NAT
NAT:網路地址轉換,是爲了解決ipv4地址不夠用而提出的。
幾個概念:如圖
靜態NAT,就是一個內網ip 對應一個外網IP.
動態NAT,就是公網的ip就多個,可以建一個地址池,總的來說還是一對一.
PAT:是對個內網IP對應一個外網ip,通過端口號來區分.
靜態nat配置:
在相應的接口下:
int f0/1
ip nat inside
int s0/1
ip nat outside
ip nat inside source static 192.168.1.100 1.1.1.2,
1.這樣相當於內網的192.168.1.100暴露在公網上了.不安全.
2.這種對應關係是一直存在的.可以通過訪問內部全局地址來訪問內網中與之有對應關係的內部本地地址.
動態NAT,假設我們的公網ip地址有多個:1.1.1.2 到1.1.1.5,
ip nat pool nat1 1.1.1.2 1.1.1.5 建一個出口公網IP地址的池
access-list 1 permit 192.168.1.0 0.0.0.255 建一個允許轉換的內網IP的ACL
ip nat inside source list 1 pool nat1 池和ACL對應起來
1,內部本地地址和內部全局地址是一對一映射動態NAT是臨時的,如果過了一段時間沒有使用,映射關係就會刪除
2.當內網的客戶機訪問外網時,從地址池中取出一個地址爲它建立NAT映射,這個映射關係會一直保持到會話結束。
動態PAT:把動態NAT後面加overload就可以,ip nat inside source list 1 pool nat1 overload
接口PAT:假設公網IP只有一個,但是內網有多臺設備需要訪問外網
則:需要做PAT,
首先做一個ACL,允許內網轉換。
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface Serial0/0 overload 出口ip是配載s0/0上。
sh ip nat trans
Pro Inside global Inside local Outside local Outside global
icmp 1.1.1.2:6 192.168.1.1:6 1.1.1.1:6 1.1.1.1:6
是通過端口號來區分內網設備的.
外網需要訪問內網的服務器的http服務,則要做一個端口映射.
ip nat inside source static tcp 192.168.1.100 80 1.1.1.2 8080 把內網中服務器的端口80 映射成公網出口ip的8080端口,這樣通過訪問1.1.1.2:8080就可以相當於訪問內網中服務器192.168.1.100的80端口.
用路由器模擬pc,
no ip routing
int f0/1
ip add 192.168.1.2 255.255.255.0
no sh
ip default-gateway 192.168.1.254 配一個網關P
今天SM公司打電話過來,讓我自我介紹,我說了我的培訓經歷,已經考取了CCNP,我面試官說那麼長時間已經忘了吧,我說不會,NP是剛考的,他問源NAT和目的NAT的是什麼?我當時愣住了。
源NAT地址轉換是內網用戶要訪問外網時,內網地址轉換爲公網地址,然後纔可以訪問互聯網上的資源的
目的NAT地址轉換是外網地址要訪問內網服務器時,內網服務器地址映射爲外網地址,而外網用戶通過訪問該映射的外網地址就可以訪問內網服務器了,這樣可以保護內部服務器的安全。
外網要訪問內網的服務器,要麼靜態NAT,講內網的一個IP 與外網的出口ip對應起來,這樣通過訪問出口的IP就可以訪問內網的服務器,這樣做的缺點是把服務器完全暴露了。不安全。一般我們會做一個端口映射。如:
外網需要訪問內網的服務器的http服務,則要做一個端口映射.
ip nat inside source static tcp 192.168.1.100 80 1.1.1.2 8080 把內網中服務器的端口80 映射成公網出口ip的8080端口,這樣通過訪問1.1.1.2:8080就可以相當於訪問內網中服務器192.168.1.100的80端口.
這樣做只開放80端口。其他端口不能訪問。