NAT的作用: 在节省IP地址的前提下,实现内网大量主机 与公网互通。 同时, 还能够对企业内部网络起到一定的保护作用, 因为外网用户不能直接进入到公司内部, 隐藏了公司的网络结果。
-在哪里配置? 在公司的边界设备上,可以路由器、交换机,也可以是防火墙。
-NAT的类型 静态NAT @特点:私有地址:公有地址 = 1:1,不节省IP 举例:
R1: (公司的边界设备)
interface gi0/0/1 (公司边界设备连接外网的链路)
nat static global 110.1.1.10 inside 10.1.1.1
在该接口发送数据包的时候,
将源IP地址为 10.1.1.1的数据包
中的源 IP地址,转换为: 110.1.1.10 ;
动态NAT
@特点:私有地址:公有地址 = 1:1,不节省IP
但是就配置量而言,要简单一些;
举例:
R1:
#1.创建ACL,匹配感兴趣的流量
acl 2000
rule 10 permit source 10.1.1.0 0.0.0.255
#2.配置 NAT 地址组
nat address-group 1 110.1.1.10 110.1.1.11
#3.配置 NAT 转换命令
interface gi0/0/1
nat outbound 2000 address-group 1 no-pat
即,在该接口上发送出去的数据包,如果这些数据包的源IP地址被ACL 2000 允许;
那么这些 源IP地址 ,就转换为 address-group 1 中的公网IP地址,
且
私有地址与公有地址是 1:1的关系,不节省IP地址。
注意:
如果删除了 no-pat 关键字,那么内容的大量主机就可以上网了。
因为内网的私有地址发送数据包并被进行地址转换的时候,
是首先使用 address-group 中的 小的公网IP地址+端口号的方式,进行地址转换。
每个公网 IP 地址对应的端口号有 65536 个,
只有当一个 公网IP 地址对应的端口号应用完了以后,才会使用 address-group中的其他的公网IP地址。
PNAT(port network address translation)
@特点:私有地址:公有地址 = 多:1
可以实现大量的公网IP地址的节省。
-easy IP (动态的 PNAT)
举例:
R1:
interface gi0/0/1
nat outbound 2000
即,从该接口发送出去的数据包,如果被 ACL 2000 允许,那么这些数据包的源 IP 地址,
就会被转换为该出接口的 IP 地址。
-nat server (静态的 PNAT)
主要是实现让外部用户主动访问公司内部网络。
比如公司内部服务器的上线或者发布,
都会使用到该技术。
该技术,在工作环境中,一般称之为:端口映射。
举例:
R1:
interface gi0/0/1
nat server protocol tcp global 110.1.1.10 80 inside 10.1.1.88 80
即,当外网用户访问的目标IP地址是 110.1.1.10 的 80 ,并且是 TCP 流量的时候,
R1 就会将这个目标IP地址和端口号转换为:
10.1.1.88 的 80 ,
然后经过 R1 的路由查找,发送到该内网主机。
NAT的配置思路:
1.抓取感兴趣流量;
2.配置NAT地址组(可选)
3.配置NAT转换条目
4.验证与测试
NAT配置注意事项: 1.在边界设备上配置 必须在“数据包从内网发向外网”方向上的“出接口”上进行配置; 2.必须先配置路由,如果没有路由,配置NAT是没有意义的 3. easyIP 与 NAT server 是不冲突的,需要同时配置; 4.边界路由器上同时存在多个表: -路由表 和 NAT 转换表
-数据从内网发向外网时,首先查找路由表,确定的是出接口;
再次查找NAT表, 确定将哪些源IP地址转化为公网IP地址;
-数据从外网发向内网时,首先查找NAT表, 确定将哪些目标IP地址转换为私网IP地址;
再次查找路由表,确定的是内网私网IP地址的主机的位置