NAT
背景
外网IP(公网IP、Internet地址)
- A类:1.0.0.1~126.255.255.254
- B类:128.0.0.1~191.255.255.254
- C类:192.0.0.1~223.255.255.254
内网IP(私网IP、局域网地址)
- A类:10.0.0.0~10.255.255.255
- B类:172.16.0.0~172.31.255.255
- C类:192.168.0.0~192.168.255.255
矛盾点
- 既要缓解IPv4地址不够用的现状,又要解决内网IP无法在外网使用的问题。
定义
- 网络地址转换NAT(Network Address Translation)是将IP数据报文头中的IP地址转换为另一个IP地址的过程。
作用
- 缓解IPv4地址枯竭现象,解决内网和外网IP转换问题;
- 有效避免来自外网的攻击,可以很大程度上提高网络安全性。
- 控制内网主机访问外网,同时也可以控制外网主机访问内网,解决了内网和外网不能互通的问题。
地址
内部局域地址:发送方的内网地址 192.168.10.1
内部全局地址:发送方的公网地址 101.61.58.98
外部全局地址:接收方的公网地址
外部局域地址:接收方的内网地址
NAT转换方式
静态转换
- IP地址转换,一对一转换,形成永久转换关系;
优点
- 可以实现双向访问(可以实现内访外,外访内);
缺点
- 无法节省外网IP;
- 内网设备安全性得不到保障;
动态转换
- IP地址转换,多对多转换,形成临时性的转换关系;
优点
- 相较静态转换而言,外网IP重用率更高;
- 外网设备无法通过外网IP定位内网设备,内网设备安全性得到一定保障;
缺点
- 当内网IP比外网IP多时,无法实现内网主机同时访问外网主机,在一定程度上,无法实现外网IP节省;
端口多路复用
- IP地址和端口转换,多对一(多对多)转换,形成临时性转换关系;
优点
- 可以节省外网IP,缓解IPv4地址枯竭现象;
- 外网设备无法通过外网IP定位内网设备,内网设备安全性得到一定保障;
典型案例
- 实现源地址转换(SNAT):内网主机访问外网主机的地址转换过程(内网IP转外网IP);
端口映射
- 将内网IP和端口映射到外网IP和端口;
优点
- 可以节省外网IP,缓解IPv4地址枯竭现象;
- 控制外网访问内网,内网设备安全性得到一定保障;
典型案例
- 目的地址转换(DNAT):实现外网主机访问内网主机的地址转换过程(外网IP和端口转为内网IP和端口);
命令
#查看静态nat信息
dis nat static
#静态转换
int g编号
nat static global 外网IP inside 内网IP
#创建外网地址组(组号取值范围:[0,7])
nat address-group 组号 起始外网IP 结束外网IP
#动态转换
int g编号
nat outbound 目标数据包ACL编号 address-group 外网地址组号 no-pat
#查看动态nat或端口多路复用(NAPT、Easy-IP)
dis nat outbound
#NAPT转换
int g编号
nat outbound 目标数据包ACL编号 address-group 外网地址组号
#Easy-IP转换
int g编号
nat outbound 目标数据包ACL编号
#端口映射配置
int g编号
nat server protocol 协议 global current-interface 外网端口 inside 内网IP 内网端口
#查看端口映射配置
dis nat server
