NAT技术---网络地址转换

26、NAT技术—网络地址转换

• NAT一般应用于内网的出口路由器或者防火墙上。

• NAT技术，对于从内到外的流量，设备会通过NAT将数据包的源地址进行转换（转换成特定的公网地址）；而对于从外到内的流量，则对数据包的目的地址进行转换。

• 边界路由器上–连接外网的公有IP地址所在接口配置

1、NAT的分类

• 静态NAT

  • 在边界路由器上建立并维护了一张静态地址映射表。表中记录了公有IP地址和私有IP地址之间的对应关系。

  • 静态NAT是一个一对一的NAT

  • 工作过程

    • 当内网数据包来到边界路由器上，会先检查其目的IP地址是不是公网IP地址。

    • 如果是公网地址，则会根据事先配置好的静态地址映射表查找该源IP对应的公网IP地址。

      • 如果有记录，则将源IP地址转换为对应的公网IP地址，然后将数据包转发至公网。
      • 若没有记录，则丢弃数据包。

    • 如果是私网地址，则根据自身路由表向内网进行转发。

  • 配置

    • [r1-GigabitEthernet0/0/0]nat static global 12.1.1.10 inside 192.168.1.1
      
      公网地址：12.1.1.10；私网地址：192.168.1.1；
      注意：不允许使用出接口地址作为公网转换IP地址（NAT地址）
      需要使用漂浮IP：12.1.1.10
      	必须与出接口地址处于同一网段
      	并且这个IP地址是从运营商买来的合法的公网IP地址
      
      [r1]display nat static //查询静态地址映射表
      1
      2
      3
      4
      5
      6
      7
      8
      9

    • 浮动静态IP任然属于该出接口

• 动态NAT(对于所有产商)

  • 动态NAT技术的地址映射表内容可变。

    • 一对多、多对多

  • 动态NAT在同时间内，还是一个公网IP对应一个私网IP。

    • 也就是说，当上一个流量回来后，下一个流量才能转换IP地址并转发数据。

  • 配置

    • [r1]nat address-group 1 12.1.1.10 12.1.1.15 //配置公网IP组（公有IP地址范围）
          必须是真实购买的IP地址
          必须是连续的
          与出接口IP处于同网段，且非出接口IP地址
      
      定义私有IP地址范围
      [r1]acl 2000  
      
      [r1-acl-basic-2000]rule permit source 192.168.1.1 0 //抓取PC1流量
      
      [r1-acl-basic-2000]rule permit source 192.168.1.2 0 //抓取PC2流量
      
      [r1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat //将ACL与公网IP组进行绑定
      --- no-pat：只能进行IP地址转换，而不进行端口转换
      	如果想要进行端口转换，需要删除no-pat,就可以进行一对多的转换
      
      [r1]display nat address-group 1
      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      15
      16
      17

• NAPT（华为特有）

  • 网络地址端口转换技术

  • 是在路由器上维护一张源端口号和私网IP地址的映射关系表

    • 1-65535

  • EASY IP-----华为私有技术—一对多的NAPT

    • 使用的公网地址池是边界路由器的出接口IP地址

  • 配置命令

    [r1]acl 2000
    [r1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255 //抓取流量
    [r1-GigabitEthernet0/0/0]nat outbound 2000 //接口调用
    
    [r1]display nat outbound //查看NAT配置信息
    1
    2
    3
    4
    5

• 端口映射（服务映射）

  • 将企业内部的服务器映射到公网，供外部人员访问

  • 配置

    [r1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 23 inside 192.168.1.100 telnet
    外部访问该接口时ip且目标端口号为80时，将被修改为192.168.1.100目标端口23
    
    [r1-GigabitEthernet0/0/0]nat server protocol tcp global current-interface 8888 inside 192.168.1.100 telnet
    外部访问该接口时ip且目标端口号为8888时，将被修改为192.168.1.100目标端口23
    
    
    --- current-interface 当前接口的IP地址
    --- X.X.X.X 浮动静态IP
    1
    2
    3
    4
    5
    6
    7
    8
    9