NAT
- 1 NAT概述
- 1.1 IP地址概述
- 1.2NAT概述
- 2 NAT分类
- 2.1 静态NAT
- 2.2 动态NAT
- 2.3 PAT
- 2.4 静态PAT
- 3 NAT命令
- 3.1 定义内外网接口
- 3.2 配置PAT
- 3.3 配置静态端口转换
- 4 路由器工作原理归纳完善
- 5 总结
1 NAT概述
1.1 IP地址概述
- ipv4地址使用现状:现在已严重不够用。仅ABC类可以用,D类是组播,E类是科研。
- IP地址分为公网IP和私网IP。
- 公网IP仅能在公网上使用。
- 私网IP仅能在私网上使用,私有IP可以在不同的内网内重复使用。
- 为避免重复出现的私有IP冲突,公网上不允许出现私有IP地址。
- 私有IP地址范围,从原有ABC类中各抽出一部分作为私有IP地址。
- 10.0.0.0/8(10开头的),如10.1.1.1、10.10.1.254。
- 172.16.0.0/16~172.31.0.0/16(172.16开头的一直到172.31开头的),如172.31.100.200。
- 192.168.0.0/16(192.168开头的),如192.168.100.100。
- 公有IP地址,ABC类中除了私有IP地址以外的IP地址。
- 静/态公有IP地址:在运营商处购买的IP地址有静动态之分,对于需要搭配服务器供公网用户访问的公司,需要购买静态公用IP地址,因为动态IP地址刷新后会影响别人用ip地址对服务器的访问。
1.2NAT概述
- NAT定义:Network Address Translations 网络地址转换。
- 作用:NAT技术主要实现公私有IP地址转换。(解决ipv4地址不够用带来的麻烦)
- 简介:主机在内网使用的是私有IP地址,IP包头封装时使用的是私有地址,那该数据帧怎么走出外网的呢?答案是在数据帧走到路由器上准备由内网发往外网时,将私有IP地址替换为公有IP地址再封装。
- 配置位置:一般是在路由器或者防火墙上配置,不建议在三层交换机上配置。
2 NAT分类
2.1 静态NAT
- 在路由器接口上手动配置NAT地址转换表,一个私有IP对应一个公有IP地址。
- 缺点:公司够买了多少个公有IP地址,内网就有多少个主机能上网,一一对应。
2.2 动态NAT
- 路由器上配置一个私有地址池(公司内部所有主机用到的私有IP)动态映射一个公有地址池(所购买的公有IP),当有一个内网主机访问外网时,将该内网IP从内网地址池中取出,同时取出公网地址池中的一个IP地址,动态形成NAT地址转换表。默认当该主机24小时没有联系外网时,该动态NAT条目会自动消息,所被取出的公私有地址重新回到地址池中。
- 优点:相比于静态,不用手动修改NAT地址转换表。
- 缺点:公有IP有多少个,就能允许多少个内网主机上网,用完即止。
2.3 PAT
- 定义:Port Address Translations,端口地址转换,也称为端口复用技术。
- 在动态NAT基础上,增加overload复用技术。
- 工作流程:
- 公司内网主机私有IP地址为IPA,公有IP地址为IPB,想要访问百度服务器公有地址IPC,内网主机访问百度网页时,生成源端口号5000,目标端口号为80,主机将信息封装成数据帧发送到路由器。
- 数据帧到达路由器后,路由器解封装数据帧后,将其源IP与内部地址池进行匹配,命中后先动态生成NAT地址转换表。从内部地址池中将该IP地址复制到NAT转换表中、从外部地址池中将IP地址复制到NAT转换表中、从数据帧中复制源端口号到NAT转换表中、并由路由器动态生成一个端口号(一般从1开始,不可重复,当原条目消失后才能再次使用),所形成的NAT地址转换表如步骤7。
- 路由器替换掉数据包源IP和源端口号,封装后再将数据发送到外网。
- 路由器收到百度服务器回包时,路由器解封装数据帧,并检查NAT转换表,发现数据包中的目标IP是IPB、目标端口号是1,匹配表中条目。
- 路由器将数据包中目标地址和目标端口号替换掉,封装后再发给内网主机。
- 当内网有其他主机访问外网时,重复上述过程,依靠路由器自己动态生成的端口号区别各个条目。
- 上述工作过程在步骤2生成NAT地址转换表如下。
- 公司内网主机私有IP地址为IPA,公有IP地址为IPB,想要访问百度服务器公有地址IPC,内网主机访问百度网页时,生成源端口号5000,目标端口号为80,主机将信息封装成数据帧发送到路由器。
| 私有IP | 公有IP | 源端口号 | 动态端口 |
|---|---|---|---|
| IPA | IPB | 5000 | 1 |
| IPX | IPB | 8080 | 2 |
- 动态生成NAT地址转换表只能是在数据帧由路由器发至外网的过程中生成,数据帧从外网发到内网只能使用该表。
- 端口号范围:0~65535
- 弊端:每一个主机每一个进程都有可能占用一个端口号,每一个主机正常使用是估计约要占用50个端口号,也就是公司一个公用IP大概能供1000个人使用,对于规模更大的公司,需要多购买公用IP地址。
2.4 静态PAT
- 静态PAT也称为端口映射。
- 意义:从数据帧流向上看,动态PAT技术解决了多个内网主机访问外网服务器的问题;静态PAT解决了外网主机访问内网服务器的问题。
- 对于公司而言,不建议将提供员工上网使用的公网IP地址与服务建立静态映射,建议另外购买一个公用IP地址,提供给各个服务器使用。如果同时有两个WEB服务,且不想改端口号,则需要继续新购买公用IP地址。
- 虚拟公网IP地址,即VIP地址。一般是购买企业级带宽的公用IP,运营商会赠送一部分VI,用于公司映射服务器使用。
- 假设公司路由器外网接口配置的IP地址是100.1.1.1,另外购买的10.1.1.2地址是用于映射内网服务器给外网用户使用的,此时,无需在路由器接口上另外配置该IP地址,仅需在NAT地址转行表中添加该条目即可,运营商路由器自然会将公司所在网段100.1.1.0所有的数据帧均发送至100.1.1.1接口上,再根据NAT地址转换表发至内网设备上。
3 NAT命令
3.1 定义内外网接口
根据路由器上接口的方向进行定义,假设路由器上f0/0接口连接的是内网,f0/1接口连接的是外网。
en
conf t
int f0/0
ip nat inside
exit
int f0/1
ip nat outside
exit
3.2 配置PAT
定义内部地址池
conf t#定义内部地址池
#ACL表应用于路由器接口上时进行数据包过滤,应用于其他位置只是匹配条件是否满足
acc 1 permit 192.168.0.0 0.0.255.255 #网段与反子网掩码配合用于匹配私有IP地址是否属于该池#做PAT动态映射:
#inside source 表示来自内网的数据包的源IP地址
#list1表示匹配上述的acc1表
#建立“满足acc1表的内网IP地址”与“f0/1接口的IP地址”的动态NAT表,进行地址转换,并启用overload技术。
ip nat inside source lint 1 int f0/1 overload#查看动态NAT地址转换表
show ip nat translations
3.3 配置静态端口转换
假设公司路由器外网接口配置的IP地址是100.1.1.1,另外购买的10.1.1.2地址是用于映射内网服务器给外网用户使用的,此时,无需在路由器接口上另外配置该IP地址,仅需在NAT地址转行表中添加该条目即可,运营商路由器自然会将公司所在网段100.1.1.0所有的数据帧均发送至100.1.1.1接口上,再根据NAT地址转换表发至内网设备上。
conf t
ip nat inside source static 192.168.1.3 100.1.1.2 #将192.168.1.3整个服务器映射出去
ip nat inside source static tcp 192.168.1.3 80 100.1.1.2 80 #只映射TCP80端口号
4 路由器工作原理归纳完善
- 对由内到内/外的数据帧:
- 路由器内网接口收到数据帧,
- 解封装查看是否目标AMC地址是自己,否则丢弃,
- 查看是否有ACL表对数据过滤,
- 匹配路由表将数据包路由至目标接口,
- 查看是否有ACL表对数据过滤,
- 如果是路由到外网接口则需要查看NAT表是否地址转换,(NAT和ACL哪个先?个人理解应该是NAT更接近外侧,即先ACL再NAT,暂未验证。)
- 封装后发出到下一跳。
- 对由外到内的数据帧:
- 路由器外网接口收到数据帧,
- 解封装查看是否目标AMC地址是自己,否则丢弃,
- 查看NAT表是否地址转换,(NAT和ACL哪个先?个人理解应该是NAT更接近外侧,即先NAT再ACL,暂未验证。)
- 查看是否有ACL表对数据过滤,
- 匹配路由表将数据包路由至目标接口,
- 查看是否有ACL表对数据过滤,
- 封装后发出到下一跳。
5 总结
- 了解IP地址的分类、私有地址有哪些。
- 了解NAT技术应用的背景
- 了解NAT技术的分类,掌握各自的原理。
- 熟悉相关命令。
- 深度理解路由器的工作原理。
