目录
NAT
随着Internet的发展和网络应用增多,IPv4地址枯竭制约网络发展的瓶颈,网络地址转换技术NAT(Network Address Translation)主要用于实现位于内部网络的主机访问外部网络的功能。局域网内(私网)的主机需要访问外部网络时,通过NAT技术可以将其私网地址转化为公网地址,并且多个私网用户可以共用一个公网地址,这样既可保证网络互通,又节省了公网地址。
NAT的应用场景
企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址。私有地址不能在公网中路由,NAT一般部署在连接内网和外网的网关设备上。
NAT的几种配置类型与指令
静态NAT
如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可使用静态NAT,静态NAT实现了私有地址和公有地址的一对一映射,一个公网IP只会分配给唯一且固定的内网主机,一对一的IP地址映射无法缓解公用地址短缺的问题。
指令
第一种在系统模式里配置
/nat static global 8.8.8.8 inside 192.168.10 .10(将192.168.10.10私网地址nat转换映射到公网为8.8.8.8的地址)
/int g0/0/1(进入路由器外网接口)
/nat static enable(开启静态NAT 模式)
第二种在接口上申明nat static(使用不多,接口多的情况下,产生损坏需要重新更换)
/int g0/0/1
/nat static global 8.8.8.8 inside 192.168.10.10
*需要配置回程路由
动态NAT
动态NAT基于地址池来实现私有地址和公有地址转换,动态NAT地址池的地址用尽以后,只能等待被占用的公网地址被释放后,其他主机才能使用它来访问公网(简单来说,多私有地址对比多网络地址,多对多,基于地址池变化,类似于停车场,一个私有地址进入后进入公有地址池寻找一个位子公有IP,只有停止连接才会将该IP释放出来)
指令
/nat address-group 1 212.0.0.100 212.0.0.20(新建为1的nat地址池——配公网地址)
/acl 2000(acl 编号 访问控制界面)
/rule permit source 192.168.20.0 0.0.0.255(配置允许192.168.20.0网段的地址池,0.0.0.255为反掩码,这里固定格式为反掩码)
/rule permit source 11.0.0.0 0.0.0.255
/int g0/0/1(外网口)
/nat outbound 2000 address-group 1 no-pat(声明该控制界面里的网段到达外网接口处都去地址池1里进行地址NAT转换,no-pat不开启多路复用,一个IP对一个)
*需要配置回程路由
Easy IP
Easy IP(所有内网用的都是外网端口的IP地址 )适用于小规模局域网中的主机访问Internet的场景,小规模局域网通常部署在小型的网吧或办公室中,这些地方内部主机不多,出接口可以通过拨号方式获取一个临时公网IP地址,Easy IP 可以实现内部主机使用这个临时公网IP地址访问Internet(在网段信息中该IP后面会加端口编号)
/acl 3000
/rule permit ip source 192.168.30.0 0.0.0.255
/int g0/0/1
/nat outbound 3000
*不需要配置回程路由
nat server服务
nat server主要应用于实现私网服务器以公网IP地址对外提供服务的场景。nat server是最常用的基于目的地址的nat 。当内网部署了一台服务器,其真实IP是私网地址,但是希望公网用户可以通过一个公网地址来访问该服务器,这时可以配置nat server,使设备将公网用户访问该公网地址的报文自动转发给内网服务器。
进入外网接口
/nat server protocol tcp global 9.9.9.9 www inside 192.168.10.100 www
(在内网中架设了一个IP192.168.10.100www的服务(此处为www服务)将其内网地址映射到公网上IP为9.9.9.9 www)
*需要配置回程路由
各配置实验应用
如图所示,将vlan10配置为静态NAT(公网地址8.8.8.8),vlan20和vlan40配置为动态NAT,vlan30配置EAsyIP,将Serber1映射到公网上(公网IP 9.9.9.9)
首先我们可以更改好网络设备的名称并配置好各接口的IP以及回环接口IP,然后我们从底层三层交换机开始配置各个vlan链路以及各个vlan ip ,三层交换机自带转发寻路过程所以创建vlan40虚拟接口,并与路由器行成access链路,并配置好完成线路发转发的默认路由(指令为缩写)
给PC1配置静态NAT,静态NAT需要配置回城路由所以AR2想AR1要配置一条回城路由,并且指向的是该PC的公网IP,因为是固定IP所以直接指向(8.8.8.8)再由AR1进行NAT转换成私网地址传输给PC1
PC1实现通信
用动态NAT配置vlan20和vlan40,需要创建公网地址池,让两个网段的PC数据到达外网接口处知道到地址池中进行NAT自动转化为公网IP,也需要配置回程路由
PC2和PC4以及三层交换机都能连接到回环地址
用EasyIP配置PC3,在接口处标记好该网段都用同一个外网IP,不需要配置回程路由,因为AR2可以直接与AR1接口连接
PC3实现通信
来实验为Server1配置nat server服务,让其能够映射到外网上。使Clinet1设备能够连接,需配置单独的回程路由
在Server1调试好(这里以一个百度网页为例)
进入Clinet1设备调试好网络地址与网关,然后尝试搜索Server1设备的映射到外网的地址(如9.9.9.9)
*实验中可以再每一接口配置结束后进行检查是否执行,在出现问题可以使用网络段抓包的形式查找问题出现在哪一台网络设备上,并进行针对性的检查,注意数据的传输过程原理合理正确配置静态路由。
原文:https://www.cnblogs.com/pengdi/p/14810565.html