一.类型介绍
二.功能
1.将大量的私有地址转换为公有地址(节约IP地址)
2.将一个IP地址转换为另一个IP地址(增加内部网络设备的安全性)
三.缺陷:
1.很消耗网络设备资源
2.破坏数据端到端传输,安全策略实施受限
四.配置命令
1.静态模式(一对一转换)
2. 动态模式(多对多转换)
3.NAPT(多对一转换)
4.NAT服务配置
一.类型介绍
所有NAT配置均在边界路由器上配置,在边界路由器上进行公有IP和私有IP间的相互转换,从内网(私网) 访问外部 (公网) 时,修改源地址,从外部进入内部时,修改目标地址。
一对一:将一个私有地址转化为一个公有地址
一对多:又称PAT端口地址转换,将多个私有ip地址转换为同一个公有 ip地址,多个私有IP地址同时转换为公有IP地址,其源IP和源MAC地址均相同时,只能基于不同的源MAC地址来进行识别
多对多:一个IP对多有65535个端口号,在一个节点时间内最多转发65535个数据包,大型网络中,将使用等多个公有IP来实现通信效率
二.功能
1.将大量的私有地址转换为公有地址(节约IP地址)
2.将一个IP地址转换为另一个IP地址(增加内部网络设备的安全性)
三.缺陷:
1.很消耗网络设备资源
2.破坏数据端到端传输,安全策略实施受限
四.配置命令
1.静态模式(一对一转换)
手动指定公网IP,192.168.2.1通信3.3.3.3 ,需要自己指定网段内公有地址
(1)全局
[r2]nat static global 100.1.1.6 inside 192.168.2.1 #转换地址
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]nat static enable #开启静态nat
[r1]ping 3.3.3.3
PING 3.3.3.3: 56 data bytes, press CTRL_C to break
Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=20 ms
Reply from 3.3.3.3: bytes=56 Sequence=2 ttl=254 time=30 ms
Reply from 3.3.3.3: bytes=56 Sequence=3 ttl=254 time=20 ms
Reply from 3.3.3.3: bytes=56 Sequence=4 ttl=254 time=30 ms
Reply from 3.3.3.3: bytes=56 Sequence=5 ttl=254 time=30 ms
--- 3.3.3.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/26/30 ms(2)接口
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]nat static global 200.1.1.6 inside 192.168.2.1 netmask 255.255.255.255(3)地址映射为指定的100.1.1.6
2. 动态模式(多对多转换)
192.168.2.1通信3.3.3.3 ,使用ACL定义私有IP地址池和公有IP地址池进行映射
(1)删去上文静态
[r2]undo nat static global 100.1.1.6 inside 192.168.2.1
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]undo nat static enable (2)定义地址范围并使用
[r2]acl 2000
[r2-acl-basic-2000]rule permit source 192.168.2.0 0.0.0.255 #定于允许访问的源IP范围(私有)
[r2]nat address-group 1 100.1.1.20 100.1.1.30 #定于允许访问的公有IP范围
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 #调用acl和地址组
[r1]ping 3.3.3.3
PING 3.3.3.3: 56 data bytes, press CTRL_C to break
Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=40 ms
Reply from 3.3.3.3: bytes=56 Sequence=2 ttl=254 time=20 ms
Reply from 3.3.3.3: bytes=56 Sequence=3 ttl=254 time=30 ms
Reply from 3.3.3.3: bytes=56 Sequence=4 ttl=254 time=20 ms
Reply from 3.3.3.3: bytes=56 Sequence=5 ttl=254 time=20 ms
--- 3.3.3.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/26/40 ms 20/26/40 ms(3)地址映射为100.1.1.20到100.1.1.30之间
3.NAPT(多对一转换)
将私有范围内的地址都转化为这个边界路由器的出接口的公有IP
(1)删去上文动态
[r2-GigabitEthernet0/0/0]undo nat outbound 2000 address-group 1
[r2-GigabitEthernet0/0/0]q
[r2]undo nat address-group 1(2)调用ACL定义范围
[r2]interface GigabitEthernet 0/0/0
[r2-GigabitEthernet0/0/0]nat outbound 2000
[r1]ping 3.3.3.3
PING 3.3.3.3: 56 data bytes, press CTRL_C to break
Reply from 3.3.3.3: bytes=56 Sequence=1 ttl=254 time=20 ms
Reply from 3.3.3.3: bytes=56 Sequence=2 ttl=254 time=20 ms
Reply from 3.3.3.3: bytes=56 Sequence=3 ttl=254 time=40 ms
Reply from 3.3.3.3: bytes=56 Sequence=4 ttl=254 time=20 ms
Reply from 3.3.3.3: bytes=56 Sequence=5 ttl=254 time=20 ms
--- 3.3.3.3 ping statistics ---
5 packet(s) transmitted
5 packet(s) received
0.00% packet loss
round-trip min/avg/max = 20/24/40 ms(3)地址映射为100.1.1.1,为边界路由器出接口地址
4.NAT服务配置
[r2]user-interface v
[r2]user-interface vty 0 4
[r2-ui-vty0-4]set
[r2-ui-vty0-4]set auth
[r2-ui-vty0-4]set authentication p
[r2-ui-vty0-4]set authentication password ci
[r2-ui-vty0-4]set authentication password cipher hw
[r2-ui-vty0-4]q
[r2-GigabitEthernet0/0/0]nat server protocol tcp global 100.1.1.16 23 inside 192.168.2.1 23
<r1>telnet 100.1.1.1
Press CTRL_] to quit telnet mode
Trying 100.1.1.1 ...
Connected to 100.1.1.1 ...
Login authentication
Password:
<r2>
