公有地址和私有地址

公有地址:连接互联网用的
私有地址:内部局域网用的
私有地址范围:
10.0.0.0 -10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
私有地址在互联网上无法被路由
私有地址的设备想要访问互联网,需要经过nat设备进行地址转换

NAT应用场景

NAT是将IP数据包包头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能
NAT一般部署在连接内网和外网的网关设备上
image.png
当收到的报文源地址为私网地址、目的地址为公网地址时,NAT可以将源私网地址转换成一个公网地址。这样公网目的地就能够收到报文,并做出响应。此外,网关上还会创建一个NAT映射表,以便判断从公网收到的报文应该发往的私网目的地址。

NAT分类

静态NAT

  1.  公网和私网一对一映射<br />     一个公网IP只分给一个固定私网IP<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/26061737/1656129939390-2d3e6c82-781e-4ed4-82d3-2a37abf5c59d.png#clientId=uca1b97c9-bd88-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=240&id=ua7c219ad&margin=%5Bobject%20Object%5D&name=image.png&originHeight=430&originWidth=967&originalType=binary&ratio=1&rotation=0&showTitle=false&size=115846&status=done&style=none&taskId=u58519e25-feb5-4e7b-a2c6-3a9a0fb7dbe&title=&width=539.6666870117188)<br />静态NAT/动态NAT/NAPT注意:网关公网口使用的ip不能用来进行映射

静态NAT配置命令

[RTA]interface GigabitEthernet0/0/1 ——进入接口
[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24 ——配置接口IP地址
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0 ——进入连接外网接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24 ——配置连接外网接口地址
[RTA-Serial1/0/0]nat static global 200.10.10.2 inside 192.168.1.1 ——绑定公网和私网IP映射
                            global参数后面跟外部公网地址。
                            inside参数后面跟内部私有地址。                       
验证静态NAT
[RTA]display nat static

动态NAT

 动态NAT基于地址池实现公网和私网地址的转换<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/26061737/1656137716475-a7904c8e-25e2-4d47-8b65-04c1b831c347.png#clientId=uca1b97c9-bd88-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=219&id=ue6470f73&margin=%5Bobject%20Object%5D&name=image.png&originHeight=393&originWidth=960&originalType=binary&ratio=1&rotation=0&showTitle=false&size=108446&status=done&style=none&taskId=uc5944460-9c34-4af0-b048-d0079a730ef&title=&width=536)

动态NAT配置命令

配置ACL用于判断哪些数据包的地址应被转换
被ACL允许(permit)的报文将被进行NAT转换,被拒绝(deny)的报文将不会被转换

[RTA]nat address-group 1 200.10.10.1 200.10.10.200  ——创建地址池
[RTA]acl 2000 ——创建acl
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 ——指定被转换的IP
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0 ——进入连接外网接口
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 no-pat ——应用动态nat
    no-pat表示只转换数据报文的地址而不转换端口信息
验证动态NAT
[RTA]display nat address-group 1

NAPT

 网络地址端口转换<br />     NAPT允许多个内部地址映射到同一个公有地址的不同端口<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/26061737/1656137886086-4594899b-6ce2-440e-9cac-358d6fc3acaf.png#clientId=uca1b97c9-bd88-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=216&id=u8f386490&margin=%5Bobject%20Object%5D&name=image.png&originHeight=397&originWidth=1005&originalType=binary&ratio=1&rotation=0&showTitle=false&size=109432&status=done&style=none&taskId=u14b4d30c-17bd-4031-be66-e69e55de66f&title=&width=547)

NAPT配置命令

[RTA]nat address-group 1 200.10.10.1 200.10.10.1 ——创建地址池
[RTA]acl 2000 ——创建acl
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 ——指定被转换的IP
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0——进入连接外网接口
[RTA-Serial1/0/0]nat outbound 2000 address-group 1 ——应用动态nat

easy ip

  easy ip允许将多个私网地址映射到网关出接口地址的不同端口<br />      NAT设备直接使用出接口的IP地址作为转换后的源地址<br />      不用预先配置地址池<br />      工作原理与普通NAPT相同,是NAPT的一种特例<br />      适用于拨号接入Internet或动态获得IP地址的场合<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/26061737/1656138084040-8678130d-3076-4885-a687-5eefbb946056.png#clientId=uca1b97c9-bd88-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=212&id=u3fd72c00&margin=%5Bobject%20Object%5D&name=image.png&originHeight=387&originWidth=1003&originalType=binary&ratio=1&rotation=0&showTitle=false&size=102086&status=done&style=none&taskId=u5c98a10b-05bd-4f5b-a19c-8bb922e25ae&title=&width=548.6666870117188)

easy IP配置命令

[RTA]acl 2000 ——创建acl
[RTA-acl-basic-2000]rule 5 permit source 192.168.1.0 0.0.0.255 ——指定被转换的IP
[RTA-acl-basic-2000]quit
[RTA]interface serial1/0/0——进入连接外网接口
[RTA-Serial1/0/0]nat outbound 2000 ——应用动态nat
验证esay IP
[RTA]display nat outbound

NAT服务器

 配置NAT服务器可以使外网用户访问内网服务器<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/26061737/1656138268755-b26caa2f-6c4e-4ac3-8c6b-ad1369afef76.png#clientId=uca1b97c9-bd88-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=234&id=ue8bdd4a3&margin=%5Bobject%20Object%5D&name=image.png&originHeight=367&originWidth=874&originalType=binary&ratio=1&rotation=0&showTitle=false&size=75205&status=done&style=none&taskId=u58c1dd23-c0a2-488c-8e81-dcc72c5573b&title=&width=556.6666870117188)

NAT server配置

[RTA]interface GigabitEthernet0/0/1 ——进入接口
[RTA-GigabitEthernet0/0/1]ip address 192.168.1.254 24 ——配置接口IP地址
[RTA-GigabitEthernet0/0/1]interface Serial1/0/0 ——进入连接外网接口
[RTA-Serial1/0/0]ip address 200.10.10.2 24 ——配置连接外网接口地址
[RTA-Serial1/0/0]nat server protocol tcp global 202.10.10.1 www inside 192.168.1.1 8080
    ——将内部192.168.1.1的web服务器的8080端口映射为202.10.10.1公网地址的80端口
    ——www就是80端口
验证NAT server
[RTA]display nat server