NAT类型
图表
| 类型 | 备注 |
|---|---|
| 静态NAT | 静态NAT实现私有地址和公有地址一对一映射 一个公网地址只会分配给唯一且固定的内网主机 |
| 动态NAT | 动态NAT基于地址池实现私有地址和公有地址的转换 |
| Easy IP | 允许多个私网地址映射到网关出口地址的不同端口 |
| NAPT | 允许多个私网地址映射到一个公网地址的不同端口 |
没有NAT时抓包
没有NAT内网不可连接外网
但是出口路由器可以连接外网
图示
SNAT(Source Network Address Translation)不同类型以及配置
静态NAT
应用场景
- 一台内网主机优先使用某个公网地址
- 或者想要外部网络使用一个指定的公网地址访问内部服务器
- 一对一的NAT地址映射,无法解决公网地址短缺的问题
图示
拓扑
命令
图表
命令 备注 nat static enable 开启NAT静态功能 nat static global 公网地址 inside 私网地址 创建静态NAT dis nat static 查看静态NAT的配置
实验使用的命令
1
2
3
4
5
6
7
8
9[R1-GigabitEthernet0/0/1]in g0/0/0
[R1-GigabitEthernet0/0/0]nat stat
[R1-GigabitEthernet0/0/0]nat static en
[R1-GigabitEthernet0/0/0]nat static enable
[R1-GigabitEthernet0/0/0]nat stat
[R1-GigabitEthernet0/0/0]nat static gl
[R1-GigabitEthernet0/0/0]nat static global 12.0.0.10 ins
[R1-GigabitEthernet0/0/0]nat static global 12.0.0.10 inside 192.168.0.254
[R1-GigabitEthernet0/0/0]nat static global 12.0.0.20 inside 192.168.0.253
验证
PC1地址为192.168.0.254,NAT地址为12.0.0.10,抓包结果:
PC2地址为192.168.0.253,NAT地址为12.0.0.20,抓包结果:
配置图示
动态NAT
简介
释义
- 动态NAT基于地址池来实现私有地址和公有地址的转换
- 动态NAT地址池用尽之后,只能等待被占用的公有地址释放之后,其他主机才可以转换
图示
拓扑
命令
图表
命令 备注 nat address-group 编号 公网地址范围 配置动态NAT地址池 nat outbound acl 编号 address-group 编号
address-group 编号 [no-pat]关联一个ACL和一个NAT地址池
ACL用来匹配能够转换的源地址no-pat 只转换地址不转换端口 dis nat address-group 查看NAT地址池配置信息 dis nat outbound 查看动态NAT配置信息
实验所用命令
1
2
3
4
5
6
7
8<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]nat address-group 0 12.0.0.50 12.0.0.53
[R1]acl 2000
[R1-acl-basic-2000]description Dynami NAT Address Pool
[R1-acl-basic-2000]rule 0 permit source 192.168.0.0 0.0.0.255
[R1-acl-basic-DynamicNATAddressPool]int g0/0/0
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 0 no-pat
验证
PC1地址为192.168.1.254,NAT地址范围是12.0.0.50~12.0.0.53,结果是:
PC1抓包
NAPT(网络地址端口转换)
简介
简介
- NAPT(Network Address Port Translation)也称NAT-PT或PAT,网络地址端口转换
- 允许多个私网地址映射到一个公网地址的不同端口
- 通常适用于大型企业网络
图示
拓扑
命令
图表
命令 备注 nat address-group 编号 公网地址范围 配置NAT地址池 nat outbount acl 编号 address-group 编号 关联一个ACL和一个NAT地址池
ACL用来匹配能够转换的源地址
默认情况下是使用pat的(NAPT)
实验中的命令
1
2# 基于动态NAT基础
[R1-GigabitEthernet0/0/0]nat outbound 2000 address-group 0
验证
验证命令
1
dis nat session all
图示
Easy IP
简介
简介
- 允许将多个内网地址映射到出口地址的不同端口
- 适用于小型网络
- 出接口使用拨号上网的方式获取一个临时公网IP地址
图示
拓扑
命令
图表
命令 备注 nat outbount acl 编号 关联出站接口和ACL
实验中命令
1
[R1-GigabitEthernet0/0/0]nat outbound 2000
验证
NAT服务器(DNAT)
简介
简介
- NAT具有“屏蔽”内部主机的作用,有时候内网需要提供服务
- 当外网访问内网服务器时,NAT Server通过事先配置的(公网IP地址+端口号)与(私网IP地址+端口号)的映射关系提供服务
- 通过配置NAT服务器,可以使外网用户访问内网服务器
图示
静态NAT服务器配置
简介
拓扑
命令
图表
命令 备注 nat server protocol tcp/udp
global 公网地址/端口 inside 私网地址 端口配置NAT服务器 nat server protocol tcp/udp
global current-interface/端口 inside 私网地址 端口配置NAT服务器
外网地址是出接口的IP地址1dis nat server 验证NAT服务器
实验中命令
1
2
3
4
5<R1>sys
Enter system view, return user view with Ctrl+Z.
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]nat server protocol tcp global 12.0.0.200 80 inside 192
.168.0.100 80
验证
外网的抓包
内网的抓包
