网络地址转换
NAT概述
解决公有地址不足,并且分配不均匀的问题
公有地址:由专门的机构管理、分配,可以在因特网上直接通信
私有地址:组织和个人可以任意使用,只能在内网使用的IP地址
A、B、C类地址中各预留了一些私有IP地址
A:10.0.0.0~10.255.255.255
B:172.16.0.0~172.31.255.255
C:192.168.0.0~192.168.255.255
NAT的技术原理
NAT:对数据报的IP地址进行转换,一般部署在网络出口设备,被广泛使用
应用场景:在私有与公有网络的连接处,从内到外,NAT将私有转为公有地址(路由接口地址成为源地址)
作用:可以有效节约公网IPv4地址
静态NAT
原理:每个私有地址都有一个对应而且固定的公有地址,一对一映射关系
本质:就是由于数据包在出入路由的接口,会因为接口地址,使源地址发生变化,形成转变
配置命令:nat static global { global-address} inside {host-address } /在系统视图或者接口绑定公私
nat static enable /NAT使能
动态NAT
静态NAT严格地一对一映射,如果内网主机长时间离线或者不发生数据,会导致地址的浪费
地址池的概念:所用公有网络组成的一个大集合
当主机访问外部网络时,会临时分配一个地址池中未被使用的公有地址,标记为in Use
当主机不再访问外部网络时,地址就被回收到地址池内,标记为not use
NAPT、Easy-IP
NAPT:网络地址端口转换,在地址转换时不仅会转换IP地址,还能进行端口号转换,实现公私1:n映射
区别NAT:NAPT与动态地址NAT不同,它将内部连接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP 端口号
Easy-IP:原理和NAPT相同,同时转换IP地址、传输层端口,区别在于没有地址池的概念,使用接口地址作为NAT转换的公有地址
NAT Server
使用场景:指定公有地址:端口 与私有地址:端口 的一对一映射关系,将内网服务器映射到公网,当私有网络中的服务器需要对公网提 供服务时使用
外网主机主动访问公有地址:端口 实现对内网服务区的访问
下面我们以动态NAT来进行一个案例的配置
配置动态NAT------拓扑图如下
1.将各个交换机、路由配置
2.写好PC机的相关参数信息
3。设置一个对比组,我们来看看NAT的作用
SW1
[SW1]vlan b 10
[SW1]int g 0/0/1
[SW1-GigabitEthernet0/0/1]port link-type access
[SW1-GigabitEthernet0/0/1]port default vlan 10
[SW1-GigabitEthernet0/0/1]int g 0/0/2
[SW1-GigabitEthernet0/0/2]port link-type access
[SW1-GigabitEthernet0/0/2]port default vlan 10
[SW1-GigabitEthernet0/0/2]int g 0/0/3
[SW1-GigabitEthernet0/0/3]port link-type access
[SW1-GigabitEthernet0/0/3]port default vlan 10SW2
[SW2]vlan b 20
[SW2]int g 0/0/1
[SW2-GigabitEthernet0/0/1]port link-type access
[SW2-GigabitEthernet0/0/1]port default vlan 20
[SW2-GigabitEthernet0/0/1]int g 0/0/2
[SW2-GigabitEthernet0/0/2]port link-type access
[SW2-GigabitEthernet0/0/2]port default vlan 20
[SW2-GigabitEthernet0/0/2]int g 0/0/3
[SW2-GigabitEthernet0/0/3]port link-type access
[SW2-GigabitEthernet0/0/3]port default vlan 20AR2
[AR2]int g 0/0/0
[AR2-GigabitEthernet0/0/0]ip address 192.168.10.1 24
[AR2-GigabitEthernet0/0/0]q
[AR2-GigabitEthernet0/0/0]int g 0/0/1
[AR2-GigabitEthernet0/0/1]ip address 192.168.20.1 24
[AR2-GigabitEthernet0/0/1]int g 0/0/2
[AR2-GigabitEthernet0/0/2]ip address 200.200.200.2 24
[AR2-GigabitEthernet0/0/2]q
[AR2]ip route-static 0.0.0.0 0 200.200.200.1
[AR2]nat address-group 1 200.200.200.10 200.200.200.13
[AR2]nat address-group 2 200.200.200.20 200.200.200.23
[AR2]acl 2010
[AR2-acl-basic-2010]rule permit source 192.168.10.0 0.0.0.255
[AR2-acl-basic-2010]q
[AR2]acl 2020
[AR2-acl-basic-2020]rule permit source 192.168.20.0 0.0.0.255
[AR2-acl-basic-2020]q
[AR2]int g 0/0/2
[AR2-GigabitEthernet0/0/1]nat outbound 2010 address-group 1 no-pat
[AR2-GigabitEthernet0/0/2]nat outbound 2020 address-group 2 no-pat
[AR2-GigabitEthernet0/0/2]qAR1
[AR1]int g 0/0/2
[AR1-GigabitEthernet0/0/2]ip address 200.200.200.1 24
[AR1]int g 0/0/0
[AR1-GigabitEthernet0/0/0]ip add 200.200.100.1 24结果展示
再配置NAT之前,可以见得,外网与内网的PC机之间是能够通信的
配置NAT之前,外--------->内
在配置了NAT之后,我们发现,外网不再能够ping内网,但是内网是能够ping外网的
配置NAT之后,外------->内
可见,动态NAT实际上是保护内网,即在外网的环境下,内网地址被屏蔽,所以外网是不能主动连通内部网络的,并且动态NAT使用了地址池的概念,缓解了共有地址使用紧张的情况