NAT网络地址转换(含ensp代码解释）

NAT网络地址转化

随着Internet的发展和网络应用的增多&＃xff0c;IF4地址枯竭已经成为制约网络发展的瓶颈。尽管IPv6可以从根本上解决IPv4地址空间不足的问题&＃xff0c;但目前众多的网络设备和网络应用仍是基于IPv4的&＃xff0c;因此在IPv6广泛应用之前&＃xff0c;一些过渡技术的使用是解决这个问题的主要技术手段。

网络地址转换技术NAT&＃xff08;Network Address Translation&＃xff09;主要用于实现位于内部网络的主机访问外部网络的功能。当局域网内的主机需要访问外部网络时&＃xff0c;通过NAT技术可以将其私网地址转换为公网地址&＃xff0c;并且多个私网用户可以共用一个公网地址&＃xff0c;这样既可保证网络互通&＃xff0c;又节省了公网地址。

应用场景&＃xff1a;

• 企业或家庭所使用的网络为私有网络&＃xff0c;使用的是私有地址;运营商维护的网络为公共网络&＃xff0c;使用的是公有地址。私有地址不能在公网中路由。
• NAT一般部署在连接内网秘外网的网关设备上。

NAT实现方法和工作过程

NAT的特性

优点&＃xff1a;节省公有合法工P地址、处理地址重叠、增强灵活性、安全性
缺点&＃xff1a;延迟增大、配置和维护的复杂性、不支持某些应用&＃xff08;比如VPN)

NAT的工作原理&＃xff1a;

• NAT用来将内网地址和端口号转换成合法的公网地址和端口号&＃xff0c;建立一个会话&＃xff0c;与公网主机进行通信

• NAT外部的主机无法主动跟位于NAT内部的主机通信&＃xff0c;NAT内部主机想要通信&＃xff0c;必须主动和公网的一个IP通信&＃xff0c;路由器负责建立一个映射关系&＃xff0c;从而实现数据的转发

  跨2个不同网络可以存在重复地址

NAT功能&＃xff1a;

NAT不仅能解决了IP地址不足的问题&＃xff0c;而且还能够有效地避免来自网络外部的入侵&＃xff0c;隐藏并保护网络内部的计算机。
1.宽带分享&＃xff1a;这是NAT主机的最大功能
2.安全防护&＃xff1a;NAT之内的Pc联机到Internet.上面时&＃xff0c;他所显示的IP是NAT主机的公网IP,所以client端的Pc就具有一定程度的安全
了&＃xff0c;外界在进行portscan(端口扫描)的时候&＃xff0c;就侦测不到源client端的Pc。

静态NAT
静态NAT实现私网地址和公网地址的一对一转换。有多少个私网地址就需要配置多少个公网地址。静态NAT不能节约公网地址&＃xff0c;但可以起到隐藏内部网络的作用。

内部网络向外部网络发送报文时&＃xff0c;静态NAT将报文的源IP地址替换为对应的公网地址&＃xff1a;外部网络向内部网络发送响应报文时&＃xff0c;静态NAT将报文的目的地址替换为相应的私网地址。

有2种配置方法&＃xff1a;

第一种&＃xff1a;
全局模式下设置静态NAT
[R1]nat static global 30.0.0.5 inside 192.168.10.10
[R1]intg0/0/1###外网口
[R1-GigabitEthernet0/0/1]nat static enable
###在网口上启动nat static enable.功能


第二种&＃xff1a;直接在接口上声明nat static
[R1]intg0/0/1###外网口
[R1-GigabitEthernet0/0/1]nat static global 30.0.0.7 inside 192.168.10.10
[R1-GigabitEthernet0/0/1]undo shut
[R1]dis nat static
###查看NAT静态配置信息


动态NAT

二、动态NAT一PAT(多个内网地址对多个公网地址)

R1
u t m
Info:Current terminal monitor is off.
sys
Enter system view,return user view with Ctrl&＃43;Z.
[Huawei]sys r1
[r1]intg0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown
Info:Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]q
[r1]intg0/0/1
[r1-GigabitEthernet0/0/1]ip add 202.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info:Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q#nat 分组&＃xff08;映射的外网IP范围&＃xff09;
[r1]nat address-group 1 200.10.100.10 200.10.100.20
#ACL访问控制
[r1]ac1 2000
#PS:ac1 (2000-2999):只能匹配源ip地址
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255
[r1-acl-basic-2000]q
[r1]intg0/0/1
[r1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1
[r1-GigabitEthernet0/0/1]display nat outbound

小结&＃xff1a;

映射出去的地址池&＃xff08;范围段&＃xff09;

ACL规则&＃xff0c;允许哪些主机出去

需要确定在哪个网络接口&＃xff08;路由接口&＃xff09;应用这个规则

判断是出口方向还是进口方向

Easyip(多个内网地址对一个接口)

sys
Enter system view, return user view with Ctrl&＃43;Z.
[Huawei]sys r1[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 202.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q[r1]acl 2000
[r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 ##定义规则
[r1-acl-basic-2000]q
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]nat outbound 2000 ## 指向出去位置
[r1-GigabitEthernet0/0/1]display nat outbound NAT Outbound Information:--------------------------------------------------------------------------Interface Acl Address-group/IP/Interface Type--------------------------------------------------------------------------GigabitEthernet0/0/1 2000 202.10.100.1 easyip --------------------------------------------------------------------------Total : 1


静态PAT(一对一&＃xff0c;但是外网口IP和服务映射网内网服务器的IP和服务)

R1
u t m
Info: Current terminal monitor is off.
sys
Enter system view, return user view with Ctrl&＃43;Z.
[Huawei]sysname r1[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 192.168.1.1 24
[r1-GigabitEthernet0/0/0]undo shutdown
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[r1-GigabitEthernet0/0/0]int g0/0/1
[r1-GigabitEthernet0/0/1]ip add 200.10.100.1 24
[r1-GigabitEthernet0/0/1]undo shutdown
Info: Interface GigabitEthernet0/0/1 is not shutdown.
[r1-GigabitEthernet0/0/1]q
[r1]ip route-static 0.0.0.0 0 200.10.100.2##配置一个静态路由&＃xff08;因为跨网段了&＃xff09;
[r1]int g0/0/1
[r1-GigabitEthernet0/0/1]at server protocol tcp global 200.10.100.254 21 inside 200.10.100.2 21
###映射一个服务 TCP协议 在全局模块中
[r1-GigabitEthernet0/0/1]display nat serverNat Server Information:Interface : GigabitEthernet0/0/1Global IP/Port : 200.10.100.254/21(ftp) Inside IP/Port : 200.10.100.2/21(ftp)Protocol : 6(tcp) VPN instance-name : ---- Acl number : ----Description : ----Total : 1
[ar1-GigabitEthernet0/0/1]
[r1-GigabitEthernet0/0/1]q
[r1]nat alg all enable
#FTP服务默认数据端口没有开启&＃xff0c;需要手动去开&＃xff1a;R2
[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 202.10.100.3 24
Info: Interface GigabitEthernet0/0/0 is not shutdown.
[ISP-GigabitEthernet0/0/0]q
[ISP]ip route-static 15.0.0.10 32 202.10.100.1AR1
ftp 200.10.100.254
Connected to 200.10.100.254
220 FtpServerTry FtpD for free
Uger(200.10.100.254:(none)&＃xff1a;
331 Password required for
Enter password:
230 User logged in progeedls ##查看当前目录下的文件

小结&＃xff1a;
NAT 是对内网IP/PORT 转换为外网IP/PORT 的一种映射的技术
NAT 的作用&＃xff1a;
① 节省ipv4地址&＃xff08;跨2个网络环境的IP就可以借助于NAT的技术来支持重复IP&＃xff09;
② 安全性&＃xff08;让外网网络设备无法直接获取内网的IP/PORT&＃xff09;
③ 灵活性

NAT 常用的方式&＃xff1a;

​ ① EasyIP ——》EIP : 一组内网地址映射为一个外网接口IP
​ 场景&＃xff1a;常规企业的公网IP 例如www.baidu.com 域名对应的IP
​ ② 静态NAT
​ ③ 静态PAT
​ ④ 动态NAT-PAT
​ 2 - 4 主要用于公司内部进行划分
NAT 配置&＃xff1a;
两种方式&＃xff1a;一种在系统视图模式配置
​ 一种在接口模式中配置

如果想要可以ping 通来交互&＃xff0c;那么需要配置ACL
ACL 范围&＃xff1a;
基本acl (2000-2999) :只能匹配源ip地址。 &＃xff08;与接口中的outbound 和inbound&＃xff08;方向&＃xff09;来配合&＃xff09;
高级acl (3000-3999) :可以匹配源ip、目标ip、源端口、目标端口等三层和四层的字段和协议。
二层ACL(4000-4999):根据数据包的源MAC地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。

小结&＃xff1a;
NAT是对内网IP/PORT转换为外网IP/PORT的一种映射的技术

• NAT的作用&＃xff1a;
  节省ipv4地址&＃xff08;跨2个网络环境的IP就可以借助于NAT的技术来支持重复IP)

• 安全性&＃xff08;让外网网络设备无法直接获取内网的IP/PORT)

• 灵活性

NAT常用的方式&＃xff1a;

①EasyIP-》
EIP:一组内网地址映射为一个外网接口IP
场景&＃xff1a;常规企业的公网IP例如www.baidu.com域名对应的IP
②静态NAT
③静态PAT
④动态NAT-PAT
2-4主要用于公司内部进行划分

ACL范围&＃xff1a;
基本acl(2000-2999):只能匹配源ip地址。&＃xff08;与接口中的outbound和inbound(方向&＃xff09;来配合)
高级acl(3000-3999):可以匹配源ip、月标ip、源端口、月标端口等三层和四层的字段和协议。
三层ACL(4000-4999):根据数据包的源MAc地址、目的MAc地址、802.1q优先级、二层协议类型等二层信息制定规则。