背景:
隨着網絡的發展, IP地址的規模越來越大、浪費越來越嚴重,但IP地址空間有限,未解決這種窘境開發出了:
-公有地址|私有地址 (NAT)
-子網劃分
-IPv6
因爲內網是私有地址,私有地址沒有資格在 Internet 流通,數據出去,但是回不來!
所以有人想出:
讓企業的數據包在出去的時候,
攜帶的並不是內部的私有地址,
而是自己花錢買的公網IP地址;
所以就有了NAT技術。
NAT:network address translation
NAT作用:
將內網的數據包中的源IP地址,轉換爲購買的公網IP地址;
NAT工作的時候,是依靠一個核心工作表:
NAT轉換表;
私有地址1 ----- 公有地址1
--------
分類:
靜態NAT:
在邊界設備上,手動的創建 NAT 轉換條目;
私有:公有 ===== 1:1
動態NAT:
在邊界設備上,設備基於數據包觸發而形成的 NAT 轉換條目,
不需要人工干預。如果一個NAT轉換條目在一段時間之內不使用,
在會自動的在 NAT 轉換表中自動刪除;
-基本動態NAT
私有:公有 ===== 1:1
-P-NAT(端口複用)
私有:公有 ===== N:1
NAT高級應用:
端口映射
ip nat inside source static tcp 192.168.1.1 23 100.1.1.1 10011
NAT配置思路:
1、配置內網和外網設備的IP地址
2、配置網關設備上的默認路由
ip route 0.0.0.0 0.0.0.0 100.1.1.4
3、配置 ISP 邊的網絡(內網啓用IGP - RIP )
ISP:
router rip
version 2
no auto-summary
network 200.1.1.0
network 100.0.0.0
passive-interface gi1/0
R5:
router rip
version 2
no auto-summary
network 200.1.1.0
3、在網關設備上配置 NAT 邊界
interface fa0/0
ip nat inside
interface gi1/0
ip nat outside
4、配置 NAT 轉換條目
ip nat inside source static 192.168.10.1 100.1.1.3
5、驗證、測試、保存
show ip route
show ip nat translation
debug ip nat
PC-1:
ping 200.1.1.5
==============================================================
靜態NAT:
在這種類型的NAT中,私有地址與公有地址的對應關係是 1:1 , 不節省IP地址;
在動態NAT的一種類型中 ---- PNAT(port NAT) ,
所形成的私有地址與公有地址的對應關係是:n:1 ,節省IP地址;
本質是:
使用同一個公網IP地址的,不同的,端口號,來對應內網不同的私有主機
配置思路:
1、確定 NAT 邊界
2、確定需要進行 NAT 轉換的私有地址空間
工具
-匹配感興趣的流量
內網中
所有
數據包源IP
爲192.168.10.X 的
IP數據包
規則1: 192.168.10. 0
0 . 0 . 0.255 -->通配符
//按照這個規則,可以抓住所有源IP地址
爲 192.168.10.X 的所有數據包;
工具,稱之爲 ACL - access control list :訪問控制列表
ACL:
規則 - 匹配感興趣流量的;
動作 - permit / deny
事件 - 需要對“感興趣流量”做的事情。
access-list 1 permit 192.168.10.0 0.0.0.255
3、針對私有地址,配置對應的 NAT 轉換條目
GW(config)# ip nat inside source list 1 interface gi1/0
4、驗證、測試、保存
show ip nat statistics //查看 NAT 的簡要配置信息;
show ip access-list // 查看配置好的 ACL ;
show ip nat translation // 查看 NAT 的核心工作表 - NAT表
GW#debug ip nat
PC-1/2:
ping 200.1.1.5
================================================================
在邊界網關上,如果實施了NAT ,那麼:
1、當流量從inside到outside時,先查路由表,再查NAT表;
2、當流量從outside到inside時,先查NAT表,再查路由表;
所以,我們可以在 outside 主動向 inside 發起流量,前提是我們得保證
邊界網關上面是有 NAT 條目的,
當然該條目不能是由內網流量觸發的,而應該是永久存在的靜態NAT條目。
我們將這種配置稱之爲:NAT的高級應用。
代表1:
端口映射
GW(config)#ip nat inside source static tcp 192.168.10.1 23
100.1.1.3 123456
測試:
1、首先配置好 PC-1 的遠程訪問密碼;
2、其次配置好 GW 的遠程訪問密碼;
3、最後,在 R2 上進行測試:
telnet 100.1.1.3 123456
================================================================
華爲NAT (分類與思科完全相同)
靜態NAT :私有地址與公有地址是 1:1 ,不節省IP地址;
動態NAT :私有地址與公有地址是 多:1 , 節省IP地址;
-普通“動態NAT”
-PAT/PNAT/NAPT/端口複用
靜態NAT配置:
1、啓動NAT功能
#在任意端口上啓用都可以
例如:
interface gi0/0/1
nat static enable -->啓動靜態NAT功能
2、配置NAT轉換條目(兩種配置方式)
1# 可以在全局下配置
nat static global 100.1.1.3 inside 192.168.10.1
2# 可以在接口下配置(必須是數據包的出端口)
nat static global 100.1.1.3 inside 192.168.10.1
3、驗證、測試、保存
display nat static
<ISP>terminal monitor
<ISP>terminal debugging
<ISP>debugging ip icmp
<GW>debugging nat all
PNAT的配置:
1、定義感興趣的流量
acl 2000
rule 5 permit source 192.168.10.0 0.0.0.255、
2、在流量的出端口配置NAT
interface gi0/0/1
nat outbound 2000 -->在該端口上發送出去,並且被 ACL 2000
匹配的流量,其中的源IP地址轉換爲該
接口的IP地址;
3、驗證、測試、保存
display nat outbound
感興趣的朋友可以做下下面這個實驗:
