NAT能夠經過將內部網絡的私網IP地址轉換成全球惟一的公網IP地址,是內部的網絡能夠鏈接到互聯網等外部網絡上,普遍的應用於各類類型的互聯網接入方式和各類類型的網絡中。安全
NAT的優勢:
1.節省了公有合法的IP地址;
2.處理地址重疊;
3.加強了靈活性;
4.提升了私網地址的安全性;服務器
NAT的實現方式:
1.靜態轉換;
2.動態轉換;
3.PAT(基於端口的地址轉換);網絡
NAT對於地址轉換中的終端設備是透明的:tcp
簡單介紹一下NAT中的四種地址:
內部局部地址:主機在內部使用的地址,通常是私有地址;
內部全局地址:主機在公網使用的地址,通常是公有地址;
外部全局地址:外部的主機在公網上使用的真是地址;
外部局部地址:主機訪問的地址。ide
NAT兩種轉換方式:
簡單轉換條目:只轉換IP;
擴輾轉換條目:轉換IP和端口。debug
靜態轉換NAT:1.由管理員手工設置;2.一對一映射;3.固定、永久;4.雙向;5.安全。應用環境:通常用於發佈服務器。(不須要配置ACL)code
動態轉換NAT:1.臨時生成的、動態的:2.同一時刻,也是一對一的;3.單向的。應用環境:內部客戶機不一樣時上網時。(須要配置ACL)blog
PAT:1.一個公網地址對應不少私網地址;經過端口號區分私網地址。應用環境:內部客戶機同時上網時。(須要配置ACL)接口
靜態轉換NAT實現步驟ip
R1(config-if)#ip nat inside source static 192.168.1.100 202.106.0.20 #把私網IP地址192.168.1.100轉換成公網IP地址202.106.0.20 R1(config)#int f1/0 R1(config-if)#ip nat inside #內部端口啓用NAT R1(config-if)#int f0/0 R1(config-if)#ip nat outside #外部端口啓用NAT R1(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2 #配置一條默認路由
這樣靜態NAT就已經轉換完成!
NAT端口映射
R1(config)#ip nat inside source static tcp 192.168.1.100 80 202.106.0.20 80 extendable #將私網IP地址192.168.1.100的80端口轉換成公網IP地址202.106.0.20的80端口
端口映射就配置完畢!
PAT配置步驟
R1(config)#access-list 1 permit any #定義內部訪問列表,容許全部內部地址 R1(config)#ip nat pool onlyone 202.106.0.20 202.106.0.20 netmask 255.255.255.0 #定義合法地址池名稱爲onlyone,合法地址範圍202.106.0.20,子網掩碼255.255.255.0 (因爲只有一個公網地址,因此開始地址和結束地址同樣) R1(config)#ip nat inside source list 1 pool onlyone overload #以端口複用的方式,將ACL1中的私網地址轉換爲定義的合法地址池onlyone中的公網地址 R1(config)#int f1/0 R1(config-if)#ip nat inside #內部端口啓用NAT R1(config-if)#int f0/0 R1(config-if)#ip nat outside #外部端口啓用NAT R1(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2 #配置一條默認路由
複用路由器外部接口地址步驟:
(有時只有一個外部地址,而且已經配置在路由器的外部接口上,這種狀況,在地址轉換過程當中,能夠直接使用接口的IP地址做爲轉換後的地址)
R1(config)#access-list 1 permit any #定義內部訪問列表,容許全部內部地址 R1(config)#ip nat inside source list 1 int f 0/0 overload #將ACL1中的私有地址轉換爲路由器外部接口的公有地址 R1(config)#int f1/0 R1(config-if)#ip nat inside #內部端口啓用NAT R1(config-if)#int f0/0 R1(config-if)#ip nat outside #外部端口啓用NAT R1(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2 #配置一條默認路由
PAT配置完成!
驗證NAT的配置經常使用的命令:
NAT故障處理思路:
1.是否設置了ACL,阻塞了進行過NAT或沒進行過NAT的流量;
2.定義須要進行的NAT的ACL時,漏掉了須要進行地址轉換的網絡;
3.在NAT語句中漏掉了overload關鍵字;