NAT 原理与配置
一、NAT概述
NAT(网络地址转换),在日常中有公网地址和私网地址
公网地址是指在互联网上全球唯一的ip地址,私有地址是指内部网络的IP地址和主机的IP地址,一般在一个单位或公司内部使用。
这样做是为了减少IP不足的问题,而这个私网地址转到公网的过程就需要使用NAT。
二、NAT工作原理
NAT用来将内部网络地址和端口号转换成合法的公网地址和端口号,建立一个会话,与公网主机进通信
NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网一个IP进行通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT优点:
能够缓解公网地址紧缺问题。 解决IP地址空间冲突或重叠的问题。 网络扩展性更高,本地控制也更容易。 内网结构变得不可见,从而增加了安全性。 NAT缺点:
因为地址映射的原因,当网络转换过多时会存在转发延迟的问题。 端到端寻址变得困难,因为经过了NAT地址转换相当于换了张脸,想找人就难了。 对于某些应用,无法支持NAT。 NAT产生的表项会占用设备在内存空间。 进行NAT地址转换的设备性能要求高。
NAT地址映射表
内部本地地址(Inside Local)——本地私网地址
内部全局地址(Inside Global)——私网转换成的公网地址
外部本地地址(Outside Local)——公网转换成的私网地址
外部全局地址(Outside Global)——外部公网地址
# 内网1中的PC1访问外网202.1.2.2的时候,转换成外网接口地址。
由于ENSP中使用dis nat mapping table all 查看地址映射表会卡顿甚至无法使用,所以用文字进行表示:
【AR1映射表】
内部本地地址:192.168.1.10:随机端口
内部全局地址:202.1.2.1:随机端口
外部本地地址:202.1.2.2:随机端口 or 空 【因为对于AR1来说,AR2内网地址是不知道的,所以可为空】
外部全局地址:202.1.2.2:随机端口
【AR2映射表】
内部本地地址:192.168.2.10:随机端口
内部全局地址:202.1.2.2:随机端口
外部本地地址:202.1.2.1:随机端口 or 空
外部全局地址:202.1.2.1:随机端口
# AR2上将Server1中的80端口 映射成公网地址202.1.2.1:80,实现内网1的PC访问202.1.2.2:80时能够访问到Server1的网页。
【AR1映射表】
内部本地地址:192.168.1.10:随机端口
内部全局地址:202.1.2.1:随机端口
外部本地地址:202.1.2.2:80 or 空
外部全局地址:202.1.2.2:80
【AR2映射表】
内部本地地址:192.168.2.10:80
内部全局地址:202.1.2.2:80
外部本地地址:202.1.2.1:随机端口 or 空
外部全局地址:202.1.2.1:随机端口
重要
静态NAT私有地址与公网地址一对一映射,不管主机是否在线,地址映射依旧存在动态NAT为避免地址浪费,创建地址池。当私网地址需要访问外网时,从地址池中取出一个地址与私有地址一对一临时映射。NAT server实现内网服务器被外网用户所访问,将私网地址与外网地址进行一个端口映射的操作。NAPT与动态NAT相似,不同的是一个私网地址访问外网时转换成公网地址的随机端口进行访问Easy -ip将私网地址转换成公网接口的随机端口,是小型网络常用的一种实现内网访问外网的方式
静态NAT
简介 私有地址与公网地址一对一映射,不管主机是否在线,地址映射依旧存在。
可实现内外网的双向访问,因为静态NAT中的映射表是固定的。
静态NAT可以实现私网地址映射成公网地址,也能实现公网地址映射成私网地址。
该NAT模式非常浪费公网地址,只能实现一个私网与一个公网地址的映射
AR1:
interface GigabitEthernet0/0/0
ip address 202.1.2.1 255.255.255.0
nat static global 202.1.2.10 inside 192.168.1.10 netmask 255.255.255.255
nat static enable
AR2:
interface GigabitEthernet0/0/0
ip address 202.1.2.2 255.255.255.0
nat static global 202.1.2.20 inside 192.168.2.10 netmask 255.255.255.255
nat static enable
现象:
Client1可以通过202.1.2.20访问Server1的服务
Server1可以通过访问202.1.2.10访问到Client1
动态NAT
简介 为避免地址浪费,创建地址池。当私网地址需要访问外网时,从地址池中取出一个地址与私有地址一对一临时映射。
当内部主机访问外网时,地址标记为In Use,不使用时将回收地址重新标记为Not Use。
该NAT模式无法实现内外网的双向访问,因为动态NAT中的映射表是动态变化的。
且访问需求大的时候会因为地址池供应不够而导致有的用户无法正常获取公网地址访问外网。
AR1:
# 创建地址池0
[AR1]nat address-group 0 202.1.2.5 202.1.2.7
# 创建匹配列表,当识别为内网1主机时才进行NAT地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
# 配置动态NAT,设置匹配列表,设置地址池0,no-pat表示不进行端口转换(否则就是NAPT模式了)
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 0 no-pat
NAT Server 简介 实现内网服务器被外网用户所访问,将私网地址与外网地址进行一个端口映射的操作。
如:将内网192.168.2.10:80与外网地址202.1.2.2:80进行一个映射,当外网其它主机访问202.1.2.2:80的时候就会访问到内网的192.168.2.10:80服务器
AR1:
interface GigabitEthernet0/0/0
ip address 202.1.2.1 255.255.255.0
nat static global 202.1.2.5 inside 192.168.1.10 netmask 255.255.255.255
nat static enable
AR2:
interface GigabitEthernet0/0/0
ip address 202.1.2.2 255.255.255.0
# 将192.168.2.10:80与当前接口的8888端口映射
nat server protocol tcp global current-interface 8888 inside 192.168.2.10 www
NAPT
简介
与动态NAT相似,不同的是一个私网地址访问外网时转换成公网地址的随机端口进行访问。
如:192.168.1.1访问外网时使用地址池中 202.1.2.5:12345 与外网的其它地址进行互访。
AR1:
# 创建地址池0
[AR1]nat address-group 0 202.1.2.5 202.1.2.7
# 创建匹配列表,当识别为内网1主机时才进行NAT地址转换
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
# 配置NAPT,设置匹配列表,设置地址池0,不添加no-pat则为NAPT模式
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 0
Easy-ip
简介
将私网地址转换成公网接口的随机端口,是小型网络常用的一种实现内网访问外网的方式。
AR1:
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.10 0
[AR1-acl-basic-2000]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000
AR2:
interface GigabitEthernet0/0/0
ip address 202.1.2.2 255.255.255.0
nat server protocol tcp global current-interface 8888 inside 192.168.2.10 www
三 静态NAT原理与配置
四:动态NAT原理与配置
五:NAPT原理与配置
六 Easp-IP原理与配置
七:Easy-IP原理与配置
八:实验用到的配置命令
静态NAT
[R1-GigabitEthernet0/0/1]nat static global 100.1.1.10 inside 192.168.1.1 [R1-GigabitEthernet0/0/1]nat static enable
动态NAT配置地址池[huawei]nat address-group 1 100.1.1.15 100.1.1.20 //1为地址池编号 100.1.1.15为start地址,100.1.1.50为end地址 配置公网池100.1.1.15~100.1.1.20[R1]acl 2000 //创建acl条目[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //定义规则,source ip 和反掩码[R1]int g0/0/1 //应用到接口运用acl,并设置动态NET[r1--g0/0/1]nat outbound 2000 address-group 1 no-pat //2000为acl号 no-pat 为参数
Easy IP[R1]acl 2000[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255[R1-acl-basic-2000]quit[R1-G0/0/1]nat outbound 2000
NAT server配置//在R1上配置NAT Server将服务器192.168.1.10的80端口映射到共有地址122.1.2.1的8080端口[R1]int g0/0/[R1-0/0/1]ip address 122.1.2.1 24[R1] nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
NAPT[R1]nat address group 1 122.1.2.1 122.1.2.1 //设置地址池[R1]acl 2000[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 //设置匹配规则[R1-acl-basic-2000]quit[R1]int g0/0/1[R1-g0/0/1]nat outbound 2000 adress-group 1
九:实验
实验9.1 静态NAT配置
首先配置终端设备,路由器的IP地址,掩码 ,网关
在路由器的出口方向设置PC1的静态NAT
[Huawei]int g0/0/1 //进入路由器出口设置 [Huawei-GigabitEthernet0/0/1]nat static global 200.1.1.10 inside 192.168.1.1 //建立静态NAT [Huawei-GigabitEthernet0/0/1]nat static enable //打开功能
实验9.2 动态NAT配置
[Huawei-GigabitEthernet0/0/1]undo nat static global 200.1.1.10 inside 192.168.1.1 //首先是要删除之前做的静态映射 [Huawei-GigabitEthernet0/0/1]undo nat static enable //关闭功能 [Huawei-GigabitEthernet0/0/1]q [Huawei]nat address-group 1 200.1.1.10 200.1.1.20 //创建地址池 [Huawei]acl 2000 //创建规则 [Huawei-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2000]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat //设置动态映射 [Huawei-GigabitEthernet0/0/1]
实验9.3 端口映射
[Huawei-GigabitEthernet0/0/1]undo nat outbound 2000 address-group 1 no-pat //删除之前的动态NAT [Huawei-GigabitEthernet0/0/1]nat server protocol tcp global current-interface ww w inside 192.168.1.100 www //建立端口映射 Warning:The port 80 is well-known port. If you continue it may cause function fa ilure. Are you sure to continue?[Y/N]:y //保存端口配置 [Huawei-GigabitEthernet0/0/1]
[Huawei]ip route-static 0.0.0.0 0.0.0.0 200.1.1.2 //退回系统试图 配置默认路由
查看端口映射实验结果
实验9.3 Easy-IP
[Huawei-GigabitEthernet0/0/1]undo nat server protocol tcp global current-interfa ce www inside 192.168.1.100 www
[Huawei-acl-basic-2001]rule 5 permit source 192.168.1.0 0.0.0.255 [Huawei-acl-basic-2001]int g0/0/1 [Huawei-GigabitEthernet0/0/1]nat outbound 2001 [Huawei-GigabitEthernet0/0/1]