一、简介
NAT(Network Address Translation)即网络地址转换技术。由于IPv4地址逐渐不够用,而IPv6还没有广泛使用起来,通过NAT技术,可以将私网地址转换为公网地址,并且多个私网用户可以公用一个公网地址。这样既可以保证网络互通,又节省了公网地址。
二、配置方式
进入路由器端口,我们通过命令“nat ?”可以查看到有三种配置方式:
我们通过下图依次进行配置讲解:
这里我们通过路由器AR1模拟外网,建立一个环回地址,模拟外网服务器,进行连接测试:
注意:这里需要在AR2配置一个缺省路由,命令如下:
ip route-static 0.0.0.0 0.0.0.0 12.1.1.6
不要在AR1种配置缺省路由。
配置环回地址命令:
interface LoopBack1
ip address 8.8.8.8 255.255.255.0
1.static
特点:外网的用户可以访问内网的主机。但只能提供一对一映射,有多少个私网地址,就需要多少个公网地址。
配置:
进入AR2中,
interface GigabitEthernet0/0/1
nat static global 12.1.1.2 inside 192.168.1.2 /将共有地址12.1.1.2替换私有地址192.168.1.2(个人理解)
我们在AR1 G0/0/0处进行抓包,使用PC1通过ping 8.8.8.8,获取如下:
我们可以到,截取的ICMP包,发起的都是12.1.1.2,而不是192.168.1.2。
并且PC2是ping不通8.8.8.8的,如下:
2.outbound
特点:允许多个私网地址转换成一个公网ip地址,企业常用。
我们首先创建一个ACL规则,规则中指明允许通过的网段,最后到出站端口,调用该规则即可,命令如下:
acl 2000
rule 5 permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/1
nat outbound 2000
此时,我们发现两台PC都能ping通8.8.8.8,抓包结果如下:
3.server
对于第三种,我们将图进行了修改,如下图:
我们添加了一个服务器,和一个客户端,并进行响应的ip配置。
通过nat server,我们只是将服务器的一个端口映射出去,以保障安全。
interface GigabitEthernet0/0/1
nat server protocol tcp global 12.1.1.4 www inside 192.168.1.4 www
此时,我们通过ping命令,发现并不能通过ping命令通信。
但是,当我们通过服务器启动http服务:
进入客户端,进行http连接12.1.1.4时,发现时可以访问的
抓包结果如下:
以上。