作用:实现私有网络与公有网络之间的相互访问

NAT工作原理

1、用来将内部地址和端口号转化成合法的公有地址和端口号,建立一个会话,与公网主机进行通讯

2、NAT外部主机无法主动跟位于内部的主机通讯,nat内部想要通讯,必须和公网的一个ip通信。路由器负责建立一个映射关系,从而实现数据的转发

nat包含4累地址.png
内网到外网:源IP一直在变,目的ip不变
外网到内网:源ip不变,目的ip一直在变


NAT功能:

解决IP地址不足的问题,有效避免来自外部网络的威胁,并且影藏保护网络内部的计算机。

1、带宽分享(最大功能)

2、安全防护

优点“节省公有合法ip地址、处理地址重叠、增强灵活性、安全性

缺点:延迟增大、配置和维护的复杂性、不支持某些应用


指令:(华为)

静态NAT

私网地址与公网地址一对一转化(无法节约公网地址,可以隐藏内部网络的作用)

注意设置得接口哦,一般是路由器对外的接口(外网口)

第一种:

nat static global X insdie Y;设置X内网ip与Y公网ip(两者相互对应)

int g0/0/1

nat static enable ;进入1号端口并开启该静态nat

第二种:

int g0/0/1

nat static global X inside Y;设置X内网ip与Y公网ip(两者相互对应)

ps:display nat static ;系统视图下查看静态nat配置信息

动态nat

多个私网ip对应多个公网ip地址。等于地址池一对一的关系,但是如DHCP一样:一个私网ip在原对应公网ip被占用下,使用另外一个公网ip

过程:配置外部端口、内部端口的ip地址。定义ip地址池

nat address-group 1 210.0.0.0 210.0.0.300 ;新建一个1号nat地址池,范围是210.0.0.0至210.0.0.300

acl 2000

rule permit source 192.168.20.0 0.0.0.255

rule permit source 11.0.0.0. 0.0.0.255

【建立acl 2000规则,允许192.168.20.0与11.0.0.0网段的流量通过】

int g0/0/1

nat outbound 2000 address-group 1 no-pat ;把acl规格匹配的数据转换成接口ip地址作为源地址(no-pat是不做端口转换的意思,就是只转化ip,不转化端口映射)

ps:display nat out bound 查看nat outbound的信息

PAT

PAT端口多路复用

PAT又称NAPT,实现一个公网地址和多个私网地址之间的映射。因此可以节约公网地址。pat的基本原理是将不同私网地址的报文资源ip地址转化成为同一个公网ip,但是他们被转化成该地址的不同端口号,因而可以共享同一地址。

1、配置外网口和内部网口的ip地址

2、定义合法的ip地址池

pat有以下作用:

1、改变数据包的ip地址和端口号

2、节约大量的公有ip地址

pat的类型有以下

1、动态pat;napt(自定义ip,随便设置)和easy ip(外网接口ip)

2、静态pat;包含nat server


指令:

napt:多个私网ip地址对应固定的外网ip地址(这个外网ip不是公网ip),这个外网ip可自定义(无规则)

nat address-group 1 200.1.1.10 200.1.1.10;定义一个合法的ip地址池1号,自定义一个固定ip:200.1.1.10

接着定义acl规则:

acl 2000

rule permit source 192.168.30.0 0.0.0.255;允许192.168.30的网段流量通过

int g0/0/1;外网的路由接口

nat outbound 2000 address-group 1 ;采用acl 2000规则并在该接口上使用自定义的ip

easy ip:多个私网ip地址对应外网口公网ip地址

1、配置外部网口与内部网口的ip地址

2、定义合法的ip地址池

内网ip直接绑定外端口的公网ip

首先定义acl规则

acl 3000;高级acl

rule permit ip source 192.168.10.0 0.0.0.255 ;允许192.168.10.0网段流量通过

然后进入外网的端口

int g0/0/1;设定为外网端口

nat outbound 3000;g该外网端口采用acl 3000配置。(由于没有自定义外网ip,所以省略)

ps:display nat session all;系统模式下查看NAT的流表信息

NAT server

端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问

int g0/0/1;进入该外网端口

nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www ;在连接公网接口上的端口将私网服务器地址和公网地址做一对绑定

nat server protocol tcp global current-interface 8080 inside 10.1.1.1 www ;在连接公网接口上的端口将私网服务器地址和外网接口做一对绑定

nat server protocol tcp global current-interface 2121 inside 10.1.1.2 ftp ;在连接公网接口上的端口将私网服务器地址和外网接口做一对绑定