第九章:NAT(网络地址转换协议) | 您所在的位置:网站首页 › nat的作用及其关键命令 › 第九章:NAT(网络地址转换协议) |
文章目录
一、NAT1、NAT介绍①公有网络地址②私有网络地址
2、NAT工作原理3、NAT功能
二、NAT的实现方式1、静态转换(static Translation)实验对比
2、动态转换2.1 ACL(访问控制列表)2.2 配置动态NAT实验效果
3、端口多路复用3.1 PAT的作用3.2 PAT类型3.3 EasyIP配置3.4 静态PAT配置
三、总结
一、NAT
1、NAT介绍
●NAT称为 “网络地址转换协议” ,用于实现私有网络和公有网络之间的互访。 ●回顾一下网络地址: ①公有网络地址是指在互联网上全球唯一的IP地址 ●A类:1.0.0.1 ~ 126.255.255.254 ●127开头的IP地址代表本机地址, ●B类:128.0.0.1 ~ 191.255.255.254 ●C类:192.0.0.1 ~ 223.255.255.254 ●D类:224.0.0.1 ~ 239.255.255.254 ●E类:240.0.0.1 ~ 255.255.255.254 ②私有网络地址私有网络地址是指内部网络或主机的IP地址,IANA(互联网数字分配机构)规定将下列的IP保留用作死亡地址,不在internet上被分配,可在一个单位公司内部使用: ●A类私有地址:10.0.0.0~10.255.255.255 ●B类私有地址:172.16.0.0~172.31.255.255 ●C类私有地址:192.168.0.0~192.168.255.255 2、NAT工作原理NAT用来将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话,与共外网主机进行通信。 ●特点: NAT外部的主机无法跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现数据的转发。 ●小结: 数据有来也有回 数据包是从内网------》外网(会转换源IP地址,由私网地址转换成公网地址) 数据包是从外网------》内网(会转换目的IP地址,由公网地址转换成内网地址) 3、NAT功能●NAT不仅解决了IP地址不足的问题,而且还能够有效的避免来自网络外部的入侵,隐藏并保护网络内部的计算机。 **①宽带分享:**这是NAT主机最大的功能 **②安全防护:**NAT之内的PC端到internet上面时,他所显示的IP是NAT主机的公网IP,所以客户端段的PC就具有一定程度的安全性,外界在进行portscan(端口扫描)的时候,就侦测不到源客户端的pc。 **优点:**节省公有合法IP地址,处理地址重叠、增强灵活性、安全性。 **缺点:**延迟增大、配置和维护的复制性,不支持某些应用(比如VPN) 二、NAT的实现方式 1、静态转换(static Translation)●静态NAT实现私网地址和公网地址的一对一转换,有多个私网地址就需要配置多少个公网地址。 ●静态NAT不能节约公网地址,但可以起到隐藏内部网络的作用 ●内部网络向外部网络发送报文时,静态将报文的原地址替换为对应的公网地址。 ●外部网络向内部网络发送响应报文时,静态NAT将报文的目的地址替换为相应的私网地址。 ●有两种配置方法 ①全局模式下设置静态NAT [R1]nat static global 10.0.0.5 inside 192.168.10.10 ###全局设置内网IP映射为公网IP #中文:静态NAT 全局 转换后的公网IP 内部 内网IP [R1]int g0/0/1 ###外网口 [R1-GigabitEthernet0/0/1]nat static enable ###在网口上启动nat功能②直接在接口上申明nat static [R1]int g0/0/1 ###外网口 [R1-GigabitEthernet0/0/1]nat static global 10.0.0.5 inside 192.168.10.10 ###全局设置内网IP映射为公网IP [R1]dis nat static ###查看NAT静态配置信息 实验对比●说明:蓝色部分为内网,通过路由器AR1访问外部服务器。上述拓扑图进行正常配置,然后抓包查看公网时源IP和目标IP的地址,抓包图可以看出,源IP为:192.168.10.10,目标IP:10.0.0.2,这正是我们配置的IP。 后续将配置NAT静态,再次查看源和目标IP ●说明:配置NAT静态后,重新抓包发现,源目标IP发生改变,源IP已被转换为公网IP地址。需要注意的是:转换后的公网IP地址不能与公网接口IP冲突。 2、动态转换多个私网IP地址对应多个公网IP地址,基于地址池映射。相当于就多对多映射。 2.1 ACL(访问控制列表)●在理解动态转换之前,需要了解ACL是什么。 ●ACL为访问控制列表,主要作用就是允许或拒绝源地址和反掩码(/24的反掩码:0.0.0.255)通过 ●简单理解:相当于一种协议,门槛,如果要用到动态NAT就必须使用ACL来进行定义数据怎么通过以什么方向通过。 ①工作原理 当数据包从接口经过时,由于接口启动了ACL,此时路由器会对报文进行检查,然后做出相应的处理。 ②ACL种类 基本ACL(2000-2999):只能匹配源IP地址 高级ACL(3000-3999):可以匹配源IP,目标IP,源端口、目标端口等三层和四层的字段和协议 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAC地址、802.1q优先级、二层协议类型等二层信息指定规则。 ③ACL的应用原则 基本ACL,尽量用在靠近目的点 高级ACL,尽量在靠近源的地方(可以保护带宽和其它资源) 2.2 配置动态NAT●定义外网地址池 [R1]nat address-group 1 200.10.100.10 200.10.100.20 ###新建一个名为1的nat公网地址池,范围是200.10.100.10 到200.10.100.20●定义ACL访问列表 [R1]acl 2000 ###创建ACL [R1-ACL-BASIC-2000]rule permit source 192.168.1.0 0.0.0.255 中文: 规则 允许 源头 (要通过的IP地址和反掩码,注:如果要允许所有通过IP为:0.0.0.0) ###允许192.168.1.0网段通过(将permit换成deny则是拒绝)●在外网口上设置动态IP地址转换 [R1]int g0/0/1 ###进入外网口 [R1-GigabitEthernet0/0/1] nat outbound 2000 address-group 1 中文: 端口出的方向 地址组为 ###将ACL 2000匹配的数据转换为地址组里面的任意一个 [R1]dis nat outbound ###查看nat信息表 实验效果●说明:根据静态NAT对比实验,理解了如果不设置NAT,抓包将会出现我们配置的源和目标IP,这里直接体现当我们配置了动态NAT时查看抓包数据。 ●使用PC2去pingPC3时,原来源IP应为:192.168.1.20,现设置了动态NAT后,源IP将会在公网地址池中随机映射一个公网IP。由抓包数据发现源IP已变为200.10.12,属于我们设置的公网地址池中的一个。 ●再来看一下PC1pingPC3时源IP将会映射什么样的公网IP。 ●说明:可发现源IP已变成200.10.100.17,也在公网地址池范围内。 3、端口多路复用 3.1 PAT的作用●改变数据包的IP地址和端口号 ●能大量节约公网IP地址 3.2 PAT类型●动态PAT:包括NAPT和EasyIP ●静态PAT:包括NAT Server 3.3 EasyIP配置●Easy IP:多个私网IP地址对应路由器外网接口公网IP地址,相当于多对一 优势:不需要像静态NAT和动态NAT那样消耗大量的公网IP地址。 ●定义ACL访问控制列表 [R1]acl 2000 ###创建ACL [R1-acl-adv-2000]rule permit source 192.168.1.0 0.0.0.255 #允许192.168.1.0网段ip地址通过● 在外网口上设置动态IP地址转换 [R1]int g0/0/1 ##进入外网口 [R1-GigabitEthernet0/0/1]nat outbound 2000 ##当ACL2000匹配到源ip数据到达此接口时,转换为该接口的IP地址作为公网ip地址(此处不需要再标识地址池,因为前面没有定义,且是转换为端口ip) [R1]display nat outbound ###查看nat信息表●实验效果 ●说明:在PC2上进行配置PC3,可发现源ip地址已被转换为:200.10.100.1。 ●说明:在PC1上进行pingPC3,可发现源ip转换的外网地址与PC2转换的一致,所以可以呈现出多对一的效果。 3.4 静态PAT配置●NAT Server:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问。 ●在外网口设置静态PAT转换 [R1]int g0/0/1 ###进入外网接口 [R1-GigabitEthernet0/0/1]nat server protocol tcp global 200.10.100.5 21 inside 192.168.1.10 21 ###设置服务器ip和端口映射为公网ip地址和端口号(公网ip存储在本机回环上,且子网掩码为32,所以需要设置静态路由) R1-GigabitEthernet0/0/1]display nat server ###查看nat服务器 [R1]nat alg all enable #FTP服务默认数据端口没有开启,需要手动去开●设置静态路由 [R1]ip route-static 0.0.0.0 0.0.0.0 200.10.100.2 ###设置默认路由 [R2]ip route-static 200.10.100.5 32 200.10.100.2 ###设置静态路由(目的地址是R1的公网地址,也就是服务器映射的公网地址,它存储在回环上面,子网掩码为32) 三、总结●NAT 是对内网IP/PORT 转换为外网IP/PORT 的一种映射的技术 ●NAT 的作用: ① 节省ipv4地址(跨2个网络环境的IP就可以借助于NAT的技术来支持重复IP) ② 安全性(让外网网络设备无法直接获取内网的IP/PORT) ③ 灵活性 ●NAT 常用的方式: ① EasyIP ——》EIP : 一组内网地址映射为一个外网接口IP 场景:常规企业的公网IP 例如www.baidu.com 域名对应的IP ② 静态NAT ③ 静态PAT ④ 动态NAT-PAT 2 - 4 主要用于公司内部进行划分 ●静态NAT 配置: 两种方式:一种在系统视图模式配置 一种在接口模式中配置 ●动态NAT配置 需要配置ACL ●ACL 范围: 基本acl (2000-2999) :只能匹配源ip地址。 (与接口中的outbound 和inbound(方向)来配合) 高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。 二层ACL(4000-4999):根据数据包的源MAC地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。 |
CopyRight 2018-2019 实验室设备网 版权所有 |