NAT技术

2021-12-28 10:12:24 浏览数 (1)

NAT技术(网络地址转换技术:Network AdressTranslation)

1、为什么要学习NAT?

ip地址逐渐紧缺,已经不能满足网络通信的需求,需要一个技术来对网络地址进行适度扩充。于是也就诞生了一种解决该地址危机的思路:NAT技术 公私网地址规定。

2、公私网

ABC三类中抽取一小部分地址作为私有地址,其余的地址都称为公网地址。 私有IP范围: A: 10.0.0.0—10.255.255.255; B: 172.16.0.0---172.31.255.555; C: 192.168.0.0---192.168.255.255。

3、公私网地址使用规定

局域网/私网/内网内部必须使用私有ip地址,公网/互联网/外网中必须使用公有ip地址,公网中不允许出现私有ip地址。并且不同的私网,是可以出现重复的私有ip的,并不冲突,因为内网和内网之间是不能用私有地址进行通信的,私有地址用作内网之间的主机互相通信。

4、公私网地址的应用场景

对于人们日常的居家上网来说,家里连接有线网络或者wifi的时候,我们在家使用的是私有ip,通过路由器或者网线访问外网的时候,运营商就会根据需求给每家的所有用户设置一个公网ip地址提供用户上网使用,那我们的私网地址是如何转换成公网地址完成上网的呢?又是如何做到多个私有ip转换成一个公有ip地址使用网络的呢?这就利用到了NAT技术。

5、NAT技术的实现

在公司,学校,家庭能存在内部网络环境的网络边缘设备上,启用NAT技术,实现私网地址和公网地址的互相转换。

6、NAT的工作原理

对公司出口的路由器进行配置:

代码语言:javascript复制
int f0/0
ip nat inside       #指定为内部nat端口
int f0/1
ip nat outside    #指定为外部nat端口
exit

一旦指定了内外网端口,NAT技术就会做出以下的转换动作:

1)内网数据--->外网,NAT将源ip地址转换为公网ip地址,简称为源转换。

2)外网数据--->内网走,NAT将公网目标ip地址转换为内网目标ip地址,简称目的转换。

6.1NAT技术的转换方式:

静态地址转换(一对一地址转换):手动配置一张NAT地址转换表,其中记录了内网ip地址和外网ip地址的对应关系,如:s 192.168.1.1------100.1.1.1

动态地址转换(一对多地址转换,也叫PAT):内网设置一个NAT地址池,里面存放所有可以被转换为公网ip上网的内网ip地址

6.2PAT技术的命令配置

在公司边界的路由器上配置:

代码语言:javascript复制
en

conf t

access-list 1 permit 192.168.1.0 0.0.0.255        #写一个访问列表1作为NAT内部地址池,并利用反子网掩码0.0.0.255设置一个地址匹配范围,0代表精准匹配ip地址对应的数字,255表示IP地址对应位置上0-255任意一个数字任意匹配:192.168.1.0网段中的所有主机。只要有一个该网段的主机出现,都判断为该地址池中的一员。

ip nat inside source list 1 int f0/1 overload          #将内网ip发出的数据包根据源ip地址和列表1进行匹配,匹配成功就将其转换成f0/1端口的ip地址,并且同时分配一个随机端口替换内网源端口号。

show ip nat translation                                        #查看nat地址转换表,在内网ip没有上网时是空白的,只有上网之后,才会刷新该表产生地址转换记录

6.3静态端口映射(静态目的转换)配置

静态端口映射应用在内网服务器对外发布的场景,就是为了将服务器的端口映射到公网上去。例如:将内网服务器的web服务映射到公网上,使用以下配置: 第一步:设置边界路由器的nat内网端口和外网端口。

代码语言:javascript复制
en
conf t
int f0/0
ip nat inside
int f0/1
ip nat outside
exit

第二步:将内网服务器192.168.1.4的80端口映射到外网ip地址100.1.1.1的80端口,用于提供给外网的用户访问。

代码语言:javascript复制
ip nat inside source static tcp 192.168.1.4 80 100.1.1.1 80

内网发布多个服务到公网的场景

实现该需求,有两种思路:

1、如果需要让两台内网web服务器都开启公网的服务,由于只购买了一个公网ip,为了防止公网ip的端口出现冲突,一般将另外一个网站的端口设置为8080,命令配置如下: ip nat inside source static tcp 192.168.1.253 80 100.1.1.1 8080

2、购买第二个ip地址,使用该地址单独作为第二个web服务器的公网地址: 如果公司管理者觉得一个公网ip不够用,想找运营商购买更多的ip地址(如100.1.1.3),此时由于边界路由器的公网接口已经有一个ip地址霸占,不能再配置其他ip地址,所以新买的地址只需要付费并授权即可。运营商会帮助我们实现关于100.1.1.3的控制,只要公网出现了100.1.1.3这个ip地址的数据包,运营商就会将其转发给公司的边界路由器进行处理,此时我们只需要写一条nat地址转换记录完成ip映射即可。命令配置如下: ip nat inside source static tcp 192.168.1.252 80 100.1.1.3 80

0 人点赞