NAT

NAT(网络地址转换)

①A类地址。A类地址第一字节为网络地址,其他三个字节为主机地址。A类地址范围为1.0.0.1~127.255.255.254.

A类地址中的私有地址和保留地址:

10.X.X.X是私有地址,(所谓私有地址即不能应用在互联网上,而被用在局域网络中的地址。)范围:10.0.0.0~10.255.255.255

127.X.X.X是保留地址,做循环测试使用。

②B类地址。B类地址第一字节和第二字节为网络地址,其他2个字节为主机地址。B类地址范围:128.0.0.1~191.255.255.254

B类的地址私有地址和保留地址:

*172.16.0.0~172.31.255.255是私有地址。*

169.254.X.X是保留地址。如果你的IP地址是自动获取IP地址,而你在网络上有没有找到可用的DHCP服务器,就会得到其中一个IP地址。

③C类地址。C类地址第1、2、3字节为网络地址,第4个字节为主机地址。另外,C类地址第一个字节前三位固定位110,C类地址的范围:192.00.1~223.255.255.254.

C类地址中的私有地址:

192.168.X.X是私有地址,其范围:192.168.0.0~192.168.255.255.

 

前言:企业或家庭所使用的网络为私有网络,使用的是私有地址;运营商维护的网络为公共网络,使用的是公有地址,私有地址不能在公网中路由

NAT一般部署在连接内网和网关的设备上

 

 

静态NAT

静态NAT实现了私有地址和公有地址的一对一映射

一个公网IP只会分配给唯一且固定的内网主机

 

动态NAT

动态NAT基于地址池来实现私有地址和公有地址的转换

动态NAT地址池中的地址用尽后,只能等待被占用的公网地址被释放后,其他主机才能使用他来访问公网

 

NAPT

网络地址端口转换NAPT允许多个内部地址映射到同一个公有地址的不同端口

加入端口号的作用就是可以让一个公网IP,可以被多个内网IP使用

这里的端口号只是用来区分流量

 

 

在全局配置模式下:nat static global 需要被绑定的【公网IP】 需要被转换的【内网IP】

然后跟ACL一样将他应用到对应的接口:nat static enable,如果在上面加上no pat的话就是不使用端口映射,动态的使用公网地址

 

如果你是在接口模式下:

nat static global 需要被绑定的【公网IP】 inside 需要被转换的【内网IP】 netmask 被转换的IP的掩码

 

静态映射:nat server global 100.1.1.1 inside 192.168.2.1

动态NAT: nat outbound 2000 address-group 1

 

easy ip就是利用转换路由器本身接口的IP来进行通信

 

 

如果你买了一个公网IP,那么运营商就要负责给你写一条动态路由

 

 

实验

配置IP测直连

easy IP

第一步:写基本ACL —— acl 2000

然后写策略:rule 5 permit source 192.168.1.0 0.0.0.255然后将这个应用到出口

进入对应的接口:nat outbound 2000

以上这种方法就叫easy IP

其意义是将,出接口的公网IP当作转换接口,配置ACL来使用

 

 

 

创建地址池(动态NAT)

在系统模式下输入: nat addresss--group 【给一个名字,“1”】 【起始IP范围】 【结束IP范围】后面这两个选项是你的地址池的范围

然后是进入对应的接口:nat outbound 2000 addresss--group 1

 

 

 

静态NAT

运营商需要写一条通向你买的那个公网IP的路由,这里是100.1.1.1 /32 所以在ISP 那边就是IP route--- static 100.1.1.1/32 12.1.1.1

但是做了这个还不够,还需要进行绑定,于是在出接口这边:nat server global 100.1.1.1 inside 192.168.2.1

但是这样的话安全性大大降低,所以我们要做一个端口映射

 

 

端口映射

在对应的接口:nat server protocol tcp global 100.1.1.1 80 inside 192.168.2.1 80

还可以:nat server protocol tcp global 100.1.1.1 22 inside 192.168.1.1 22

 

总结:

easy ip 使用出口的公网IP,然后进入对应的接口,直接:nat out acl编号

 

地址池的方式:多个公网IP,nat addres group 1 连续的 ip

然后nat out addres group

 

静态一对一映射

 

如果你的公网IP是非直连网段,运营商就需要给你写一条静态

 

 

 

 

 

 

命令:

静态:

nat static enable —— 开启NAT静态功能

nat static global 公网地址 inside 私网地址 —— 创建静态NAT

display nat static —— 查看静态NAT的配置

 

NAPT的配置:

nat address--group 编号 公网地址范围 ———— 配置NAT地址池

nat outbound acl 编号 address--group 【地址池的编号】 【no--pat】 ————关联一个acl和一个NAT地址池。ACL用来匹配能够转换的源地址

no--pat ———— 只转换地址而不转换端口

display nat address--group ———— 查看NAT地址配置信息

display nat outbound ———— 查看动态NAT配置信息

 

outbound————出口

 

动态NAT和NAPT就是一个【no--pat】的区别

上一篇:全网最详细的Intel CPU体系结构分析(内核源码)


下一篇:vasp编译问题遇到难题三:root与普通用户的权限