什么是NAPT-easy-IP是啥?
NAPT-easy-IP是一种网络协议,全称是Network Address Port Translation - easy IP。它是一种用于在局域网和广域网之间进行通信的协议,可以实现将一个公网IP地址映射到多个内部私有IP地址,从而实现多台设备共享同一个公网IP地址的功能。NAPT-easy-IP协议可以有效地解决IPv4地址不足的问题,并且可以为企业或家庭用户提供更加灵活的网络连接方式。