基本知识
1.公有IP和私有IP
公有IP:全球唯一,可以在互联网中通信,付费使用
私有IP:本地唯一,不可以在互联网中使用,无需付费
私网地址范围
A类: 10.0.0.0-------10.255.255.255
B类:172.16.0.0------172.31.255.255
C类:192.168.0.0------192.168.255.255
2.NAT
NAT:网络地址转换,在边界路由器上,进行公有和私有IP地址间的转换
NAT的分类:静态NAT 动态NAT NAPT 端口映射
静态NAT
在我们私网的边界路由器上维护一张 静态地址映射表,静态地址映射表反映了公有IP地址和私有IP地址之间一一对应的关系。
所以说静态NAT也叫一一对应的NAT。
工作过程:当内网的数据包来到边界路由器上,会先检查其目的IP地址是不是公网IP地址。如果是,就会根据我们配置的静态地址映射表中查询该源IP对应的公网IP。如果有记录,则将发往公网的数据包源IP改为对应的公网IP。
动态NAT
动态NAT和静态NAT最大的区别就在于地址映射表的内容是可以变化的,而不是写死的。所有,动态NAT不再是一对一的关系而是实现多对多的转换。
动态NAT在同一时间,还是一个公网地址对应一个私网地址,所以上网需求很大时,便只能排队使用。
为解决动态NAT同一时间一个公网IP只能对应一个私网IP的问题,在边界路由器上维护一张源端口号和私网IP地址的映射关系表,因为端口号的取值范围是0-65535既65536个端口号,所以NAPT同时支持通过的数据包量为65536个,这就形成了一对多的NAPT,在华为体系中,称这种NAPT为EASY IP。当上网需求量变大时,一个公网IP可能不够用,我们可以同时使用多个公网IP地址,这样就形成了65536的倍数增长,形成多对多。
基本配置
静态NAT
[R2]interface g0/0/1 进入边界路由器向外的接口上[R2-GigabitEthernet0/0/1]nat static global 12.1.13 inside 192.168.1.2 将公网地址12.1.1.3映射于 私网地址192.168.1.2[R2]display nat static 查询NAT
动态NAT
[R2-acl-basic-2000]rule permit source 192.1680.0 0.0.255.255规定 允许所有192.168.0.0(除其本身还有255种变化)[R2-GigabitEthernet0/0/1]nat outbound 2000将acl2000所定义的流量 在该接口出的方向上交给NAT进行地址转换多对多
创建一个公网地址池
[R2]nat address-group 1 12.1.1.3 12.1.1.10创建一个公网地址池编号为1 范围在12.1.1.3---12.1.1.10
要求(1.必须是公网地址 2.必须是连续地址)配置ACL抓捕感兴趣流量
[R2-acl-basic-2000]rule permit source 192.168.0.0. 0.0.255.255
(相当于抓捕了所有内网的地址)[R2]interface g0/0/1 进入需要进行nat的接口[R2-GigabitEthernet0/0/1]nat outbound 2000 address-group 1在该接口上将acl2000抓捕的流量交给公网地址池 1
添加no pat 为静态多对多 不添加no pat 为 动态多对多
静态多对多: 多个一对一
动态多对多: 多个多对多
端口映射
[R2-GigabitEthernet0/0/1]nat server protocol tcp global current-interface 80 inside 192.168.1.10 80将该接口上的真IP地址的80端口映射于假地址192.168.1.10的80端口映射到一起
