学网络必须得知道的知识!最细NAT讲解
NAT技术
NAT是一个可以将内外网地址互相转换的存在,它的提出是为了解决一个问题:内网的主机已经被分配了IP地址,这些IP地址只能在内局域网里面使用,但是这个时候内网的主机又想和外网通信,NAT就可以把内网地址转换为外网地址来实现互联通信。
(私有地址是指个人或者组织团体内部使用的不能够在Interne t上面进行通信的地址,公有地址是指专门的机构进行管理分配,可以在Internet上进行通信的地址)
这样做可以在一定程度上把内外网分隔开来,保证了内网的安全性,因为当内网主机使用NAT连接到外网上面时,所显示的都是公共IP,就隐藏了原本的IP。按照这个逻辑,从内网发给外网的数据包掩盖的就是源IP地址,从外网发给内网的数据包转换的就是目的IP地址。
工作原理
静态NAT:是将内部主机地址与外部地址进行一对一转换,也就是说一个内网私有地址就需要独占一个固定公有IP地址,所以主要是用在内部局域网中对外提供服务的服务器上面。下图中的内外网分界路由器上面有一个NAT映射表,可以看到公私有地址都是一一对应的。
动态NAT:由于静态NAT容易造成地址的浪费,所以提出了动态NAT地址池的概念,把所有的公有地址组成一个地址池,一对多进行映射。它的转换机制是:在内部网络中的一个IP地址要访问外网时,会临时为这个IP地址分配一个地址池中的未使用过的地址,把地址标记为“in use”,访问完毕时再标为“not use”
基本配置
静态NAT
1.首先为路由器的接口配置IP地址,保证网络的连通性
interface Ethernet0/0/0
ip address 202.101.100.254 255.0.0.0
interface Ethernet0/0/1
ip address 192.168.1.254 255.255.255.0
- 开启静态NAT功能,配置静态NAT转换
interface Ethernet0/0/0
nat static enable
可以在全局模式下进行配置,也可以在接口下配置(但必须是数据包的出端口)
nat static global 202.101.100.1 inside 192.168.1.1
动态NAT
1.首先为路由器的接口配置IP地址,保证网络的连通性
interface Ethernet0/0/0
ip address 200.1.1.254 255.0.0.0
interface GigabitEthernet0/0/0
ip address 192.168.1.254 255.255.255.0
interface GigabitEthernet0/0/1
ip address 192.168.2.254 255.255.255.0
interface GigabitEthernet0/0/2
ip address 192.168.3.254 255.255.255.0
2.创建地址池,配置地址转换的ACL规则(允许192.168.1.0网段访问外网)
nat address-group 1 200.1.1.1 200.1.1.3
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
3.在出接口下配置带地址池的nat outbound
interface Ethernet0/0/0
nat outbound 2000 address-group 1 no-pat