NAT 、NAPT、NAT server

随笔2个月前发布 个球咧
4 0 0

概念

Network Address Translation 网络地址转换协议
    实现私网与公网之间的互访;
    在公网中数据网络传输过程中,私网IP地址的数据会被吃掉;

功能优缺点:

    1、解决了公网IP地址不足的问题
    2、隐藏内部设备,避免来自外部的网络入侵;
    3、延迟增大、配置与维护复杂、不支持某些应用如:VPN; 

 原理:

    1、数据包从内网发向外网时,NAT会变更源IP地址为公网地址
    2、数据包从外网发向内网时,NAT会变目标IP地址为私有地址
    
    如:nat staic global 10.11.11.11 inside 192.168.1.10
    出外网做地址转换,将源IP地址的192.168.1.10转换诶10.11.11.11;
    外网回到内网的时候,将目标地址转换为内网的192.168.1.10;

    NAT类型:

    1、静态NAT        

  私网IP与公网IP是一一对应,需要一一绑定;
         绑定配置:
            1、全局配置
                全局配置后,在出口的进行启用即可;
                如:
                    在全局配置一条nat 条目:
                        nat static global 11.11.11.11 inside 192.168.1.10 netmask 255.255.255.255
                    在出口上启用:
                        nat static enable
            2、在出口端口上直接配置
                nat static global 10.11.11.11 inside 192.168.1.10

  3、实验图:

NAT 、NAPT、NAT server

  1、全局上添加静态NAT

  

nat static global 11.11.11.11 inside 192.168.1.10 netmask 255.255.255.255

 

  2、在出接口上添加静态ANT并开启NAT功能

interface GigabitEthernet0/0/0
 ip address 10.11.1.254 255.255.255.0nat static global 10.11.11.12 inside 192.168.2.10 netmask 255.255.255.255
 nat static enable

 在PC1上与PC3 上分别ping 外网的server,在外网出口GE/0/0/0 与内部报文转发接口GE0/0/1上抓包查看报文情况;

抓包的截图:

  

NAT 、NAPT、NAT server

    2、动态NAT              

  缓解地址紧缺问题
        流程:
        A: 创建NAT地址池

nat nat address-group 1 11.11.11.1 11.11.11.2

        B:    创建ACL规则用来筛选需要转换的地址

acl 2000
    rule 5 permit source 192.168.1.10 0 
    rule 10 permit source 192.168.1.20 0

        C: 在出口上进行绑定

nat outbound 2000 address-group 1 no-pat

        测试下来可以发现,PC1 或者PC2 ping 出去,request的目的IP一直在地址池中选择并进行切换;

            3、NAT server

  解决公网访问私网的问题
        nat server 会将公网地址映射成私网地址

      如:

  

NAT 、NAPT、NAT server

  从外网的Client 访问内网的服务器192.168.1.1;

AR5 路由器配置:

 

#
acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255 
#
interface GigabitEthernet0/0/0
 ip address 192.168.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
 ip address 100.100.100.1 255.255.255.0 
 nat server protocol tcp global 100.100.100.3 8010 inside 192.168.1.1 8001   # nat server 配置,外面访问100.100.100.3 8010端口的目标,进来后会将报文转换为:192.168.1.1,端口转为8001 ;
 nat outbound 2000
#
ip route-static 0.0.0.0 0.0.0.0 100.100.100.2 # 手工添加的默认路由,指定出口报文转发方向;

AR6 路由器配置:

interface GigabitEthernet0/0/0
 ip address 100.100.100.2 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 200.200.200.2 255.255.255.0 

通过client 访问:
    

NAT 、NAPT、NAT server

在AR5 的GE 0/0/0 端口抓包:

NAT 、NAPT、NAT server
   

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...