NAT(Network Address Translation)
·NAT核心思想:将私网地址转换成公网地址,从而连接到公共网络。
NAT technologyenables private IP networks that use nonregistered IP addresses to connect to apublic network.
·私网地址范围:
10.0.0.0 - 10.255.255.255
172.16.0.0 -172.31.255.255
192.168.0.0 -192.168.255.255
·NAT常用于下述情形:
1.没有足够的公网连接到Internet
2.当更换ISP需要重新编址
3.合并两个使用重叠地址空间的内部网络
4.使用单个IP地址支持基本的负载分担
·优点:
1.节省了公网IP地址
2.能够处理编址方案重叠的情况
3.网络发生改变时不需要重新编址
4.隐藏了真正的IP地址
·缺点:
1.NAT引起数据交互的延迟
2.导致无法进行端到端的IP跟踪
3.某些应用程序不支持NAT
4.需要消耗额外的CPU和内存
·内部本地地址--分配给内部网络中的主机的IP地址,通常是私有地址。
·内部全局地址--合法的IP地址,通常由ISP提供,全局唯一的。
·外部全局地址--外部网络中的主机的IP地址,来自全局可路由的地址空间。
·外部本地地址--在内部网络中看到的外部主机的IP地址,通常是私有地址。
NAT的三种实现技术:
·使用NAT做地址转换时,可以静态的,也可以是动态的
1、静态:内部地址被预选映射到指定的外部地址,内部地址和外部地址是一一对应的。
2、动态:内部地址可以使用地址池中的外部地址。多个内部地址共享几个外部地址。
(内部=私网) (外部=公网)
3、PAT(Port Add translation):多个内部地址共享一个外部地址,通过
端口号多路复用。
<静态内部源地址转换>
1)配置IP地址,并将R2模拟成PC机,设置好默认网关,做为内部服务器使用
R2(config)#no ip routing
R2(config)#ip default-gateway 12.1.1.1
2)在R1上定义NAT的内口/外口
interface Ethernet0/0
ip address12.1.1.1 255.255.255.0
ip nat inside
interface Serial0/1
ip address202.100.1.1 255.255.255.0
ip nat outside
3)地址转换(将私网地址转换成已经购买的公网IP地址)
R1(config)#ip nat inside source static 12.1.1.1 202.100.1.1
R1#show ip nat translations (查看NAT转换表项)
R1#show ip nat statistics (查看NAT的统计信息)
R1#debug ip nat (查看NAT转换信息)
<动态内部源地址转换>
1)在R2上建立多个secondary地址
interface e0/0
ip address12.1.1.2 255.255.255.0
ip address12.1.1.3 255.255.255.0 secondary
ip address12.1.1.4 255.255.255.0 secondary
2)在R1上定义NAT的外口/内口
interface Ethernet0/0
ip address12.1.1.1 255.255.255.0
ipnat inside
interface Serial0/1
ip address202.100.1.1 255.255.255.0
ipnat outside
3)定义要被转换的私网地址
R2(config)#access-list 1 permit 12.1.1.0 0.0.0.255
R2#show ip access-lists (查看访问控制列表)
4)定义地址池(已经购买的IP地址202.100.1.1-202.100.1.2)
ip nat pool IP-POOL 202.100.1.1 202.100.1.2 prefix-length24
(名字)(起始IP) (终结IP) (掩码)
5)动态映射:
R3(config)#ip nat inside source list 1 pool IP-POOL [overload] 加这个参数可以实现复用
R1#clear ip nat translation * (清NAT转换表项)
(针对Static映射不起效)
ip nat translation timeout 30 定义NAT表中动态转换条目失效时间,默认是一天(24小时)。
<PAT>
1)在R2上建立多个secondary地址
interface e0/0
ip address12.1.1.2 255.255.255.0
ip address12.1.1.3 255.255.255.0 secondary
ip address12.1.1.4 255.255.255.0 secondary
2)在R1上定义NAT的外口/内口
interface Ethernet0/0
ip address12.1.1.1 255.255.255.0
ip nat inside
interface Serial0/1
ip address202.100.1.1 255.255.255.0
ipnat outside
3)定义可被转换的私网地址
R3(config)#access-list 1 permit 12.1.1.00.0.0.255
4)端口复用
ip nat inside source list 1 interface Serial0/1overload
(access-list) (出去的端口) (端口复用)
show ip nat [translations]在网关上看一些信息,端口号和IP地址的对应关系,本表项一分钟后就会删除
<访问内网服务器>
需求:R3想要访问私有网络中的WWW服务器
1)将R2模拟成WEB服务器。
2)定义NAT的外口/内口
3)配置端口映射:
R1(config)#ip nat inside source static tcp 12.1.1.1 80202.100.1.1 80 extendable
(inside local)(local port) (inside global) (global port任意指定)
测试:在R3上telnet 202.100.1.180端口
R1#show ip nat translations
extendable参数解释:
Theextendable keyword is used when several ambiguous static translations exist forthe same local or global ip address
编辑回复