一、概念
网络地址转换(Network Address Translation,NAT) 将私网地址和端口转换成公网地址和端口,让使用私网地址的网络设备可以访问互联网。
NAT的工作原理是通过解析IP报文头部,自动替换报文头中的源地址或目的地址,实现使用私网地址的用户可以通过私网地址访问互联网。私网IP转换成公网IP的过程对于用户而言是透明的。
二、私网地址
为满足实验室、公司或其它组织独立于internet使用网络的需求,RFCA(Requests For Comment)预留了三段IP地址段给用户使用,私有地址不能在internet上分配,因此可以于用户*使用。
私有IPv4地址空间
A类:10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
B类:172.16.0.0 - 172.31.255.255 (172.16.0.0/12 )
C类:192.168.0.0 - 192.168.255.255 ( 192.168.0.0 /16 )
三、NAT的优缺点
优点:
(1)节省IP地址空间
(2)解决IP地址重叠问题
(3)当网络变更时减少更改IP重编址的麻烦
(4)对外隐藏内部地址,增加网络的安全性
缺点:
(1)增加转发延迟
(2)丧失端到端的寻址,某些应用不支持NAT
(3)需要消耗路由器的CPU和内容进行NAT操作
四、NAT的类型
(1)源IP地址转换(Source IP address-based NAT):
1.1 No-Port 地址转换( No-PAT)
1.2 网络地址及端口转换 (NAPT)
(2)目的IP地址转换 (Destination IP address-based NAT):
1.1 NAT Server
1.2 目的NAT
NAT类型1(No-PAT):
NAT No-PAT 也称为 “一对一地址转换”,在地址转换过程中,数据包的源IP地址由私网地址转换为公网地址,但端口号不做转换。
注:配置No-pat后,设备会将转换前后的地址的所有端口进行一 一 对应,这种应用的优点是私网地址的所有端口不做转换,缺点是公网地址不能被其它私网地址使用。
NAT类型2(NAPT):
NAPT是指在进行NAT转换IP地址的同时,还对端口号进行转换,这种应用可以实现多个私网地址共用一个公网IP,在NAPT方式中,还可以直接借用设备与互联网相连的接口的IP地址作为转换后的IP地址,这种借用接口IP做NAT的应用又称为easy-ip。
NAPT也称为“地址复用”,通过配置NAPT,设备将同时对ip和端口进行映射,允许多个私网ip地址同时映射到一个公网IP,相同的公网IP通过不同的端口映射不同的私网IP,从而实现多对一或多对多的地址转换。
NAT类型3(NAT Server ):
NAT Server 能使内部服务器可以供外部网络访问,外部用户访问内部服务器时,NAT将请求报文的目的地址转换成内部服务器的私有地址,对内部服务回应报文,NAT会将回应报文的源地址(私网地址)转换成公网地址。
五、NAT配置实例
1. NAT类型1(No-PAT):
(1)按上图拓扑结构,构建网络(配置略)
(2)在R1路由器做一对一静态地址转换。
[R1]nat static outbound 192.168.10.1 222.218.225.1 [R1-GigabitEthernet0/1]nat static enable //在相应的接口上应用静态转换
dis nat static //查看静态地址转换对应关系 dis nat session ver //查看NAT地址转换会话
NAT类型2(NAPT):
(1)按上图拓扑结构,构建网络(配置略)
(2)在R1路由器做多对一静态地址转换,只允许192.168.10.0/24用户访问互联网。
acl basic 2000 rule 5 permit source 192.168.10.1 24 [R1-GigabitEthernet0/1]nat outbound 2000
(3)在R1路由器做多对多静态地址转换,只允许192.168.10.0/24用户访问互联网。
acl basic 2000
rule 5 permit source 192.168.10.1 24
nat address-group 1
address 222.218.225.3 222.218.225.5
[R1-GigabitEthernet0/1]nat outbound 2000 address-group 1 [no-pat]
注:no-pat 即一对一,一个私网址址对应一个公网地址;否则,才是多对多关系。
NAT类型3(NAT Server ):
(1)按上图拓扑结构,构建网络(配置略)
(2)在R1路由器做一对一静态地址转换,互联网访问222.218.225.1 转换为192.168.20.1。
[R1-GigabitEthernet0/1] nat server global current-interface inside 192.168.20.1
(3)在R1路由器做一对一静态端口转换,互联网访问222.218.225.1:80 转换为 192.168.20.1:80。
[R1-GigabitEthernet0/1] nat server protocol tcp global current-interface 80 inside 192.168.20.1 80