文章目录
- [NAT(Network Address Translation,网络地址转换)](#NAT(Network Address Translation,网络地址转换))
-
- 一、基本概念
- 二、技术分类
-
- [2.1 静态NAT](#2.1 静态NAT)
- [2.2 动态NAT](#2.2 动态NAT)
- [2.3 EasyIP](#2.3 EasyIP)
- 三、注意事项
- 四、思科相关配置
-
- [4.1 PAT实验](#4.1 PAT实验)
- [4.2 静态端口转换](#4.2 静态端口转换)
- 五、华为相关配置
-
- [5.1 EasyIP](#5.1 EasyIP)
- [5.2 NAT Server](#5.2 NAT Server)
- [5.3 静态NAT:](#5.3 静态NAT:)
- [5.4 动态NAT:](#5.4 动态NAT:)
-
- [5.4.1 实验1](#5.4.1 实验1)
- [5.4.2 实验2:Easy IP配置](#5.4.2 实验2:Easy IP配置)
- [5.4.3 实验3:NATserver配置](#5.4.3 实验3:NATserver配置)
NAT(Network Address Translation,网络地址转换)
一、基本概念
NAT 技术主要用于实现局域网内主机访问外部网络 的功能。通过将私有地址转换为公有地址,使得多个私网用户可共享一个公网地址,既保证网络互通又节省公网地址资源。该技术通常部署在连接内网与外网的 网关设备(边界设备) 上,同时兼具一定的安全防护能力。
二、技术分类
2.1 静态NAT
- 核心机制 :实现私有地址与公有地址的一对一固定映射
- 典型场景 :一个公网IP地址仅分配给唯一且固定的内网主机,适用于需要长期稳定通信的业务
2.2 动态NAT
- 核心机制 :基于地址池实现私有地址与公网地址的动态转换(多对多映射)
- 实现方法 :
- 使用ACL(访问控制列表)进行数据流匹配(数据抓取)
- 从地址池中动态分配公网IP地址
2.3 EasyIP
- 核心机制 :允许多个内部地址映射到网关出接口地址的不同端口
- 优势:无需额外配置公网IP池,直接复用网关出口IP的端口资源
三、注意事项
- NAT 技术虽然能隐藏内部网络结构,但不能替代专业防火墙
- 当使用端口复用(如PAT)时,需注意协议对端口的特殊要求
- 动态NAT地址池耗尽会导致新连接无法建立,需合理规划地址数量
四、思科相关配置
4.1 PAT实验
要求10.1.10.0/28,10.1.10.16/28,10.1.10.32/28可以访问公网8.8.8.8,但是不允许10.1.11.0/29,10.1.12.0/29访问公网。
cisco
R1(config)# int e0/0 #进入边缘路由的出接口(配置公网地址的一侧)
R1(config-if)# ip nat outside #定义为nat的外部接口 (卡住1分钟)
R1(config)# int e0/1 #进入内部接口e0/1接口
R1(config-if)# ip nat inside #定义为nat的内部接口
R1(config)# int e0/2 #进入内部接口e0/2接口
R1(config-if)# ip nat inside #定义为nat的内部接口
R1(config)# ip access-list standard 2 #配置标准acl命名为2
R1(config-std-nacl)# 5 permit 10.1.10.0 0.0.0.255 #允许此网段通过(可以把三条规则合为一条)。
R1(config)# ip nat inside source list 2 interface e0/0 overload #把内部的多个地址重复使用e0/0的公网地址
R1(config)# router ospf 110 #进入ospf进程
R1(config-router)# default-information originate (always) #ospf(永久)下放默认路由
R1# show ip nat translations #查看nat转换的信息4.2 静态端口转换
cisco
R1(config)# ip nat inside source static tcp 10.1.11.2 23 202.100.1.1 23 #把Telnet打开后做静态端口转换五、华为相关配置
5.1 EasyIP
实验:要求10.1.10.0/28,10.1.10.16/28,10.1.10.32/28可以访问公网8.8.8.8,但是不允许10.1.11.0/29,10.1.12.0/29访问公网。
cisco
[R1] acl 2000 #创建基本acl命名为2000
[R1-acl-basic-2000] rule permit source 10.1.10.0 0.0.0.15 #允许此网段通过
[R1-acl-basic-2000] rule permit source 10.1.10.16 0.0.0.15 #允许此网段通过
[R1-acl-basic-2000] rule permit source 10.1.10.32 0.0.0.15 #允许此网段通过
[R1-acl-basic-2000] int g0/0/0 #进入边缘路由的出接口(配置公网地址的一侧)
[R1-g0/0/0] nat outbound 2000 #应用acl2000
[R1] ospf 10 #进入ospf进程
[R1-ospf-10] default-ro ute-advertise (always) #ospf(永久)下放默认路由
[R1] display ip routing-table #ospf区域内所有设备均产生了默认路由
[R1] display nat outbound #查看nat的外部接口信息
[R1] display nat session all #查看nat的所有会话5.2 NAT Server
把telnet打开后
cisco
[R1] g0/0/0 #进入边缘路由的出接口
[R1-g0/0/0] nat server protocol tcp global current-interface 23 inside 10.1.11.2 23 #做NAT Server5.3 静态NAT:
cisco
nat static global 122.1.2.1 inside 192.168.1.1 #配置静态NAT(接口视图和系统视图都可)
nat static enable #若在系统视图配置的静态NAT,则还要进入接口下使能nat static功能。5.4 动态NAT:
5.4.1 实验1
在R1上配置NAPT让内网所有私有地址通过122.1.2.1访问公网。
cisco
acl 2000 #创建acl
rule 5 permit source 192.168.1.0 0.0.0.255 #允许某网段。
nat address-group 1 122.1.2.1 122.1.2.1 #创建地址池1,加入一个IP地址
interface g0/0/1
ip address 12.1.1.1 24
nat outbound 2000 address-group 1
#将ACL2000的流量引入NAT技术,并保证内部流量可以使用合法地址池的地址来做映射访问外部网络5.4.2 实验2:Easy IP配置
cisco
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 一般企业写rule permit source any 允许所有即可
[R1]int g0/0/1
[R1-GigabitEthernet0/0/1]nat outbound 20005.4.3 实验3:NATserver配置
在R1上配置NAT Server将内网服务器192.168.1.10的23端口映射到公有地址122.1.2.1的9999端口。
cisco
[R1]interface g0/0/1
[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24
[R1-GigabitEthernet0/0/1]nat server protocol tcp global 202.10.10.1 9999 inside 192.168.1.1 23
#上述命令 nat server 表示启用 NAT server服务,通过protocol关键字来控制NAT是针对TCP协议的