一、NAT的概念
网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时,通过NAT技术可以将其私网地址转为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址
二、NAT的应用场景
企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公关网络,使用的是公有地址。私有地址不能在公网中路由。
NAT一般部署在连接内网和外网的网关设备上
三、NAT的类型
NAT的实现方式由多种,适用于不同的场景
1、静态NAT
静态NAT实现了私有地址和公有地址的一对一映射
一个公网IP只会分配给唯一且固定的内网主机
如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT
但是在大型网络中,这种一对一的IP地址映射无法缓解公有地址短缺的问题(无法节省IP)
2、动态NAT
动态NAT基于地址池来实现私有地址和公有地址的转换
动态NAT地址池的地址用尽后,只能等待被占用的公网地址被释放后,其他主机才能使用它访问公网
(多对多,不节省公有IP地址)
四、NAPT
1、NAPT的概念及工作原理
NAPT(Network Address Port Translation),也称为NAT-PT或PAT,网络地址端口转换,允许多个私网地址映射到同一个公网地址的不同端口
通常是企业,家庭上网的默认方式
2、Easy IP
Eeasy IP适用于小规模局域网中的主机访问Internet的场景
小规模局域网通常部署在小型的网吧或者办公室中,这些地方内部主机不多,出接口可以通过拨号方式获取一个临时公网IP地址。Eeasy IP可以实现内部主机使用这个临时公网IP地址访问Internet
五、NAT服务器
NAT在使私网用户访问公网的同时,也屏蔽了公网用户访问私网主机的需求
所以当一个私网需要向公网用户提供各种网络服务时,私网中的服务器必须随时可以公网用户访问
NAT服务器可以实现这个需求,但是需要配置服务器私网地址和端口号转换为公网地址和端口号并发布出去
六、NAT配置方法
1、静态NAT配置
一个私网IP地址对应一个公网IP地址,有两种配置方法:
第一种:
全局模式下(系统视图下)
Nat static global 8.8.8.8 inside 192.168.10.10 //使用NAT用公网IP 8.8.8.8 代替私网IP
在接口上启动 nat static enable 功能
Int g0/0/0→nat static enable (开启静态nat)
要配回程路由
第二种
直接在接口上声明nat static (一般使用第一种,因为如果接口坏了,还要重新设置)
Int g0/0/1
Nat static global 8.8.8.8 inside 192.168.10.10
2、动态NAT配置
多个私网IP地址对应多个公网IP地址
Nat address-group 1 212.0.0.100 212.0.0.200 //新建为1的nat地址池
Acl 2000 //创建acl,允许源地址为192.168.20.0网段和11.0.0.0的数据通过
Rule permit source 192.168.20.0 0.0.0.255 //网关+反掩码
Rule permit source 11.0.0.0 0.0.0.255
Int g0/0/1 //外网口
Nat outbound 2000 address-group 1 no-pat //acl2000匹配的数据转换为接口的IP地址作为源地址(no pat不做端口转换,只做IP地址转换,默认为pat)
Dis nat outbound //查看NAT outbound的信息
要配回程路由
3、Easy IP配置
多个私网IP地址对应外网口公网IP地址
由于直接使用外网口IP地址,所以不用再定义IP地址池
Acl 3000
Rule permit ip source 192.168.30.0 0.0.0.255 //允许源地址为192.168.30.0的网段数据通过
Nat outbound 3000 //acl3000匹配的的源IP到达此接口时,转换为该接口的IP地址作为源地址(进入外网接口进行配置int g/0/0/1)
Dis nat session all //查看NAT的流表信息
在直连网段,不需要配回程路由
4、静态PAT—NATserver
NATserver:端口映射,将私网地址端口映射到公网地址,实现内网服务器供外网用户访问
Nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www(在外网子接口配置)
//在连接公网的接口上,将私网服务器和外网接口做一对一NAT映射绑定
Dis nat session all
要配回程路由
七、有关NAT多种类型配置的实验分析
如图所示,需将vlan10配置为静态NAT(公网IP8.8.8.8),vlan20和vlan40配置为动态NAT,vlan30配置为easyip,将server1映射到公网上(公网IP9.9.9.9)
步骤如下:
1、对SW1进行配置,首先进行VLAN划分,6个access口分别进行vlan划分,过程可参考之前VLAN划分的配置方法,然后dis vlan查看是否配置正确
2、对三层交换机SW1添加IP地址,VLANIF10、20、30、40添加IP地址,并查看是否添加正确
1 [SW1]int vlanif10 //进入VLANIF添加网关,子网掩码 2 [SW1-Vlanif10]ip add 192.168.10.1 24 3 [SW1-Vlanif10]un sh 4 [SW1-Vlanif10]int vlanif20 5 [SW1-Vlanif20]ip add 192.168.20.1 24 6 [SW1-Vlanif20]un sh. 7 [SW1-Vlanif20]int vlanif30 8 [SW1-Vlanif30]ip add 192.168.30.1 24 9 [SW1-Vlanif30]un sh 10 [SW1-Vlanif30]int vlanif40 11 [SW1-Vlanif40]ip add 11.0.0.2 24 12 [SW1-Vlanif40]un sh 13 [SW1-Vlanif40]dis ip int brief //查看添加是否正确
3、给SW1配置路由,往上走为默认路由
1 [SW1]ip route-static 0.0.0.0 0.0.0.0 11.0.0.1 //向上指默认
4、配置R1,添加端口IP地址,配置路由,向上一条默认路由,下一条地址为12.0.0.2;三条向下静态路由,下一条地址是11.0.0.2
1 <Huawei>sys 2 [Huawei]sys R1 3 [R1]int g0/0/1 4 [R1-GigabitEthernet0/0/1]ip add 12.0.0.1 24 5 [R1-GigabitEthernet0/0/1]int g0/0/0 6 [R1-GigabitEthernet0/0/0]ip add 11.0.0.1 24 7 [R1-GigabitEthernet0/0/0]q 8 [R1]ip route-static 0.0.0.0 0.0.0.0 12.0.0.2 //上指默认 9 [R1]ip route-static 192.168.10.0 24 11.0.0.2 //下指静态 10 [R1]ip route-static 192.168.20.0 24 11.0.0.2 11 [R1]ip route-static 192.168.30.0 24 11.0.0.2
5、配置R2,添加IP地址以及回环地址
1 <Huawei>sys 2 [Huawei]sys R2 3 [R2]int g0/0/0 4 [R2-GigabitEthernet0/0/0]ip add 12.0.0.2 24 5 [R2-GigabitEthernet0/0/0]int g0/0/1 6 [R2-GigabitEthernet0/0/1]ip add 13.0.0.1 24 7 [R2-GigabitEthernet0/0/1]q 8 [R2]int LoopBack 0 9 [R2-LoopBack0]ip add 114.114.114.114 32
6、在R1上配置静态NAT映射VLAN10,公网地址为8.8.8.8,需要代替的地址为192.168.10.10(PC1)
1 [R1]nat static global 8.8.8.8 inside 192.168.10.10 //配置静态NAT,全局模式下 2 [R1]int g0/0/1 //进入外网接口 3 [R1-GigabitEthernet0/0/1]nat static enable //静态NAT开启
配置回程路由,在R2上面配,目标地址是公用地址8.8.8.8,下一条地址是12.0.0.1
1 [R2]ip route-static 8.8.8.8 32 12.0.0.1
7、用动态NAT配置VLAN20和VLAN40,在R1上配置
1 [R1]nat address-group 1 212.0.0.100 212.0.0.200 //定义该地址池为1 2 [R1]acl 2000 //acl编号为200 3 [R1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255 //允许192.168.20.0网段数据通过(VLAN20) 4 [R1-acl-basic-2000]rule permit source 11.0.0.0 0.0.0.255 //允许11.0.0.0网段数据通过(VLAN40) 5 [R1-acl-basic-2000]int g0/0/1 //进入外网接口 6 [R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat //ACL2000匹配的数据转换为该接口的IP地址作为源地址(no pat不做端口转换,只做IP地址转换,默认为pat)
配置回程路由,在R2上面配置,目标网段为地址池的地址212.0.0.0,下一条地址是12.0.0.1
1 [R2]ip route-static 212.0.0.0 24 12.0.0.1
测试
在PC2上ping 114.114.114.114
8、用easyip配置VLAN30,因为是直连网段,不需要配回程路由
1 [R1]acl 3000 2 [R1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255 //配置nat公网池,该地址池允许192.168.30.0网段数据通过 3 [R1-acl-adv-3000]int g0/0/1 //进入外网接口 4 [R1-GigabitEthernet0/0/1]nat outbound 3000 //使用ACL3000
测试
抓包数据
9、在R1上配置NATserver映射(进入外网接口上配置)
1 [R1]int g0/0/1 2 [R1-GigabitEthernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www //在连接公网的接口.上将私网服务器地址和公网地址做一对NAT映射绑定
需要配置回程路由
在R2上面配置,目标IP为9.9.9.9,下一条地址为12.0.0.1
1 [R2]ip route-static 9.9.9.9 32 12.0.0.1
配置服务器的IP、子网掩码、网关
客户端进行IP地址、子网掩码、网关配置
八、小结
1、静态NAT、动态NAT、NATsever配置都需要配置回程路由,目标IP网段为公网网段
2、easyIP配置因为是直连网段,不需要配置回程路由