数据通信网络: NAT网络地址转换

NAT 网络地址转换

NAT

NAT: 网络地址转换

用于实现位于内部网络访问外部网络的功能.

作用: 当局域网内的主机需要访问外网时, 通过 NAT 技术, 将私网地址转换为外网地址, 并可以实现多个私网用户共用一个公网地址, 既保证网络的互通, 又节省公网地址.

NAT 种类

1. 静态 NAT: 私网地址与公网地址一对一的映射, 一个公网地址只会分配给唯一且固定的内网主机, 适用于小型网络, 某台服务器对外服务时使用.

2. 动态 NAT: 通过地址池进行分配, 出口设备会从配置的公网地址池中选择一个未分配的公网地址, 当不需要连接时, 对应的地址映射关系会被解除, 公网地址恢复到地址池中, 如果地址池中的地址用尽后, 只能等待被占用的公网地址释放后, 其他主机才能使用.

3.NAPT: 网络地址端口转换, 允许将多个内部地址映射到同一个公网地址的不同端口

4.easy IP: 允许将多个内部地址映射到出口设备的公网 IP 地址的不同端口上

5.NAT Server: 可以实现当私网需要向公网提供服务时私网中的服务器随时可以提供访问.

Shell

静态

[R1-GigabitEthernet0/0/1]nat static global 12.1.1.3 inside 192.168.1.1

动态 NAT / NAPT

系统视图创建公网地址池
[R1]nat address-group 1 12.1.1.3 12.1.1.3
创建允许私网通过规则
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
连接外网的网关接口下
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  // NAPT
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat // 动态地址池 将ACL和地址池关联起来

[R1]nat ?
  address-group    IP address-group of NAT
  alg              Application level gateway
  dns-map          DNS mapping
  filter-mode      NAT filter mode
  link-down        Link down reset session function
  mapping-mode     NAT mapping mode
  overlap-address  Overlap address pool to temp address pool map
  static           Specify static NAT
[R1]nat address-group ?
  INTEGER<0-7>  Index of address-group
[R1]nat address-group 1 ?
  IP_ADDR<X.X.X.X>  Start address
[R1]nat address-group 1 12.1.1.3 ?
  IP_ADDR<X.X.X.X>  End address
[R1]nat address-group 1 12.1.1.3 12.1.1.3

ACL
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

接口调用ACL2000
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat ?
  outbound  Specify net address translation
  server    Specify NAT server
  static    Specify static NAT
[R1-GigabitEthernet0/0/1]nat outbound ?
  INTEGER<2000-3999>  Apply basic or advanced ACL
[R1-GigabitEthernet0/0/1]nat outbound 2000 ?
  address-group  IP address-group of NAT
  interface      Specify the interface
  <cr>           Please press ENTER to execute command 
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1

[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1  // NAPT
[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1 no-pat // 动态地址池

easy IP

创建允许私网通过规则
[R1]acl 2000
[R1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
连接外网的网关接口下
[R1-GigabitEthernet0/0/1]nat outbound 2000

查看 nat 会话表

[R1]display nat session all
  NAT Session Table Information:

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.2                                    
     DestAddr  Vpn     : 12.1.1.2                                       
     Type Code IcmpId  : 0   8   3222 
     NAT-Info
       New SrcAddr     : 12.1.1.1       
       New DestAddr    : ----
       New IcmpId      : 10939

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.2                                    
     DestAddr  Vpn     : 12.1.1.2                                       
     Type Code IcmpId  : 0   8   3224 
     NAT-Info
       New SrcAddr     : 12.1.1.1       
       New DestAddr    : ----
       New IcmpId      : 10943

     Protocol          : ICMP(1)
     SrcAddr   Vpn     : 192.168.1.1                                    
     DestAddr  Vpn     : 12.1.1.2                                       
     Type Code IcmpId  : 0   8   3221 
     NAT-Info
       New SrcAddr     : 12.1.1.1       
       New DestAddr    : ----
       New IcmpId      : 10936

NAT Server

[R5]ip route-static 0.0.0.0 0 45.1.1.4

user-interface vty 0 4
 authentication-mode password
 set authentication password cipher 123456

[R4-GigabitEthernet0/0/0]nat server protocol tcp  global 34.1.1.5 23 inside 45.1.1.5 23