NAT

  1. 云栖社区>
  2. 博客>
  3. 正文

NAT

技术小阿哥 2017-11-27 15:20:00 浏览686
展开阅读全文

NAT

wKioL1TGHCujGYfaAAEEWWKComo116.jpg

NAT:网路地址转换,是为了解决ipv4地址不够用而提出的。

几个概念:如图wKioL1TGHPrQnKrFAAEZ3axsSAI416.jpg

静态NAT,就是一个内网ip 对应一个外网IP.

动态NAT,就是公网的ip就多个,可以建一个地址池,总的来说还是一对一.

PAT:是对个内网IP对应一个外网ip,通过端口号来区分.


静态nat配置:

在相应的接口下:

int f0/1

ip nat inside

int s0/1 

ip nat outside

ip nat inside source static  192.168.1.100  1.1.1.2,

1.这样相当于内网的192.168.1.100暴露在公网上了.不安全.

2.这种对应关系是一直存在的.可以通过访问内部全局地址来访问内网中与之有对应关系的内部本地地址.


动态NAT,假设我们的公网ip地址有多个:1.1.1.2 到1.1.1.5,

ip nat pool nat1 1.1.1.2  1.1.1.5 建一个出口公网IP地址的池

access-list 1 permit 192.168.1.0 0.0.0.255 建一个允许转换的内网IP的ACL

ip nat inside source list 1 pool nat1 池和ACL对应起来

1,内部本地地址和内部全局地址是一对一映射动态NAT是临时的,如果过了一段时间没有使用,映射关系就会删除

2.当内网的客户机访问外网时,从地址池中取出一个地址为它建立NAT映射,这个映射关系会一直保持到会话结束。


动态PAT:把动态NAT后面加overload就可以,ip nat inside source list 1 pool nat1 overload


接口PAT:假设公网IP只有一个,但是内网有多台设备需要访问外网

则:需要做PAT,

首先做一个ACL,允许内网转换。

access-list 1 permit 192.168.1.0 0.0.0.255

ip nat inside source list 1 interface Serial0/0 overload  出口ip是配载s0/0上。

sh ip nat trans

Pro Inside global      Inside local       Outside local      Outside global

icmp 1.1.1.2:6         192.168.1.1:6      1.1.1.1:6          1.1.1.1:6

 是通过端口号来区分内网设备的.

外网需要访问内网的服务器的http服务,则要做一个端口映射.

ip nat inside source static tcp  192.168.1.100 80 1.1.1.2 8080 把内网中服务器的端口80 映射成公网出口ip的8080端口,这样通过访问1.1.1.2:8080就可以相当于访问内网中服务器192.168.1.100的80端口.


用路由器模拟pc,

no ip routing

int f0/1

ip add 192.168.1.2 255.255.255.0

no sh

ip default-gateway 192.168.1.254 配一个网关P


今天SM公司打电话过来,让我自我介绍,我说了我的培训经历,已经考取了CCNP,我面试官说那么长时间已经忘了吧,我说不会,NP是刚考的,他问源NAT和目的NAT的是什么?我当时愣住了。

源NAT地址转换是内网用户要访问外网时,内网地址转换为公网地址,然后才可以访问互联网上的资源的
目的NAT地址转换是外网地址要访问内网服务器时,内网服务器地址映射为外网地址,而外网用户通过访问该映射的外网地址就可以访问内网服务器了,这样可以保护内部服务器的安全。


外网要访问内网的服务器,要么静态NAT,讲内网的一个IP 与外网的出口ip对应起来,这样通过访问出口的IP就可以访问内网的服务器,这样做的缺点是把服务器完全暴露了。不安全。一般我们会做一个端口映射。如:

外网需要访问内网的服务器的http服务,则要做一个端口映射.

ip nat inside source static tcp  192.168.1.100 80 1.1.1.2 8080 把内网中服务器的端口80 映射成公网出口ip的8080端口,这样通过访问1.1.1.2:8080就可以相当于访问内网中服务器192.168.1.100的80端口.

这样做只开放80端口。其他端口不能访问。



本文转自 369蓝宝 51CTO博客,原文链接:http://blog.51cto.com/3739387/1608560,如需转载请自行联系原作者

网友评论

登录后评论
0/500
评论
技术小阿哥
+ 关注