赞
踩
NAT(Network Address Translation,网络地址转换)
NAT将企业私网IP地址转换成全球唯一公网IP地址,使内部网络可以连接到Internet等外部网络上,不仅解决了公网IP地址的不足,而且还能够隐藏内部网络的细节,避免来自外部网络的攻击,起到一定的安全作用。
内部本地(Inside local)地址:分配给内部网络中主机的地址,通常是私有地址。
内部全局(Inside global)地址:对外代表一个或多个内部本地地址,通常是公有地址。
外部全局(Outside global)地址:外部网络中的主机的真实地址。
外部本地(Outside local)地址:在内部网络中看到的外部主机的地址。
当内部网络有多台主机访问Internet上的多个目的主机时,NAT设备必须记住内部网络中的哪一台主机访问Internet上的哪一台主机,以防止在NAT时将不同的连接混淆,所以NAT设备会为NAT的众多连接建立一个表,即NAT表 。
路由器,防火墙,各种软件(proxy,ISA,ICS,sysgate等),操作系统(winserver,centos等)均支持NET,大部分三层交换机不具备NET功能。
SNAT:是改变内部网发出数据分组的源地址,对返回的数据分组则应改变其目的地址,以实现内网主机对Internet的访问。
DNAT:是改变从外网来的数据分组的目的地址,对于返回的数据分组则改变其源地址,以实现对内网主机的访问。
SNAT工作过程
Port NAT转换又称端口复用动态地址转换或NAT重载,是改变外出数据包的源IP地址和源端口并进行端口转换 。
通过NAT实现方式可以看出,动态NAT只能实现由内部网络终端发起和Internet中某个终端建立的单向会话,如果发起建立会话的终端来自于Internet,NAT设备无法获得内部网络中终端的合法公网IP地址,因而无法向内部网络中的终端发送IP分组。因此要实现双向会话,应使用静态NAT方式。
提供了节省注册IP地址的解决方案。
隐藏了内部网络的地址,提高了内部网络的安全性。
解决了地址重复使用的问题。
增加了网络延时 。
与某些应用不兼容。
失去对端到端的全面支持。
虽然NAT技术得到了广泛应用,但它是一把双刃剑,在带来节省IP地址空间等好处的同时,破坏了Internet最基本的“端到端的透明性”设计理念,增加了网络的复杂性,也阻碍了某些业务的应用。长远看来,NAT仍是一种权宜之计,向IPv6迈进才是根本的解决之道,也是大势所趋。
配置要求:
1、设置好各路由器和主机的IP地址,并将三个路由器都启用RIP协议,
除192.168.0.0网段外,其他网络都加入RIP。
2、设置R0内网192.168.0.0网段的PORT NAT,并做静态地址端口转换,将服务器的80端口映射到路由器外部接口的80端口。
3、设置R0内网192.168.0.0网段的PORT NAT,
最后检测内网能否连通外网PC,外网是否只能访问内网服务器。
1 略
R0
R0(config)#interface gigabitEthernet 0/0/0
R0(config-if)#ip nat inside
R0(config-if)#exit
R0(config)#interface gigabitEthernet 0/0/1
R0(config-if)#ip nat outside
R0(config-if)#exit
R0(config)#access-list 1 permit 192.168.0.0 0.0.0.255
R0(config)#ip nat inside source list 1 interface gigabitEthernet 0/0/1
R0(config)#exit
R0(config)#ip nat inside source static tcp 192.168.0.8 80 172.0.0.1 80
R0(config)#ip nat pool abc 172.0.0.1 172.0.0.1 netmask 255.255.0.0
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。