CCNA学习笔记12-NAT
网络地址翻译 inside local-》inside group
私有IP转换为公网IP,在internet上使用
◆NAT术语
inside outside指的是物理位置(本地PC访问百度服务器,PC就是inside 百度服务器就是outside)
inside local内部本地:私有IP,不能直接用于互联网
inside group内部全局:用来代替内部本地的IP地址,在互联网上是合法的IP
outside group外部全局:外部网络中的主机IP,通常来着全局可路由的地址空间
outside local外部本地:在内部网络中看到的外部主机IP
注意:对于本地网关路由器,从进来数据到发出去,是先路由再做NAT;反之,从外部进来发往内部的数 据,是先做NAT再路由
从内部出去的数据流通过配置可以转换,但是从外部进来的数据必须有相应的表项,配置时不能触发外部数据转换的。
◆NAT分类
根据映射的方式分为:
静态NAT:手动建立一个内部IP到一个外部IP的映射关系。经常用于内部某台设备需要外部网络 来访问的场合 企业内网用于服务的服务器。
动态NAT:将一个内部IP转换为一组外部IP(地址池)中的一个IP。常用于公司内部IP公用多个 公网IP来访问internet
超载NAT:动态NAT的一种特殊形式。利用不同的端口号将多个内部IP转换为一个外部IP.也称为 NPAT,NAPT或端口复用NAT
◆配置
静态NAT:
◆ 指定一个内部接口和一个外部接口
ip nat {inside|outside}
配置静态转换条目
ip nat inside source static local-ip {interface interface| global-IP}
◆ 配置静态端口地址转换
ip nat inside source static {tcp|udp}local-ip local-port {interfac interface|golbal-ip}global-ip
查看:show ip nat translations 可以看到表项,外部进来的流量就通过该表项进行转换
动态NAT就没有表项,外部就无法访问内部
案例:
一、一对一静态映射
R1:int f1/0
ip add 12.1.1.1 255.255.255.0
no shu
int lo0
ip add 10.1.1.1 255.255.255.255
router eigrp 10
no auto
net 0.0.0.0
R2: int f1/0
ip add 12.1.1.2 255.255.255.0
no shu
int f1/1
ip add 23.1.1.2 255.255.255.0
no shu
router eigrp 10
no auto
net 0.0.0.0
redistribute static
ip route 0.0.0.0 0.0.0.0 23.1.1.3
R3:int f1/0
ip add 23.1.1.3 255.255.255.0
no shu
int lo0
ip add 3.3.3.3 255.255.255.255
此时R1 ping R3 ping 3.3.3.3 不通,R3开启 debug ip packet看R1的包是否到达R3,已经到达但是回不去R1.
R2配置NAT:int f0/0
ip nat inside
int f0/1
ip nat outside
ip nat inside source static 10.1.1.1 23.1.1.2
再从R1 ping 3.1.1.1 source 10.1.1.1可通
备注:内部流量先路由再翻译;外部流量先翻译在路由
测试,开启R1 R2的telnet。
从R3telnet 23.1.1.2 看到远程到了R1二非R2 ,就是因此先翻译把23.1.1.2 翻译成10.1.1.1
上述一对一映射,实际中并不会用,这样浪费公司公网IP,实际采用端口映射。把自己服务器发布出去
端口静态NAT配置:
R2:ip nat inside source static tcp 10.1.1.1 23 23.1.1.2 123
二、多对多动态映射
假设运营商分给企业的公网IP:172.19.233.209-172.19.233.222 255.255.255.240
内网IP:192.168.1.0 255.255.255.0
ip nat pool nat-208 172.19.233.209 172.19.233.222 netmask 255.255.255.240
ip nat inside source list 1 pool nat-208
access-list 1 permit 192.168.1.0 0.0.0.255
再次说明,从inside到outside可以通NAT配置生成表项翻译出去。但回来的流一旦没有翻新表项,是无法进来的。
三、复用内部的全局IP
将一个内部全局地址用于同时代表多个内部局部地址。
主要用IP和端口号组合来唯一区分各个内部主机
目前企业普遍应用。
配置:加关键字overload。。 ip nat inside source list 1 pool nat-208 overload
清翻译表,clear ip nat translation *
转载于:https://blog.51cto.com/angelfire1986/1708859