4.1.0 路由 NAT（簡介、靜態(tài)NAT、動(dòng)態(tài)NAT、NATServer、NAPT、Easy-ip、NAT地址映射表）

簡介

為了有效節(jié)約公網(wǎng)IPv4地址，并提供一定的網(wǎng)絡(luò)安全保障能力，NAT網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)孕育而生。

NAT（Network Address Translation）網(wǎng)絡(luò)地址轉(zhuǎn)換，主要將私有地址轉(zhuǎn)換成公網(wǎng)地址。

NAT優(yōu)點(diǎn)：

• 能夠緩解公網(wǎng)地址緊缺問題。
• 解決IP地址空間沖突或重疊的問題。
• 網(wǎng)絡(luò)擴(kuò)展性更高，本地控制也更容易。
• 內(nèi)網(wǎng)結(jié)構(gòu)變得不可見，從而增加了安全性。

NAT缺點(diǎn)：

• 因?yàn)榈刂酚成涞脑颍?dāng)網(wǎng)絡(luò)轉(zhuǎn)換過多時(shí)會(huì)存在轉(zhuǎn)發(fā)延遲的問題。
• 端到端尋址變得困難，因?yàn)榻?jīng)過了NAT地址轉(zhuǎn)換相當(dāng)于換了張臉，想找人就難了。
• 對于某些應(yīng)用，無法支持NAT。
• NAT產(chǎn)生的表項(xiàng)會(huì)占用設(shè)備在內(nèi)存空間。
• 進(jìn)行NAT地址轉(zhuǎn)換的設(shè)備性能要求高。

NAT地址映射表

主要有四個(gè)地址信息，NAT的地址轉(zhuǎn)換核心就在這四個(gè)地址中。

內(nèi)部本地地址（Inside Local）——本地私網(wǎng)地址

內(nèi)部全局地址（Inside Global）——私網(wǎng)轉(zhuǎn)換成的公網(wǎng)地址

外部本地地址（Outside Local）——公網(wǎng)轉(zhuǎn)換成的私網(wǎng)地址

外部全局地址（Outside Global）——外部公網(wǎng)地址

為了方便理解，通過以下兩個(gè)實(shí)驗(yàn)進(jìn)行相應(yīng)地址的對應(yīng)：

# 內(nèi)網(wǎng)1中的PC1訪問外網(wǎng)202.1.2.2的時(shí)候，轉(zhuǎn)換成外網(wǎng)接口地址。
由于ENSP中使用dis nat mapping table all 查看地址映射表會(huì)卡頓甚至無法使用，所以用文字進(jìn)行表示：
【AR1映射表】
內(nèi)部本地地址：192.168.1.10:隨機(jī)端口
內(nèi)部全局地址：202.1.2.1:隨機(jī)端口
外部本地地址：202.1.2.2:隨機(jī)端口 or 空 【因?yàn)閷τ贏R1來說，AR2內(nèi)網(wǎng)地址是不知道的，所以可為空】
外部全局地址：202.1.2.2:隨機(jī)端口
【AR2映射表】
內(nèi)部本地地址：192.168.2.10:隨機(jī)端口
內(nèi)部全局地址：202.1.2.2:隨機(jī)端口
外部本地地址：202.1.2.1:隨機(jī)端口 or 空
外部全局地址：202.1.2.1:隨機(jī)端口

# AR2上將Server1中的80端口 映射成公網(wǎng)地址202.1.2.1:80，實(shí)現(xiàn)內(nèi)網(wǎng)1的PC訪問202.1.2.2:80時(shí)能夠訪問到Server1的網(wǎng)頁。

【AR1映射表】
內(nèi)部本地地址：192.168.1.10:隨機(jī)端口
內(nèi)部全局地址：202.1.2.1:隨機(jī)端口
外部本地地址：202.1.2.2:80 or 空
外部全局地址：202.1.2.2:80
【AR2映射表】
內(nèi)部本地地址：192.168.2.10:80
內(nèi)部全局地址：202.1.2.2:80
外部本地地址：202.1.2.1:隨機(jī)端口 or 空
外部全局地址：202.1.2.1:隨機(jī)端口

靜態(tài)NAT

簡介

私有地址與公網(wǎng)地址一對一映射，不管主機(jī)是否在線，地址映射依舊存在。

可實(shí)現(xiàn)內(nèi)外網(wǎng)的雙向訪問，因?yàn)殪o態(tài)NAT中的映射表是固定的。

靜態(tài)NAT可以實(shí)現(xiàn)私網(wǎng)地址映射成公網(wǎng)地址，也能實(shí)現(xiàn)公網(wǎng)地址映射成私網(wǎng)地址。

該NAT模式非常浪費(fèi)公網(wǎng)地址，只能實(shí)現(xiàn)一個(gè)私網(wǎng)與一個(gè)公網(wǎng)地址的映射。

操作案例

配置靜態(tài)NAT會(huì)將公網(wǎng)地址與私網(wǎng)地址進(jìn)行一對一的映射，即公網(wǎng)地址=私網(wǎng)地址，私網(wǎng)地址=公網(wǎng)地址。

AR1：
interface GigabitEthernet0/0/0
 ip address 202.1.2.1 255.255.255.0 
 nat static global 202.1.2.10 inside 192.168.1.10 netmask 255.255.255.255
 nat static enable


AR2：
interface GigabitEthernet0/0/0
 ip address 202.1.2.2 255.255.255.0 
 nat static global 202.1.2.20 inside 192.168.2.10 netmask 255.255.255.255
 nat static enable
 
現(xiàn)象：
Client1可以通過202.1.2.20訪問Server1的服務(wù)
Server1可以通過訪問202.1.2.10訪問到Client1

動(dòng)態(tài)NAT

簡介

為避免地址浪費(fèi)，創(chuàng)建地址池。當(dāng)私網(wǎng)地址需要訪問外網(wǎng)時(shí)，從地址池中取出一個(gè)地址與私有地址一對一臨時(shí)映射。

當(dāng)內(nèi)部主機(jī)訪問外網(wǎng)時(shí)，地址標(biāo)記為In Use，不使用時(shí)將回收地址重新標(biāo)記為Not Use。

該NAT模式無法實(shí)現(xiàn)內(nèi)外網(wǎng)的雙向訪問，因?yàn)閯?dòng)態(tài)NAT中的映射表是動(dòng)態(tài)變化的。

且訪問需求大的時(shí)候會(huì)因?yàn)榈刂烦毓?yīng)不夠而導(dǎo)致有的用戶無法正常獲取公網(wǎng)地址訪問外網(wǎng)。

操作案例

ENSP中配置動(dòng)態(tài)NAT的時(shí)候有BUG，

私網(wǎng)客戶端訪問會(huì)直接消耗完所有的外網(wǎng)地址（哪怕地址池很多公網(wǎng)地址，一臺私網(wǎng)設(shè)備也會(huì)獨(dú)自使用完）

AR1：
# 創(chuàng)建地址池0
[AR1]nat address-group 0 202.1.2.5 202.1.2.7

# 創(chuàng)建匹配列表，當(dāng)識別為內(nèi)網(wǎng)1主機(jī)時(shí)才進(jìn)行NAT地址轉(zhuǎn)換
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

# 配置動(dòng)態(tài)NAT，設(shè)置匹配列表，設(shè)置地址池0，no-pat表示不進(jìn)行端口轉(zhuǎn)換（否則就是NAPT模式了）
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 0 no-pat 

NAT Server

簡介

實(shí)現(xiàn)內(nèi)網(wǎng)服務(wù)器被外網(wǎng)用戶所訪問，將私網(wǎng)地址與外網(wǎng)地址進(jìn)行一個(gè)端口映射的操作。

如：將內(nèi)網(wǎng)192.168.2.10:80與外網(wǎng)地址202.1.2.2:80進(jìn)行一個(gè)映射，當(dāng)外網(wǎng)其它主機(jī)訪問202.1.2.2:80的時(shí)候就會(huì)訪問到內(nèi)網(wǎng)的192.168.2.10:80服務(wù)器

操作案例

AR1：
interface GigabitEthernet0/0/0
 ip address 202.1.2.1 255.255.255.0 
 nat static global 202.1.2.5 inside 192.168.1.10 netmask 255.255.255.255
 nat static enable

AR2：
interface GigabitEthernet0/0/0
 ip address 202.1.2.2 255.255.255.0 
 # 將192.168.2.10:80與當(dāng)前接口的8888端口映射
 nat server protocol tcp global current-interface 8888 inside 192.168.2.10 www

NAPT

簡介

與動(dòng)態(tài)NAT相似，不同的是一個(gè)私網(wǎng)地址訪問外網(wǎng)時(shí)轉(zhuǎn)換成公網(wǎng)地址的隨機(jī)端口進(jìn)行訪問。

如：192.168.1.1訪問外網(wǎng)時(shí)使用地址池中 202.1.2.5:12345 與外網(wǎng)的其它地址進(jìn)行互訪。

操作案例

AR1：
# 創(chuàng)建地址池0
[AR1]nat address-group 0 202.1.2.5 202.1.2.7

# 創(chuàng)建匹配列表，當(dāng)識別為內(nèi)網(wǎng)1主機(jī)時(shí)才進(jìn)行NAT地址轉(zhuǎn)換
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.0 0.0.0.255

# 配置NAPT，設(shè)置匹配列表，設(shè)置地址池0，不添加no-pat則為NAPT模式
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 address-group 0

Easy-ip

簡介

將私網(wǎng)地址轉(zhuǎn)換成公網(wǎng)接口的隨機(jī)端口，是小型網(wǎng)絡(luò)常用的一種實(shí)現(xiàn)內(nèi)網(wǎng)訪問外網(wǎng)的方式。

操作案例

文章來源地址http://www.zghlxwxcb.cn/news/detail-816828.html

AR1：
[AR1]acl 2000
[AR1-acl-basic-2000]rule permit source 192.168.1.10 0 
[AR1-acl-basic-2000]q
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]nat outbound 2000 

AR2：
interface GigabitEthernet0/0/0
 ip address 202.1.2.2 255.255.255.0 
 nat server protocol tcp global current-interface 8888 inside 192.168.2.10 www
#

到了這里，關(guān)于路由 NAT（簡介、靜態(tài)NAT、動(dòng)態(tài)NAT、NATServer、NAPT、Easy-ip、NAT地址映射表）的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！