开启掘金成长之旅!这是我参与「掘金日新计划 · 12 月更文挑战」的第2天,点击查看活动详情
实验背景
随着网络时代的到来,越来越多的个人与企业加入到互联网中,但由于现行IP(IPv4)数量的限制,Internet面临IP地址空间短缺的问题。NAT(network address translation,网络地址转换)是缓解内网安全和IP地址短缺的重要手段。
技术原理
NAT可以使得一个私有网络连接到外部世界。私有网络是指主机分配私有地址的网络。私有IP地址也称内部地址,属于非注册地址,专门为组织机构内部使用。因特网编号分配机构保留了3块IP地址作为私有IP地址,具体内容如下图所示。
与私有地址对应的是全局IP地址,也称公有地址,它是全球统一的可寻址地址。
NAT就是一种将企业私有(内部)地址转化为全局(合法)地址,实现对外访问的转换技术。
使用私有地址的企业网一般称为inside网络,而外部网络称为outside网络。位于inside网络和outside网络中间的路由器,配置了NAT,在发送数据包之前,负责把内部私有IP地址翻译成外部合法IP地址。反之则将外部合法IP地址转化为内部的私有IP地址。
(图源网络)
NAT的主要优点如下
(1)允许对内网实现私有编址,节省了IP地址。
(2)增强了与公网连接的灵活性。
(3)为内网编址方案提供了一致性。
(4)提供了内网安全性。私网对外可以以一个地址出现在Internet上,隐蔽了内部拓扑和地址划分。
NAT主要有3种技术。
(1)静态NAT
在静态NAT中,内部网络中主机的私有地址都被永久映射成某个合法的地址。也就是说,静态地址转换将内部本地地址和外部合法地址进行一对一的转换。如果内部网络有Web服务器或FTP服务器等需要为外部用户提供服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以访问到这些服务器,获得相关服务。
(2)动态NAT
动态NAT首先要定义合法地址池,然后采用动态分配的方法把地址池的合法地址映射到内部网络主机的私有地址上。动态NAT是动态一对一的映射,且需要在路由器上维护一张地址映射表。
(3)PAT
PAT是把内部地址映射到外部网络的IP地址的不同端口上,从而可以实现多对一的映射。PAT最为有效地节省了IP地址。
NAT的配置方法和命令
(1)NAT配置大致分为4个步骤。
①标记路由器的inside口和outside口;
②用ACL定义允许访问外网的地址段
③定义待分配的地址池(可选)功能;
④启用NAT
(2)NAT基本命令
①标记NAT路由器的inside口和outside口
Router(config-if)#ip nat inside/outside
②定义待分配的地址池
Router(config)#ip nat pool pool name start-ip end-ip netmask masknumber
③启用NAT
Router(config)#ip nat inside source list listnumber pool pool name
④相关调试命令
show ip nat translation 查看地址转换表
clear ip nat translation * 清除NAT转化关系(静态的不能清除)
show ip nat translation verbose 查看NAT转化的默认时间
debug ip nat动态查看NAT的转化关系
show ip nat statistics查看NAT转换的统计信息
静态NAT配制实验
步骤1:设备选择与线缆连接
步骤2:配置路由器R1提供NAT服务
配置静态NAT映射 外部接口 内部接口
