NAT即網絡地址轉換(Network Address Translation),是把Intranet的內部專用地址轉換成Internet全局(合法)地址的一種技術。
NAT基本作用:
節約全局地址的使用。多個內部地址可共享一個全局地址訪問互聯網。
增強安全性。由於採用NAT的內部主機不直接使用全局地址,故在Internet上不直接可見,可以在一定程度上減少被***的風險,增強網絡的安全性。
NAT分類
靜態NAT在專用IP地址與全局IP地址之間進行一對一的轉換
動態NAT,地址池轉換是一對一的轉換;端口地址轉換是一對多的轉換
靜態NAT
(1)指定轉換的局部地址與全局地址,還可以在傳輸層端口間進行轉換
①內部源地址轉換
Router(config) # ip nat inside source static [ tcp | udp ] 內部局部地址 [傳輸層端口] 內部全局地址
[傳輸層端口] //用於內部網絡使用地址轉換供外部網絡訪問,如發佈Web服務等。
②外部源地址轉換
Router(config) # ip nat outside source static [ tcp | udp ] 外部局部地址 [傳輸層端口] 外部全局地址 [傳輸層端 口]
這種格式用於外部網絡的地址和內部網絡的地址有重疊時,例如,網管給自己的網絡設備或計算機所分配或計算機所分配的IP地址,已經在Internet或外部網絡上被分配給別的設備或計算機使用;又如,兩個使用相同內部專用地址的公司合併後,兩個網絡即成爲重疊網絡。
(2)指定NAT內部網絡接口
Router (config) # int f0/0
Router (config-if) # ip add ip-address netmask
Router (config-if) # ip nat inside
(3)指定NAT外部網絡接口
Router (config) # int s1/0
Router (config-if) # ip add ip-address netmask
//與要轉換的內部全局地址可以是同一個,也可以不是;可以是在同一個網段,也可以不是
Router (config-if) # ip nat outside
動態NAT
(1)Pool NAT配置
ip nat pool 地址池名稱 起始全局IP地址 結束全局地址 netmask 子網掩碼
//定義全局地址(申請到的合法IP地址的範圍,若只有一個地址,則既爲起
//始地址又爲結束地址),地址池名稱可任取
access-list 列表號 permit 源IP地址 通配符掩碼
//配置訪問控制列表,指定哪些局部地址被允許進行轉換
(2)Port NAT 配置
ip nat pool 地址池名稱 起始全局IP地址 結束全局地址 netmask 子網掩碼
//定義全局地址(申請到的合法IP地址),地址池名稱可任取
access-list 列表號 permit 源IP地址 通配符掩碼
//配置訪問控制列表,指定哪些局部地址被允許進行轉換
ip nat inside source list 列表號 pool 地址池名稱 overload
//注意此處Pool NAT 配置多了一個overload ,在局部地址與全局地址之間
//建立端口 —— 地址轉換
(3)用於配置轉換重疊網絡地址和TCP負載均衡時的命令格式。
①配置轉換重疊網絡地址的命令格式。靜態轉換命令格式即外部全局地址轉換格式:
Router(config) # ip nat outside source static [ tcp | udp ] 外部局部地址 [傳輸層端口] 外部全局地址 [傳輸層端口]
動態轉換格式如下:
ip nat outside source list 列表號 pool 地址池名稱
②配置TCP負載均衡的命令格式
ip nat inside destination list 列表號 pool 地址池名稱
在定義地址池是使用的命令格式如下:
ip nat pool 地址池名稱 起始全局IP地址 結束全局地址 netmask 子網掩碼 type rotary