📌  相关文章
📜  网络地址转换 (NAT) 的类型

📅  最后修改于: 2022-05-13 01:57:02.162000             🧑  作者: Mango

网络地址转换 (NAT) 的类型

先决条件 - 网络地址转换 (NAT)
网络地址转换 (NAT) 是一个过程,其中一个或多个本地 IP 地址被转换为一个或多个全局 IP 地址,反之亦然,以便为本地主机提供 Internet 访问。 NAT 通常在路由器或防火墙上运行。

网络地址转换 (NAT) 工作 –
通常,边界路由器被配置为NAT,即在本地(内部)网络中具有一个接口,在全球(外部)网络中具有一个接口的路由器。当数据包在本地(内部)网络之外遍历时,NAT 会将本地(私有)IP 地址转换为全局(公共)IP 地址。当数据包进入本地网络时,全局(公共)IP 地址被转换为本地(私有)IP 地址。

如果 NAT 用完地址,即配置的池中没有地址,则数据包将被丢弃,并向目标发送一个 Internet 控制消息协议 (ICMP) 主机不可达数据包。

NAT 类型 –
NAT 有 3 种类型:

1. 静态 NAT –
在这种情况下,单个私有 IP 地址映射到单个公共 IP 地址,即将私有 IP 地址转换为公共 IP 地址。它用于网络托管。

配置 -

这是一个小型拓扑,其中 PC 的 IP 地址为 192.168.1.1/24,路由器 R1 在接口 fa0/0 上的 IP 地址为 192.168.1.2/24,在 fa0/1 上的 IP 地址为 12.1.1.1/24,服务器的 IP 地址为73.1.1.2/24。

现在,图中显示了内部局部和内部全局。通过源静态 INSIDE_LOCAL_IP_ADDRESS INSIDE_GLOBAL_IP_ADDRESS 中的命令 IP nat 配置静态 NAT。 

R1(config)# ip nat inside source static 192.168.1.1 12.1.1.1

现在,我们已将路由器的内部接口配置为 IP NAT 内部接口,将外部接口配置为 IP NAT 外部。 

R1(config)# int fa0/0
R1(config-if)# ip nat inside 
R1(config)# int fa0/1
R1(config-if)# ip nat outside

2. 动态 NAT –
在这种类型的 NAT 中,多个私有 IP 地址映射到一个公共 IP 地址池。当我们知道在给定时间点想要访问 Internet 的固定用户数量时使用它。

配置 -

有一台 IP 地址为 192.168.1.1/24 的 PC,路由器 R1 在接口 fa0/0 上的 IP 地址为 192.168.1.2/24,在 fa0/1 上的 IP 地址为 12.1.1.1/24,以及一个 IP 地址为 73.1.1.2/24 的服务器.
现在,首先配置访问列表: 

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255

配置将从中选择公共 IP 的 nat 池。 

R1(config)# ip nat pool pool1 12.1.1.1 12.1.1.3 netmask 255.255.255.0

现在,启用动态 NAT: 

R1(config)# ip nat inside source list 1 pool pool1

最后,我们必须将路由器接口配置为内部或外部。 

R1(config)# int fa0/0
R1(config-if)# ip nat inside
R1(config)# int fa0/1
R1(config-if)# ip nat outside

3. 端口地址转换 (PAT) –
这也称为 NAT 过载。在这种情况下,许多本地(私有)IP 地址可以转换为单个公共 IP 地址。端口号用于区分流量,即哪些流量属于哪个IP地址。这是最常用的,因为它具有成本效益,因为只需使用一个真实的全球(公共)IP 地址即可将数千名用户连接到 Internet。

配置 -

采用相同的拓扑结构,PC1 的 IP 地址为 192.168.1.1/24,路由器 R1 的接口 fa0/0 的 IP 地址为 192.168.1.2/24,fa0/1 的 IP 地址为 12.1.1.1/24,服务器的 IP 地址为 73.1 .1.2/24。
现在,首先配置访问列表: 

R1(config)# access-list 1 permit 192.168.1.0 0.0.0.255

配置将从中选择公共 IP 的 nat 池。 

R1(config)# ip nat pool pool1 12.1.1.1 12.1.1.1 netmask 255.255.255.0

此处请注意,nat 池仅收缩为一个 IP 地址,并且使用的 IP 地址是路由器的外部接口 IP 地址。如果您有额外的 IP,那么您也可以使用它。
现在,启用动态 NAT 过载 (PAT): 

R1(config)# ip nat inside source list 1 pool pool1 overload

或者我们也可以使用

R1(config)# ip nat inside source list 1 interface fastEthernet 0/1 overload

最后,我们必须将路由器接口配置为内部或外部。 

R1(config)# int fa0/0
R1(config-if)# ip nat inside
R1(config)# int fa0/1
R1(config-if)# ip nat outside

NAT 如何保护您:-

- 它向外界隐藏网络上任何设备的 IP 地址,为它们提供一个地址。

- 它要求设备要求每个传入的信息包。如果恶意数据包不在预期通信列表中,它将被拒绝。

- 一些防火墙可以使用白名单来阻止未经授权的传出流量,因此如果您确实感染了恶意软件,您的防火墙可能会阻止它与您的设备通信。