NAT轉換;PNAT
參考:https://blog.csdn.net/gui951753/article/details/79593307
原因:私網地址和公網地址只能在各自的環境下使用
解決:使用默認路由和nat實現內部IP地址和外部公有地址的轉換路由
Nat:工作時依靠一個核心工作表:nat轉換表私有地址1——公有地址1
靜態nat:在邊界設備上,手動的創建nat轉換條目;
動態nat:在邊界設備上,設備基於數據包觸發而形成nat轉換條目;不需要人工干預。如果一個nat轉換條目在一段時間之內不使用,會自動刪除
Nat(network address translation)地址轉換協議,在邊界網關實現公有地址和私有地址之間轉換
Tips:
Cisco:router rip;passive被動-interface g1/0(rip包不從此端口發出)
靜態nat配置:
思路:1.確定nat的網絡邊界
2.配置nat轉換條目
3.驗證、測試、保存
Cisco:
1、 端口IP地址配置,交換機vlan配置,運營商的網絡配置(igp);靜態路由
2、 邊界路由Nat配置(R3)
Interface f0/0:ip nat inside(端口界面)
Interfaceg1/0:ip nat outside(端口界面)
Ip nat inside source static 192.168.10.1 100.1.1.X(配置界面)
驗證:show ip nat translation(查看nat轉換表);debug ip nat
Tips:配置路由協議時考慮內網外網(IGP和EGP)
華爲靜態nat配置
1、 啓動功能
在任意端口上都可以啓用
端口模式:nat static enable
2、 配置nat轉換條目
可以在全局模式下配置
Nat static global 100.1.1.3(這個在華爲上要用另一個外網IP地址) inside 192.168.10.1
可以再接口模式下(必須在出端口上)
Nat static global 100.1.1.3 inside 192.168.10.1
3、 驗證
Display nat static
Terminal monitor(ping 目的地址服務器)
Terminal debugging
Debugging ip icmp
Debugging nat all(nat服務器)
靜態nat:
在這種類型的nat中,私有地址與公有地址對應關係是1:1
在動態nat的一種類型中——pnat
所形成的的私有地址與公有地址的對應關係式n:1,節省IP地址
、PNAT:
(port nat也叫作nat重載/複用)用一個公網地址的不同端口號,對應內網不同私網地址
改變外出數據包的源IP地址和源端口
配置思路:
1、 確定nat邊界
2、 確定需要進行nat轉換的私有地址空間
a) 工具:ACL(access control list訪問控制列表)
匹配感興趣的流量:內網中所有數據包原ip爲192.168.10.X的ip數據包
192.168.10.0——》0.0.0.255通配符(wildcard bits)
規則: 通配符中0所對應的IP地址是關注的//按照這個規則可以抓住IP地址爲192.168.10.X的所有的數據包
Acl
規則——匹配感興趣的流量
動作——permit(允許)/deny(拒絕)
事件——需要對感興趣流量做的事情
3、 針對私有地址,配置對應的nat轉換條目
4、 驗證、測試、保存
Cisco配置:
創建acl:access-list 1 permit 192.168.10.0 0.0.0.255
Nat轉換條目:ip nat inside source list 1 (對應上面acl)interface gi1/0
驗證:show ip nat statistics(查看nat的簡要配置信息);show ip access-list ;show ip nat translation(查看nat的核心工作表);
Debug ip nat
Tips:思科設備ctrl +a(ahead)到一排命令開頭;ctrl+e(end)到最後
華爲pnat配置
1、 定義感興趣的流量
acl 200
rule 5 permit 192.168.10.0 0.0.0.255
2、 在流量的出端口配置nat
端口模式:nat outbound 2000
思考:內網可以向外網主動發送數據,被動時呢?外網可以主動訪問內網的服務器麼?
Nat路由器數據轉發過程:
內網——外網:先查rib(route information base 路由信息表);再過nat轉換
外網——內網:反過程,先查nat表,再看rib表
解決:讓邊界網關上面有nat條目(非內網流量觸發,而是永久存在的靜態nat條目)
nat的高級應用端口映射(靜態nat)
命令:ip nat inside source static tcp 192.168.10.1 23(代表telnet服務) 100.1.1.3 123456
華爲命令