NAT网络地址转换技术
NAT网络地址转换技术
一、NAT概述
Network Address Translations == 网络地址转换
NAT作用:NAT就是做内外网地址的转换。
内网 -》 外网: 先路由 再 NAT 进行源转换。
外网 -》 内网: 先NAT目标转换 -》 再路由。(因为NAT转换在路由器的外网端口上)
二、为什么要学习NAT技术?
答案:由于IPV4地址数量严重不足,ISO对IPV4进行分类,划清私有公有IP地址后,内网如果想要上网就需要在路由器的外网端口使用NAT技术将私有IP转换成公有IP,使用PAT技术可以使内网中的多用户只使用一个公网IP就可以上网。
IPV6地址绝对够用,号称世界上每一粒沙尘都可以有IP地址。但IPV6普及很难。
ISO组织将IPV4地址进行了分类
1)私有IP地址:私有IP地址只能在内网使用,禁止出现在公网上,且不同的内网可以重复使用!
1 | 10.0.0.0/8 |
2)公网IP地址:公网IP地址是在互联网中可以出现的IP地址。
1 | 除私有IP外,全是公网IP地址。 |
三、NAT技术类型
1、静态NAT技术
静态配置NAT地址转换表,表内记录由内网IP和公网IP组成,内网IP和公网IP一对一转换,如果设置overload则进行端口映射。
缺点:1对1,多少人要访问外网,就需要多少个公网IP,昂贵,且手动配置,麻烦。
2、动态NAT技术(已淘汰)
3、动态PAT技术(地址与端口的转换,最常用)
动态PAT技术:Port Address Translation
优点:实现内网多个人同时使用1个公网IP地址连接互联网,通过PAT巧妙的“IP和端口同时转换”技术。
1 | 1、数据包到达路由器外网端口 -》 |
限制:该技术是有限制的,当生成的端口key值超过了端口号的范围65535,则无法继续进行地址转换。一般来说一个人正常使用端口再10-30左右,所以一个地址足够2000人使用了。如果不够,则再买个公网IP扯条网线供PAT映射即可。
此图下部分的图应该不是很准确,左边的池子不是NAT地址池应该称为内网允许地址转换的ACL表,右边才是应该定义的nat pool
四、PAT命令
部分参考百度链接:https://wenku.baidu.com/view/3917c0425901020206409c30.html
1、指定NAT内网端口
1 | int f0/0 |
2、指定NAT外网端口
1 | int f0/1 |
3、创建NAT内部地址池,以及定义允许哪些内网IP进行NAT的ACL表。
1 | conf t |
4、做动态PAT映射
1 | conf t |
overload的意思就是复用,这个作用就是使用一个地址可以重复使用(用端口号进行区分)
五、端口映射——静态NAT技术
通过静态NAT技术,可以使内网的IP和端口映射到外网的IP和端口,使外网访问内网的资源与通信。
1 | conf t |
当公司内部有多个网页服务器时,你不想修改外网访问的端口号,就想用80,那你就需要购买多个IP,外网端口上的网段虽然包括这些IP,但运营商设置了策略你只能使用你购买的IP。当你购买好IP后,在外网端口上静态配置NAT对内网的网页服务器进行购买的IP进行端口映射即可,即使你路由器的外网端口不是你购买的IP号!
六、实验
作业一:(做以下实验中,禁止互联网的路由配置指向192的路由!!!)
要点:如何模拟互联网?互联网部分的路由器不要配置私有IP地址的路由!(正常的互联网发现带有私有IP的数据包直接丢弃。)
要求一:内网所有PC可以同时上网!
要求二:将内网的1.4和1.5两台web服务器对外发布,要求外网网友可以访问2台服务器!
可选作业:(做以下实验中,禁止互联网的路由配置指向所有私网网段的路由!!!)
要求一:内网所有VLAN的PC可以同时上网!
要求二:将内网的web服务器对外发布,要求外网网友可以访问2台服务器!
总结:使用VLAN、PAT动态地址、端口转换、NAT静态端口映射、VTP、默认路由等技术。
关键点在于配置PAT的ACL表时,允许内网的网段为192.168.0.0 反掩码0.0.255.255。这样配置ACL,公司内所有网段都有权限获得PAT的NAT地址解析服务了。(或者重复的access-list 1 permit 192.168.X.0 0.0.0.255,这样可以增加ACL网段, no access-list 1 可以删除)