网络地址转换

本文涉及的产品
公网NAT网关,每月750个小时 15CU
简介: 网络地址转换

NAT技术原理

NAT:对IP数据报文中的IP地址进行转换,一般部署在网络出口设备,例如路由器或防火墙上。

1、内网数据包出去会将私网IP转换成特定的公网IP,实现访问。

2、公网回包之后再根据NAT映射表进行转换,找到真正的内网IP。

3、NAT不是单纯只是用来上网的,也不是只用来内网访问外网的。

NAT的作用:

1、把内网私网IP转换公网IP

2、隐藏内网,起到保护内网作用

3、适当的缓解IPv4地址空间枯竭

4、解决公网设备回包的路由问题

静态NAT原理

每个私有地址都有一个与之对应并且固定的公有地址,即私有地址和公有地址之间的关系是一对一映射

缺点:静态NAT需要一个私网IP对应一个公网IP,需要用到多个公网,造成公网IP浪费。没有缓解IPv4地址空间不足的问题。

静态NAT配置实例

[R1]interface GigabitEthernet0/0/1
[R1-GigabitEthernet0/0/1]ip address 122.1.2.1 24
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.1 inside 192.168.1.1
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.2 inside 192.168.1.2
[R1-GigabitEthernet0/0/1]nat static global 122.1.2.3 inside 192.168.1.3

动态NAT原理

需要配合ACL使用。

静态NAT严格地一对一进行地址映射,这就导致即便内网主机长时间离线或者不发送数据时,与之对应的公有地址也处于使用状态。为了避免地址浪费,动态NAT提出了地址池的概念:所有可用的公有地址组成地址池。

当内部主机访问外部网络时临时分配一个地支持中并未使用的地址,并将该地址标记为“In Use”。当该主机不再访问外部网络时回收分配的地址,重新标记为“No Use”。当主机访问外网时,会用掉地支持中的一个公网,其他主机就不能继续使用这个地址;当不使用时,再归还到地址池中。另一种程度上的一对一映射。

优点:在某种程度上提高公网IP地址使用率。

缺点:依然需要多个公网IP地址组成公网地址池。

动态NAT配置实例

[R1]nat address-group 1 100.1.1.1 100.1.1.1
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1 no-pat

NAPT原理

动态NAT选择地址池中的地址进行地址转换时不会转换端口号,即No-PAT(非端口地址转换),公有地址与私有地址还是1:1的映射关系,无法提高公有地址利用率。

NAPT(网络地址端口转换):从地址池中选择地址进行地址转换时不仅转换IP地址,同时也会对端口号进行转换,从而实现公有地址与私有地址的1:n映射,可以有效提高公有地址效率。

NAPT配置实例

在R1上配置NAPT让内网所有私有地址通过122.1.2.1访问公网。

[R1]nat address-group 1 100.1.1.1 100.1.1.1
[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 1

Easy IP

实现原理和NAPT相同,同时转换IP地址、传输层端口,区别在于Easy IP没有地址池的概念,使用接口地址作为NAT转换的公有地址。

Easy IP适用于不具备固定公网IP地址的场景:如通过DHCP、PPPoE拨号获取地址的私有网络出口,可以直接使用获取到的动态地址进行转换。

优点:1、节省公网IP地址。

2、配置简单。

Easy IP配置实例

在R1上配置Easy-IP让内网所有私有地址通过100.1.1.1访问公网。

[R1]acl 2000
[R1-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255
[R1-acl-basic-2000]quit
[R1]interface GigabitEthernet0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000

动态NAT和NAPT的配置,区别在于,动态NAT需要写no-pat(不带端口号),而NAPT不需要写(带端口号)。

NAPT与Easy IP的配置,区别在于,NAPT需要写地址池,而Easy IP不需要写。而NAPT至少需要2个地址(地址池至少有一个,接口一个),Easy IP至少需要1个地址。

NAT Server配置实例

实现公网访问内网服务器

在R1上配置NATServer将内网服务器192.168.1.3的80端口映射到公有地址100.1.1.100的80端口。

[R1]interface GigabitEthernet0/0/0 
[R1-GigabitEthernet0/0/0]ip address 100.1.1.100 24
[R1-GigabitEthernet0/0/0]nat server protocol tcp global 100.1.1.100 www inside 192.168.1.3
#100.1.1.150为公有地址未使用的
#现网中可以使用easy ip和nat server一起使用一个地址

当Client去访问Server时,地址要写公网地址。如:

公网上的client去访问内网服务的80端口时,要写映射的公网地址,写私网地址是访问不了的。如果内网有多个服务器的80端口要对公网公开,可以这样做:nat server protocol tcp global 100.1.1.100 81 inside 192.168.1.4,这样一个公网地址,可以映射多个内网服务器。

相关实践学习
每个IT人都想学的“Web应用上云经典架构”实战
本实验从Web应用上云这个最基本的、最普遍的需求出发,帮助IT从业者们通过“阿里云Web应用上云解决方案”,了解一个企业级Web应用上云的常见架构,了解如何构建一个高可用、可扩展的企业级应用架构。
相关文章
|
7月前
|
安全 网络安全 网络架构
计算机网络地址转换(NAT)
网络地址转换(NAT)允许多个主机共享一个或一组公共IP地址,同时保护内部网络的隐私和安全。NAT通常由路由器或防火墙设备执行,它充当内部网络和外部网络之间的中间人,将内部主机的私有IP地址映射到一个或多个公共IP地址上。
113 0
|
网络协议 虚拟化
76Linux - VMware虚拟机三种联网方法( NAT网络地址转换: 默认使用VMnet8 )
76Linux - VMware虚拟机三种联网方法( NAT网络地址转换: 默认使用VMnet8 )
132 0
|
负载均衡 应用服务中间件 Linux
企业实战(13)LVS负载均衡NAT(网络地址转换)模式实战详解(一)
企业实战(13)LVS负载均衡NAT(网络地址转换)模式实战详解(一)
181 0
|
2月前
|
网络协议 安全 网络安全
Cisco-网络端口地址转换NAPT配置
Cisco-网络端口地址转换NAPT配置
|
2月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换动态NAT
Cisco-网络地址转换动态NAT
|
2月前
|
安全 网络安全 数据安全/隐私保护
Cisco-网络地址转换静态NAT
Cisco-网络地址转换静态NAT
|
3月前
|
网络协议 网络安全 网络架构
【收藏】使用网络地址转换 增强网络安全
【收藏】使用网络地址转换 增强网络安全
|
7月前
NewH3C—网络地址转换(NAT)
NewH3C—网络地址转换(NAT)
|
7月前
|
网络协议 网络安全 网络虚拟化
网络技术基础(13)——NAT网络地址转换
【3月更文挑战第2天】网络基础笔记(加班了几天,中途耽搁了,预计推迟6天),这篇借鉴了之前师兄的笔记,边听边记笔记实在是太慢了。
|
数据安全/隐私保护
NAT 网络地址转换
NAT 网络地址转换
86 1