欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

NAT:网络地址转换

程序员文章站 2024-02-12 11:02:28
...

NAT:网络地址转换

1.工作原理

在一台路由器上对进或出的流量进行ip地址的修改,常用规则为从内部去往外部时修改源ip地址;从外部进入内部时修改目标ip地址;NAT技术最大的优点是:节省了大量的IP资源

2.IPV4地址存在私有和公有的区别:

  • 私有地址:本地唯一性,不能在互联网中通讯,无需付费使用;
  • 公有地址:全球唯一性,可以在互联网中通讯,需要付费使用;

3.NAT的作用

  • 数据包在内网与外网通讯时,对数据包的IP地址进行转换;
  • 由内部到外部时修改源IP地址;由外部到内部时修改目标IP地址;

4.NAT的分类

  • 静态NAT:一对一,多对多(地址间的映射关系为固定)
  • 动态NAT:一对多,多对多(临时地址映射)

5.Cisco配置(边界路由器)

切记:cisco设备中无论配置何种nat,都需要在边界路由器上定义各个接口的方向;

r1(config)#interface fastEthernet 0/0
r1(config-if)#ip nat inside 
r1(config-if)#exit
r1(config)#interface fastEthernet 0/1
r1(config-if)#ip nat outside

(1)一对一:固定的将一个IP地址转换成另一个IP地址

r1(config)#ip nat inside source static 192.168.1.2    12.1.1.1
                                         内部本地       内部全局

(2)一对多(动态):内部私有IP地址在NAT成为公有IP地址时,需要不同的源端口号,来形成唯一的临时映射关系临时映射需要内部流量先去往外部,被装换成记录,之后返回,映射刷新;因为需要修改流量的端口,故一对多又被称为PAT—端口地址转换

一个公有IP仅存在65535个端口,故一个时间节点最大一次转发65535个数据包,所以不能用于大型网络中;

定义多个内网地址
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
r1(config)#ip nat inside source   list 1        interface fastEthernet 0/1    overload
                                                  内部本地   内部全局

inside 换源 outside 换目标

注:overload 携带该单词为动态nat,不携带为静态,但因为一对多只能为动态,故即使不配置该单词,设备也会自动在默认添加该单词;

(3)多对多(动、静态均可):主要针对大型的局域网,同一时间大量数据包需要进入互联网;一个公有IP只能进行65535个数据包的转发,故同时提供多个公有IP;

①定义多个内网
r1(config)#access-list 1 permit 192.168.1.0 0.0.0.255
②定义多个公网  202.100.1.10--20
r1(config)#ip nat pool test 202.100.1.10 	202.100.1.20 netmask 255.255.255.0
③配置NAT
r1(config)#ip nat inside source list 1 pool test overload

注:携带overload为动态,就是循环将私有ip转换不同公有ip的不同端口;相当于同时进行多个一对多;
不携带overload为静态,就是最先出来的一些私有ip,和各个公有ip形成一对一映射;

(4)端口映射(静态)

r1(config)#ip nat inside source static tcp 192.168.1.250 80 12.1.1.1 80
只有在外网访问12.1.1.1且目标端口为80时,才进行转换,转换为目标ip192.168.1.250,目标端口80

r1(config)#ip nat inside source static tcp 192.168.1.251 80 12.1.1.1 8888
只有在外网访问12.1.1.1且目标端口为8888时,才进行转换,转换为目标ip192.168.1.251,目标端口80

6.华为配置(边界路由器)

华为不需要在边界路由器上各个接口定义方向,但NAT还是在边界路由器上配置

(1)静态NAT (和cisco中一对一一致)

[RTA-Serial1/0/0]nat static global 202.10.10.1 inside 192.168.1.1
[RTA-Serial1/0/0]nat static global 202.10.10.2 inside 192.168.1.2
                              公有             私有
[RTA]display nat static 

(2)动态NAT (和cisco的多对多相同)

[RTA]nat address-group 1 200.10.10.1 200.10.10.200     公有ip范围
[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255   私有ip范围
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0  在连接互联网的公有ip地址接口配置
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat
                         私有               公有
[RTA]display nat address-group 1

切记:携带no-pat为静态多对多;不携带为动态多对多;

(3)easy nat和cisco中的一对多相同:PAT 端口地址转换

[RTA]acl 2000
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255  私有
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0   该接口为公有ip地址所在接口;
[RTA-Serial1/0/0]nat outbound 2000
[RTA]display nat outbound 

(4)nat服务器:和cisco的端口映射相同

[RTA-GigabitEthernet0/0/1]interface Serial1/0/0  该接口为连接公网的接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
相关标签: 路由交换