NAT
NAT (Network Address Translator )的主要原理是通過解析IP封包頭部,自動替換封包頭中的源位址或目的位址,實作私網使用者通過私網IP通路公網的目的。私網IP轉換為公網IP的過程對使用者來說是透明的。
1、内部位址通路外部位址 園區網内部,私有位址是不能上公網的,公網路由器上沒有私網的路由
2、多個内部位址同時通路外部
3、NAT的形式
靜态NAT 一個公網IP隻會配置設定給唯一且固定的内網主機。 實際上是一對一的位址轉換
動态NAT(NAT-NOPAT) 基于位址池的轉換 (位址池不是自己随意配置的,是營運商配置設定的) 實際上還是一對一的位址轉換
同時位址轉換,他的含義,僅限于位址池有多少個IP,位址池有兩IP,同時就隻能轉換兩個IP
内部位址通路外部位址 對外釋出伺服器
=======================================
NAPT 是多對一的位址轉換 借用了端口号 基于位址池的多對一的轉換
Easy ip 基于接口的多對一的位址轉換 小規模區域網路中的主機通路Internet的場景 1023-65535
打破了端到端的通信過程 内網隻能主動通路外網 外網不能主動通路内網
==================================
伺服器的特殊性決定,它必須能夠被外網通路以提供服務
有兩種辦法可以實作内網釋出伺服器
靜态NAT 直接一對一的綁定 浪費公網IP 不适用于是有一個公網IP的網絡環境
NAT server 利用綁定的PAT端口号來實作 類似家庭用路由器的DMZ主機
4、NAT的基本概念
外部全局網絡:是指與位于LAN外部的路由器相連、無法識别LAN主機私有位址的任何網絡。
内部本地網絡︰是指連接配接到私有尋址LAN中路由器接口的任何網絡。内部網絡中主機的IP位址在傳輸到外部目的地之前需要先進行轉換。
外部本地
接口調用的方向 inside outside
源位址轉換和目标位址轉換
源位址轉換表示的NAT轉換的時源IP位址
目标位址轉換表示的NAT轉換的是目标IP位址
5.NAT的工作原理
1).PC1 ( 192.168.10.10)希望與外部 Web伺服器(209.205.201.1)通信。它發送資料包給配置了NAT的網絡邊界網關R1。
2).R1讀取資料包的目的IP位址,并檢查資料包是否符合規定的轉換标準。
3).R1有一個ACL,它确定該資料包的源IP位址是否可進行轉換。若可以轉換。
4).R1将内部本地IP位址轉換成内部全局IP位址。
5).并将本地與全局位址映射關系存儲在NAT表中。
6).沿途路由器通過查詢路由表将資料包轉發到目的地。
7).WEB伺服器回應時,資料包回到R1的内部全局位址。
8).R1參考NAT表,發現這是原先轉換的IP位址。是以,它将内部全局位址轉換成内部本地位址,然後将資料包轉發給P位址為192.168.10.10的PC1.
9).如果它沒有找到映射關系,資料包将被丢棄。
6.NAT的優缺點
優點
緩解公網位址緊缺問題
解決IP位址空間沖突或重疊的問題
網絡擴充性更高,本地控制也更容易
内網結構及相關操作對外變得不可見
增加了安全性
缺點
存在轉發延遲
端到端尋址變得困難
某些應用不支援NAT
NAT産生的表項需占用裝置的記憶體空間
裝置性能問題
5、NAT配置
需要和ACL結合
靜态一對一IP映射
現在PC有需求要通路外網,在OR.上部署靜态一對一IP映射,配置設定給内網PC192.168.1.1的公網位址是200.1.1.100
[OR-GigabitEthernet0/0/1] nat static global 200.1.1.100 inside 192. 168.1.1
基于動态位址池的一對—IP映射( no-pat )
現在192.168.1.0/24網段的PC均需通路外網,申請到的公網位址池是200.1.1.100~200.1.1.110, 部署 一對一 的位址轉換,也就是隻轉換資料包的位址而不轉換端口資訊。
[OR-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat
基于動态位址池的多對一 IP、端口映射
[OR-GigabitEthernet0/0/1] nat outbound 2000 address-group 1
Easy IP
現在192.168.1.0/24網段的PC均需通路外網,現在希望内網能夠使用GE0/0/1的公網IP .以Easy IP的方式通路公網。
[OR-GigabitEthernet0/0/1] nat outbound 2000
内部伺服器映射( nat server )
現在内網的Server需要對外提供WEB服務,申請到的公網位址是200.1.1.100,現在要将内網這台Server的TCP80端口映射到200.1.1.100的TCP 8080端口,使得外網能夠通路。
[OR-GigabitEthernet0/0/1] nat server protocol tcp global 200.1.1.100 8080 inside 192.168.1.100 80