IP地址,通过32bit表示,IP地址的数据量为:4294967296,即IP地址空间有限。
但是,随着互联网的发展,接入网络的设备越来越多,从而导致IP地址空间快速耗尽。
为了解决“IP地址空间不足”的问题,我们提出了几种解决方案:
1.公有地址和私有地址
2.子网划分
3.开发新的IPv6协议
IP地址:
-私有地址,使用的时候,不花钱;任何网络都可以使用;
-公有地址,使用的时候,向 运营商购买;
想实现互联网访问,必须得拥有“公网地址”。
上述 IP 地址分类方法,可以在很大程度上缓解IP地址空间不足的问题,
但是,带来了新的问题:
-公司内网/家庭网络,无法访问外部的互联网。
原因:
公司内网的数据可以发送到互联网,但是在互联网上没有
返回给私有网络的路由条目。
所以:
为了能够让互联网将公司发送的数据顺利的返回给企业边界设备,
我们需要确保“数据包从内网发送到外网”的时候,就将数据包的
源IP地址,转换为“公网IP地址”。
能够实现“私有地址和公有地址”转换的技术,称之为:NAT
NAT: network address translation ,网络地址转换。
-通常是配置在公网和私有网络的边界设备上,
具体是配置在连接公网的接口上;
-NAT的工作过程,完全是依靠 NAT 表,里面包含的是
私有地址和公有地址的转换条目。
基于转换条目的学习方式,可以将 NAT 分为两种弄类型:
@静态NAT:NAT表中的条目,是手动添加到“NAT转换表”中的;
@动态NAT
静态NAT:
-优点:简单方便,容易理解
-缺点:一个私有地址,就必须占用/对应一个公网地址,不节省公网IP
-命令:
interface gi0/0/x --> 边界设备连接外网的接口
nat static global {公网IP} inside {私网IP}
// 在该接口上发送数据包的时候,将该命令中指定的私有IP地址,转化为公网IP地址;
动态NAT:
-优点:可以让多个私有地址循环使用少量的公网IP地址,都是自动形成对应关系
-缺点:当内部网络主机数量很多的时候,依然无法满足大量主机上网,
如果想要上网,必须购买大量的公网IP地址,即该方案依然不节省公网IP地址
因为动态NAT中,私有地址和公网依然是1对1的关系。即依然不节省公网IP地址
-命令:
基本配置思路:
@配置ACL,匹配感兴趣的流量,来决定哪些包可以进行NAT,哪些不可以;
@配置NAT地址池,里面包含了公司从运营商购买的公网IP地址,专门用于进行NAT
nat address-group {组号} {起始公网地址} {结束公网地址}
interface gi0/0/x --> 边界设备连接外网的接口
nat outbound {acl号码} address-group {组号} no-pat
// 在接口 gi0/0/x 发送数据包时,如果 acl 是允许的,那么就将该数据包的源IP地址
转换为 nat 地址池中的任何一个空闲的公网IP地址接口,然后发送出去。
PAT:port address translation ,端口地址转换
即在进行私有地址和公有地址转换的时候,不但将地址进行转换,同时还将
端口号也进行转换,从而就可以实现:
-多个内网主机的私有IP地址,转换为同一个公网IP地址的不同端口号;
即节省了大量的公网IP地址。
即私有地址和公有地址是 多:1 的关系;
例如,通过 PAT 技术形成的 NAT 转换表条目,如下:
10.1.1.11:9 --- 200.1.1.1:9
10.1.1.12:10 -- 200.1.1.1:10
10.1.1.13:3 -- 200.1.1.1:3
@动态PAT
-PNAT
@该方案是企业网络中的最常见的方案
@配置思路:
-创建ACL
-创建NAT地址池
-在连接外网的口上配置NAT
@命令:
interface gi0/0/x
nat outbound {acl号码 } address-group {组号}
-EasyIP
@该方案是小型企业网络中常用方案
-公司内部主机数量很少;
-公司的公网IP地址是从运营商动态获得的,不是静态公网IP地址
@配置思路:
-创建ACL
-在连接外网的口上配置NAT
@命令:
interface gi0/0/x
nat outbound {acl号码 }
//将该接口上发送出去的基于ACL进行检查,如果ACL允许,则将数据包
中的源IP地址转化为“该接口的公网IP地址”
@静态PAT(nat server)| [端口映射]
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
1.为什么做NAT?
为了解决公司数据发送到外网,但是无法返回的问题。
[为了实现公司内网与外网之间的互相访问,必须配置 NAT ]
2.在哪里做NAT?
在公司的网络边界设备上,有可能是路由器,也有可能是防火墙。
[具体来说,应该是:连接外网的接口]
3.怎么做?
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
NAT工作原理:
为了实现公司内网到外网的访问,在边界设备上配置 NAT:
当数据包“从内网”转发到“外网”的时候,
将其中的“源”地址,由私有地址,转换为“公有地址”。
即,在理解 NAT 的工作原理时,我们需要明白以下3个问题:
1.什么时候转? --- 内网向外网发送数据包时;
2.转谁? --- 仅仅转换“源IP地址”
3.怎么转? --- 由私有地址,转换为“公有地址”。