NAT

背景:
        隨着網絡的發展, IP地址的規模愈來愈大、浪費愈來愈嚴重,但IP地址空間有限,未解決這種窘境開發出了:
       -公有地址|私有地址  (NAT)
       -子網劃分
       -IPv6

    由於內網是私有地址,私有地址沒有資格在 Internet 流通,數據出去,可是回不來!
網絡

    因此有人想出:        
         讓企業的數據包在出去的時候,
         攜帶的並非內部的私有地址,
         而是本身花錢買的公網IP地址;
         因此就有了NAT技術。
tcp


NAT:network address translationide

         NAT做用:
            將內網的數據包中的源IP地址,轉換爲購買的公網IP地址;
            NAT工做的時候,是依靠一個核心工做表:
                                                 NAT轉換表;
                        私有地址1   -----  公有地址1
           
--------
 分類:
   靜態NAT:
       在邊界設備上,手動的建立 NAT 轉換條目;
       
       私有:公有 =====   1:1
       
       
   動態NAT:
       在邊界設備上,設備基於數據包觸發而造成的 NAT 轉換條目,
       不須要人工干預。若是一個NAT轉換條目在一段時間以內不使用,
       在會自動的在 NAT 轉換表中自動刪除;
       
       -基本動態NAT
                私有:公有  ===== 1:1
                
       -P-NAT(端口複用)
                私有:公有  ===== N:1
        
NAT高級應用:
    端口映射

    ip nat inside source static  tcp 192.168.1.1  23   100.1.1.1 10011    
               
              



NAT配置思路:

一、配置內網和外網設備的IP地址

二、配置網關設備上的默認路由
     ip route 0.0.0.0 0.0.0.0 100.1.1.4

三、配置 ISP 邊的網絡(內網啓用IGP - RIP )
      ISP:
         router rip
            version 2
            no auto-summary
            network 200.1.1.0
            network 100.0.0.0
            passive-interface gi1/0
      R5:
         router rip
            version 2
            no auto-summary
            network 200.1.1.0
三、在網關設備上配置 NAT 邊界
     interface fa0/0
        ip nat inside
     interface gi1/0
        ip nat outside
四、配置 NAT 轉換條目
     ip nat inside source static 192.168.10.1  100.1.1.3
    
五、驗證、測試、保存
    show ip route
    show ip nat translation
    debug ip nat
    PC-1:
       ping 200.1.1.5

==============================================================

靜態NAT:
   在這種類型的NAT中,私有地址與公有地址的對應關係是 1:1 , 不節省IP地址;
   
   
在動態NAT的一種類型中 ---- PNAT(port NAT) ,
   所造成的私有地址與公有地址的對應關係是:n:1 ,節省IP地址;
   本質是:
       使用同一個公網IP地址的,不一樣的,端口號,來對應內網不一樣的私有主機   

配置思路:
    一、肯定 NAT 邊界
    二、肯定須要進行 NAT 轉換的私有地址空間
    
       工具
          -匹配感興趣的流量
             內網中
             全部
             數據包源IP
             爲192.168.10.X 的
             IP數據包
    
        規則1:     192.168.10. 0  
                     0 . 0 . 0.255    -->通配符    
                                   //按照這個規則,能夠抓住全部源IP地址
                                     爲 192.168.10.X 的全部數據包;
                                    
        工具,稱之爲  ACL - access control list :訪問控制列表    

            ACL:
                規則 - 匹配感興趣流量的;
                動做 - permit /  deny
                事件 - 須要對「感興趣流量」作的事情。            
                                    
            access-list  1   permit  192.168.10.0 0.0.0.255                         
        
    
    三、針對私有地址,配置對應的 NAT 轉換條目
    
           GW(config)#  ip nat inside source  list 1  interface gi1/0
    
    四、驗證、測試、保存
           show ip nat statistics  //查看 NAT 的簡要配置信息;
           show ip access-list     // 查看配置好的 ACL ;
           show ip nat translation // 查看 NAT 的核心工做表 - NAT表
           
           GW#debug ip nat
           
           PC-1/2:
              ping 200.1.1.5
           
================================================================

在邊界網關上,若是實施了NAT ,那麼:

      一、當流量從inside到outside時,先查路由表,再查NAT表;
      
      二、當流量從outside到inside時,先查NAT表,再查路由表;      


因此,咱們能夠在 outside 主動向 inside 發起流量,前提是咱們得保證
邊界網關上面是有 NAT 條目的,
固然該條目不能是由內網流量觸發的,而應該是永久存在的靜態NAT條目。

咱們將這種配置稱之爲:NAT的高級應用。

表明1:
     端口映射
         
     GW(config)#ip nat inside source static tcp 192.168.10.1 23
                                                100.1.1.3  123456

測試:
   一、首先配置好 PC-1 的遠程訪問密碼;
   二、其次配置好 GW 的遠程訪問密碼;
   三、最後,在 R2 上進行測試:
         telnet 100.1.1.3 123456

================================================================
華爲NAT (分類與思科徹底相同)
   靜態NAT :私有地址與公有地址是 1:1 ,不節省IP地址;
   動態NAT :私有地址與公有地址是 多:1 , 節省IP地址;
       -普通「動態NAT」
       -PAT/PNAT/NAPT/端口複用
       
靜態NAT配置:
    一、啓動NAT功能
          #在任意端口上啓用均可以
            例如:
                interface gi0/0/1
                   nat static enable -->啓動靜態NAT功能
    二、配置NAT轉換條目(兩種配置方式)
          1# 能夠在全局下配置
             nat static global 100.1.1.3  inside 192.168.10.1
          2# 能夠在接口下配置(必須是數據包的出端口)
             nat static global 100.1.1.3  inside 192.168.10.1             
          
    三、驗證、測試、保存
          display nat static
           
          <ISP>terminal monitor
          <ISP>terminal debugging
          <ISP>debugging ip icmp
          <GW>debugging nat all

PNAT的配置:
    一、定義感興趣的流量
         acl 2000
           rule 5  permit source  192.168.10.0  0.0.0.25五、
    二、在流量的出端口配置NAT
         interface gi0/0/1
           nat outbound 2000 -->在該端口上發送出去,而且被 ACL 2000
                                匹配的流量,其中的源IP地址轉換爲該
                                接口的IP地址;
    三、驗證、測試、保存
          display nat outbound




感興趣的朋友能夠作下下面這個實驗:工具

            捕獲.PNG

e,
相關文章
相關標籤/搜索