概念
NAT(Network Address Translation)
应用
主要用于解决校园网使用私有地址上公网的问题
由于ipv4地址短缺,可使用私有地址和NAT技术缓解ipv4地址短缺的问题
类型
1、NAT
内外网ip地址可以一对一转换
2、PAT
内外网地址可多对一转换,可带端口转换
可以使多个设备共享一个公网IP
配置命令:
access-list 1 permit 私有ip网段 通配符
例:
ip nat inside source list 1 interface 端口(outside) overload——动态PAT
例:
ip nat inside source static tcp(协议) 192.168.100.251(私有IP)80(端口号) 55.0.0.4(公有IP) 8888(端口号)——静态PAT
3、静态NAT
NAT转换表项目条由静态配置形成
一对一永久映射,一个私有ip对应一个公有ip
配置命令:
ip nat inside source static 私有ip 公有ip
4、动态NAT
NAT转换表项目条由数据流触发动态形成
多对多临时映射,从公有ip地址池中动态分配IP给内部设备
配置命令:
ip nat pool X(地址池名称) 公有IP(首) 公有IP(末) netmask 255.255.255.0
access-list 1 permit 私有ip网段 通配符
ip nat inside source list 1 pool 地址池名称 overload
拓展:
5、双向NAT
同时转换源IP、端口和目标IP、端口
配置命令:
ip nat inside source static 协议 源IP 端口 目标IP 端口
ip nat outside source static 改后源IP 端口 改后目标IP 端口
6、NAT64
专用于ipv6网络访问ipv4资源,将ipv6数据包转化为ipv4
配置前提
需要在边界设备上设置inside/outside接口
overload:带端口转换
工作原理
通过在路由器或防火墙上动态或静态地修改ip数据包的源、目地址和端口,实现私有网络和公有网络之间的的地址映射,解决ipv4地址短缺的问题。
数据转发原理:
整条路径必须有去往目标IP的路由。
从源IP去目标IP的数据包,经由路由转发到边界设备的出接口时,执行NAT,进行源地址和源端口的转换(将私有IP转化为公有IP)。当数据包到达边界设备时,先查路由表,转发至出接outside,匹配NAT ACL,匹配上permit条目的执行NAT,或匹配上deny条目的不执行NAT。第一个数据包会触发NAT表项的形成,后续数据包可查NAT表转换,转换地址后的数据包发送到internet,经路由转发至目标IP。返回数据包的目标ip为边界设备的outside接口,该接口会接收该数据包,然后查NAT表,进行NAT还原处理(即把公有IP转变为私有IP),该边界设备会查找路由表转发,然后经过内部路由转发,最终将数据包返回给源IP。
实验
拓扑图如下
边界路由配置
以上命令可知,vlan10、vlan20、vlan8网段的设备都可以由边界设备进行NAT地址转换,也就是说这些设备都可以经边界设备访问公网。
下图为PC1对公网的R3进行访问,访问成功,双方能够收发数据包。
在ACL中加入允许vlan100网段设备访问,在边界设备设置使web服务器的私有IP由NAT转变为公网IP,并双方加上协议和端口(静态PAT命令),目的为让内部网的服务器能够访问公网的服务器。
由下图可知,vlan100的内部web服务器成功访问公网服务器3。
扫一扫
1175
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
