二、工作原理示意圖
三、nat相關命令
1、公有網路位址(以下簡稱公網位址)是指在網際網路上全球唯一的ip位址。2023年11月26日,是人類網際網路時代值得紀念的一天,全球近43億tipv4位址ееt耗盡。
1、nat用來將內網位址和埠號轉換成合法的公網位址和埠號,建立乙個會話,與公網主機進行通訊。
2、nat外部的主機無法主動跟位於nat內部的主機通訊,,nat內部主機想要通訊,必須主動和公網的乙個 ip 通訊,路由器負責建立乙個對映關係,從而實現資料的**。
nat不僅能解決了ip位址不足的問題,而且還能夠有效地避免來自網路外部的入侵,隱藏並保護網路內部的計算機。
1·寬頻分享:這是nat主機的最大功能。
2.安全防護: nat之內的pc聯機到internet上面時,他所顯示的ip是nat主機的公網ip,所以client端(客戶端)的pc就具有一定程度的安全了,外界在進行portscan (埠掃瞄)的時候,就偵測不到源client端的pc 。
1、優點:節省公有合法ip位址、處理位址重疊、增強靈活性、安全性
2、缺點:延遲增大、配置和維護的複雜性、不支援某些應用(比如vpn)
注:路由器3個表的作用靜態nat實現私網位址和公網位址的一對一轉換。有多少個私網位址就需要配置多少個公網位址。靜態nat不能節約公網位址,但可以起到隱藏內部網路的作用。
內部網路向外部網路傳送報文時,靜態nat將報文的源ip位址替換為對應的公網位址;外部網路向內部網路傳送響應報文時,靜態nat將報文的目的位址替換為相應的私網位址。
有2種配置方法:
第一種:
全域性模式下設定靜態nat
[r1]nat static global 8.8.8.8 inside 192.168.10.10
[r1]int g0/0/1 ##外網口
[r1-gigabitethernet0/0/1] nat static enable ###在網口上啟動nat static enable功能
第二種:
直接在介面上宣告nat static
[r1]int g0/0/1 ###外網口
[r1-gigabitetherneto/0/1] nat static global 8.8.8.8 inside 192.168.10.10
[r1]dis nat static ###檢視nat靜態配置資訊
多個私網ip位址對應多個公網ip位址,基於位址池一對一對映
1、配置外部網口和內部網口的ip位址
2、定義合法ip位址池
[r1] nat address-group 1 212.0.0.100 212.0.0.200 #新建乙個名為1的nat位址池
3、定義訪問控制列表
[r1] acl 2000
###建立acl,允許源位址為192.168.20.0/24網段和11.0.0.0/24的資料通過
[r1-acl-basic-2000]rule permit source 192.168.20.0 0.0.0.255
[r1-acl-basic-2000] rule permit source 11.0.0.0 0.0.0.255
4、在外網口上設定動態ip位址轉換
[r1-acl-basic-2000]int g0/0/1 ###外網口
[r1-gigabitethernet0/0/1]nat outbound 2000 address-group 1 no-pat ###將acl
2000匹配的資料轉換為改介面的ip位址作為源位址(no pat不做埠轉換,只做ip位址轉換,預設為pat)
[r1] dis nat outbound ###檢視nat outbound的資訊
pat又稱為napt (network address port translation) ,它實現乙個公網位址和多個私網位址之間的對映,因此可以節約公網位址。pat的基本原理是將不同私網位址的報文的源ip位址轉換為同一公網位址,但他們被轉換為該位址的不同埠號,因而仍然能夠共享同一位址。
1、pat有以下作用:
(1)·改變資料報的ip位址和埠號;
(2),能夠大量節約公網ip位址。
2、pat的型別有以下:
(1)·動態pat,包括napt和easy ip;
(2)、靜態pat,包括nat server.
多個私網ip位址對應固定外網ip位址(比如200.1.1.10) ,配置方法與動態nat類似
1、配置外部網口和內部網口的ip位址
2、定義合法ip位址池
[r1]nat address-group 1 200.1.1.10 200.1.1.10 ##使用乙個固定ip
3、定義訪問控制列表
|[r1]acl 2000
###允許源位址為192.168.30.0/24網段的資料通過
[r1-acl-adv-2000] rule permit source 192.168.30.0 0.0.0.255
4、在外網口上設定1p位址轉換
[r1-acl-basic-2000]int g0/0/1 ###外網口
[r1-gigabitethernet0/0/1] nat outbound 2000 address-group 1
多個私網ip位址對應外網口公網ip位址(比如12.0.0.1)
1、配置外部網口和內部網口的ip位址
2、定義合法ip位址池
由於直接實驗外網口ip位址所以不用再定義1p位址池
3、定義訪問控制列表
[r1] acl 3000 ##允許源位址為192.168.30.0/24網段的資料通過
[r1-acl-adv-3000]rule permit ip source 192.168.30.0 0.0.0.255
4、在外網口上設定ip位址轉換
[r1]int g0/0/1 ###外網口
[r1-gigabitethernet0/0/1] nat outbound 3000
##當acl 3000匹配的源ip資料到達此介面時,轉換為該介面的ip位址做為源位址
[r1] display nat session all ####檢視nat的流表資訊
埠對映,將私網位址埠對映到公網位址,實現內網伺服器供外網使用者訪問
[r1]int g0/0/1
[r1-gigabitethernet0/0/1]nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www ###在連線公網的介面上將私網伺服器位址和公網位址做一對nat對映繫結
[r1-gigabitethernet0/0/1] nat server protocol tcp global current-inte***ce 8080 inside 10.1.1.1 www
##在連線公網的介面上將私網伺服器位址和外網介面做一對nat對映繫結
[r1-gigabitethernet0/0/1]nat server protocol tcp global current-inte***ce 2121 inside 10.1.1.2 ftp
###埠為21可以直接使用關鍵字"ftp"代替
網路基礎 NAT 網路位址轉換
nat network address translation 網路位址轉換。這是乙個在路由器中使用的服務,其目的是將一組ip位址轉換為另一組ip位址。使用nat服務是為了節約數量有限的ipv4共有ip位址,ipv4公有ip位址是在全球範圍內有效的。在發明ipv4的時候,工程師並沒有預想到網際網路將...
網路位址轉換 NAT
nat概述 網路位址轉換 nat 通過將內部網路的私有ip位址翻譯成全球唯一的公網ip位址,使內部網路可以連線到網際網路等外部網路上,廣泛應用於各型別的網際網路接入方式和各種型別的網路中。nat的實現方式有一下三種 靜態位址轉換 將內部網路的私有ip位址轉換為公有的合法的ip位址,ip位址的對應關係...
網路位址轉換NAT
一般來說每台主機都有乙個固定的ip位址用於表示自己在internet中的身份,但乙個單位只能分配到少量的公開ip位址,同時也為了安全而不向internet公開單位內部的位址,所以企業內部的主機通常都使用私有位址,當內部主機要訪問internet時,必須進行 網路位址轉換 即把私有ip位址轉換成公開i...