用于实现私网和公网互访
私有网络地址
指内部网络或者主机的IP,规定私有网络地址不在intelnet中出现,可在个人或者公司内部使用
共有网络地址
指互联网上全球唯一的IP,2019年11月26日,43亿的IPV4地址正式耗尽
NAT的工作原理
将内网地址和端口号转换成合法的公网地址和端口号,建立一个会话与公网主机进行通信,NAT内部主机想要通信必须主动和公网IP通信,路由器负责建立一个映射关系,从而实现数据的转发
NAT功能
NAT不仅解决了IP不足的问题,也可以有效避免外网入侵的威胁,隐藏并保护网络内部计算机
- 带宽分享
- 安全防护 侦测不到客户端主机
优点:节省公有合法IP地址,处理地址重叠
缺点:延迟增大、配置维护复杂,不支持某些应用(VPN)
静态NAT
实现私网和公网地址一对一转换,不能节约公网但能隐藏内部网络的作用,内部向外发时,源地址会转为对应的公网地址;由外而内时,目的地址会转为相应的私网地址
两种配置方式
全局模式下设置静态NAT
[R]nat static global [IP] inside [IP]
[R]int g0/0/0
//外网口
[R-G0/0/0]nat static enable
//在网口上启动功能
直接在接口上声明nat static
[R]int g0/0/0
//外网口
[R-G0/0/0]nat static global [IP] inside [IP]
[R]dis nat static
//查看NAT静态配置信息
动态NAT
多个私网地址对应多个公网地址,基于地址池一对一映射
- 配置外部网口和内部网口IP
- 定义合法的IP地址池
[R]nat address-group 1 192.168.1.100 192.168.1.200
//创建一个名为1的nat地址池
- 定义访问控制列表
[R]acl 2000
[R-acl-basic-2000]rule permit source 192.168.1.0 0
//创建ACL,允许源地址为192.168.1.0的网段 0 为反掩码
- 在外网口上设置IP地址转换
[R-acl-basic-2000]int g0/0/0
//外网口
[R-G0/0/0]nat outbound 2000 address-group 1
PAT端口多路复用
PAT又称NAPT,用于实现一个公网地址和多个私网地址之间映射,将不同私网地址的报文中的源IP地址转换成为同一个公网地址,转换后的地址端口号不同,因而仍然能共享同一个地址
PAT的作用
- 改变数据包的IP地址和端口
- 能够大量节约公网IP地址
PAT的类型
- 动态PAT,包括NAPT和EasyIP
- 静态PAT,包括NAT Server
NAPT
多个私网IP地址对应固定的外网IP地址
EasyIP
多个私网IP地址对应外网口公网IP地址
NAT Server
将私网地址端口映射到公网地址,实现内网服务器供外网用户访问