IP地址,通過32bit表示,IP地址的數據量爲:4294967296,即IP地址空間有限。
但是,隨着互聯網的發展,接入網絡的設備越來越多,從而導致IP地址空間快速耗盡。
爲了解決“IP地址空間不足”的問題,我們提出了幾種解決方案:
1.公有地址和私有地址
2.子網劃分
3.開發新的IPv6協議
IP地址:
-私有地址,使用的時候,不花錢;任何網絡都可以使用;
-公有地址,使用的時候,向 運營商購買;
想實現互聯網訪問,必須得擁有“公網地址”。
上述 IP 地址分類方法,可以在很大程度上緩解IP地址空間不足的問題,
但是,帶來了新的問題:
-公司內網/家庭網絡,無法訪問外部的互聯網。
原因:
公司內網的數據可以發送到互聯網,但是在互聯網上沒有
返回給私有網絡的路由條目。
所以:
爲了能夠讓互聯網將公司發送的數據順利的返回給企業邊界設備,
我們需要確保“數據包從內網發送到外網”的時候,就將數據包的
源IP地址,轉換爲“公網IP地址”。
能夠實現“私有地址和公有地址”轉換的技術,稱之爲:NAT
NAT: network address translation ,網絡地址轉換。
-通常是配置在公網和私有網絡的邊界設備上,
具體是配置在連接公網的接口上;
-NAT的工作過程,完全是依靠 NAT 表,裏面包含的是
私有地址和公有地址的轉換條目。
基於轉換條目的學習方式,可以將 NAT 分爲兩種弄類型:
@靜態NAT:NAT表中的條目,是手動添加到“NAT轉換表”中的;
@動態NAT
靜態NAT:
-優點:簡單方便,容易理解
-缺點:一個私有地址,就必須佔用/對應一個公網地址,不節省公網IP
-命令:
interface gi0/0/x --> 邊界設備連接外網的接口
nat static global {公網IP} inside {私網IP}
// 在該接口上發送數據包的時候,將該命令中指定的私有IP地址,轉化爲公網IP地址;
動態NAT:
-優點:可以讓多個私有地址循環使用少量的公網IP地址,都是自動形成對應關係
-缺點:當內部網絡主機數量很多的時候,依然無法滿足大量主機上網,
如果想要上網,必須購買大量的公網IP地址,即該方案依然不節省公網IP地址
因爲動態NAT中,私有地址和公網依然是1對1的關係。即依然不節省公網IP地址
-命令:
基本配置思路:
@配置ACL,匹配感興趣的流量,來決定哪些包可以進行NAT,哪些不可以;
@配置NAT地址池,裏面包含了公司從運營商購買的公網IP地址,專門用於進行NAT
nat address-group {組號} {起始公網地址} {結束公網地址}
interface gi0/0/x --> 邊界設備連接外網的接口
nat outbound {acl號碼} address-group {組號} no-pat
// 在接口 gi0/0/x 發送數據包時,如果 acl 是允許的,那麼就將該數據包的源IP地址
轉換爲 nat 地址池中的任何一個空閒的公網IP地址接口,然後發送出去。
PAT:port address translation ,端口地址轉換
即在進行私有地址和公有地址轉換的時候,不但將地址進行轉換,同時還將
端口號也進行轉換,從而就可以實現:
-多個內網主機的私有IP地址,轉換爲同一個公網IP地址的不同端口號;
即節省了大量的公網IP地址。
即私有地址和公有地址是 多:1 的關係;
例如,通過 PAT 技術形成的 NAT 轉換表條目,如下:
10.1.1.11:9 --- 200.1.1.1:9
10.1.1.12:10 -- 200.1.1.1:10
10.1.1.13:3 -- 200.1.1.1:3
@動態PAT
-PNAT
@該方案是企業網絡中的最常見的方案
@配置思路:
-創建ACL
-創建NAT地址池
-在連接外網的口上配置NAT
@命令:
interface gi0/0/x
nat outbound {acl號碼 } address-group {組號}
-EasyIP
@該方案是小型企業網絡中常用方案
-公司內部主機數量很少;
-公司的公網IP地址是從運營商動態獲得的,不是靜態公網IP地址
@配置思路:
-創建ACL
-在連接外網的口上配置NAT
@命令:
interface gi0/0/x
nat outbound {acl號碼 }
//將該接口上發送出去的基於ACL進行檢查,如果ACL允許,則將數據包
中的源IP地址轉化爲“該接口的公網IP地址”
@靜態PAT(nat server)| [端口映射]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1.爲什麼做NAT?
爲了解決公司數據發送到外網,但是無法返回的問題。
[爲了實現公司內網與外網之間的互相訪問,必須配置 NAT ]
2.在哪裏做NAT?
在公司的網絡邊界設備上,有可能是路由器,也有可能是防火牆。
[具體來說,應該是:連接外網的接口]
3.怎麼做?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
NAT工作原理:
爲了實現公司內網到外網的訪問,在邊界設備上配置 NAT:
當數據包“從內網”轉發到“外網”的時候,
將其中的“源”地址,由私有地址,轉換爲“公有地址”。
即,在理解 NAT 的工作原理時,我們需要明白以下3個問題:
1.什麼時候轉? --- 內網向外網發送數據包時;
2.轉誰? --- 僅僅轉換“源IP地址”
3.怎麼轉? --- 由私有地址,轉換爲“公有地址”。