CCNA-第十三篇-NAT-上

NAT- netword address translation 網(wǎng)絡(luò)地址轉(zhuǎn)換

NAT不僅僅是用于共享地址上網(wǎng),NAT是一個(gè)很大的東西

核心思想是轉(zhuǎn)換地址,以及端口號(hào)
NAT也分靜態(tài)和動(dòng)態(tài)

TAG:NAT很多時(shí)候也叫做端口映射,只是一個(gè)叫法而已
不只是設(shè)備,電腦本身也有端口號(hào)的哦!

電腦查看本機(jī)開(kāi)啟端口號(hào)
cmd下 netstat -an

NAT會(huì)非常消耗設(shè)備的內(nèi)存
所以如果NAT條目很多的話,設(shè)備會(huì)扛不住,這個(gè)叫并發(fā)數(shù).

分類,先講從外面進(jìn)來(lái)的.DNAT

NAT分靜態(tài)NAT與動(dòng)態(tài)NAT,當(dāng)然包括出去的和進(jìn)來(lái)的
出去的:SNAT
進(jìn)來(lái)的:DNAT

先講講進(jìn)來(lái)的DNAT
上操作:

1.1是PC
1.2是網(wǎng)關(guān)
2.2是ISP

關(guān)閉路由功能
接口配置IP
開(kāi)啟接口
指向路由為192.168.1.2(相當(dāng)于默認(rèn)路由的功能),但是模擬PC,只有關(guān)閉了路由功能才能手動(dòng)指向網(wǎng)關(guān),否則這條命令是打不出來(lái)的.
2.
配置過(guò)于簡(jiǎn)單就不寫(xiě)了,只是搭建環(huán)境而已
3.

TAG:接口中的Full-duplex的意思是全雙工的意思,因?yàn)檫@是模擬器環(huán)境,所以會(huì)有老舊的E口,也就是百兆口,有時(shí)候是半雙工不是全雙工的,會(huì)一直報(bào)錯(cuò).

環(huán)境搭好了,那么需求是,ISP設(shè)備telnet到GW設(shè)備直接接入到PC的終端界面.

其實(shí)嚴(yán)格來(lái)說(shuō)不叫PC,應(yīng)該叫個(gè)交換機(jī)才對(duì),這樣會(huì)好一點(diǎn)點(diǎn),因?yàn)镻C不支持telnet,不過(guò)這里是舉個(gè)例子,知道就行哈!
telent的配置就不做了,不會(huì)的翻前面的

如圖所示,ISP設(shè)備正常telnet到GW設(shè)備上,這個(gè)時(shí)候的GW是沒(méi)有做任何NAT的!

>然后現(xiàn)在做NAT讓ISP可以telnet到GW的時(shí)候直接跳到PC

這里不是C++,我只是做個(gè)顏色讓他好看點(diǎn)

首先要標(biāo)識(shí)一下,就像上面的ACL那樣,要標(biāo)志入口和出口
華為是不用寫(xiě)的
思科要寫(xiě),一定要寫(xiě)!!!

一個(gè)內(nèi)網(wǎng)口,一個(gè)外網(wǎng)口.
配置如下

上面那句話什么意思呢?
內(nèi)網(wǎng)的NAT,來(lái)自TCP的IP的192.168.2.1:23端口跳轉(zhuǎn)到192.168.1.1:23
一定要記住,公網(wǎng)地址,出口地址要寫(xiě)在后面!!!.

然后這個(gè)時(shí)候我們?cè)偃elnet2.1(GW)
他就已經(jīng)跳到下面的PC去了,這個(gè)過(guò)程我們叫做端口映射.static是靜態(tài)的意思.1對(duì)1

然后這個(gè)時(shí)候問(wèn)題來(lái)了,假如說(shuō),我這個(gè)GW也需要訪問(wèn)呢?你這一跳,那我還怎么進(jìn)入這個(gè)GW呢,因?yàn)?3端口已經(jīng)被NAT占用跳到下面的PC去了呀,對(duì)叭

普及:在網(wǎng)絡(luò)世界中,有端口1-65535,然后.1-1024是公有的,是被設(shè)定好的.剩下的可以自己做來(lái)使用.比如telnet,ssh,http,https這些之類的都是設(shè)定好的,也都可以修改

所以這個(gè)時(shí)候,我要把它做成別的端口

也就是說(shuō),我要讓他訪問(wèn)192.168.2.1的10000端口的時(shí)候,給我跳轉(zhuǎn)到下面的1.1的23端口 這樣我原本的23就不受影響了呀.但是前提要no掉前面的不然會(huì)沖突,來(lái)看看效果.

可以看到,從ISP飛過(guò)去,10000端口是往PC走的,正常的23端口還是在正常的GW上

進(jìn)來(lái)的SNAT

首先來(lái)這個(gè)環(huán)境,如果紅色是發(fā)包,藍(lán)色是回包,請(qǐng)問(wèn)這樣能通嗎
答案是不行的,因?yàn)?92段是私網(wǎng)IP,私網(wǎng)IP是不能接入到公網(wǎng)上的
這個(gè)時(shí)候怎么辦呢?來(lái)個(gè)NAT轉(zhuǎn)換地址,讓他發(fā)給我的GW,然后GW再發(fā)我

第二個(gè)原因,哪怕是公網(wǎng),一個(gè)PC如果配置一個(gè)公網(wǎng)地址,那也太豪橫了吧
要知道IPv4的資源早就枯竭了不說(shuō),買一個(gè)IP也不便宜呢,所以這個(gè)NAT就變得很重要了

基于源IP弟子的NAT轉(zhuǎn)換,私網(wǎng)IP轉(zhuǎn)公網(wǎng)IP
還是剛剛那個(gè)環(huán)境剛剛那個(gè)IP

這個(gè)叫靜態(tài)1V1的NAT

一樣要配置接口上的inside和outside,然后這條命令代表的是
本機(jī)上來(lái)自192.168.1…1的數(shù)據(jù)包轉(zhuǎn)換成192.168.2.1出去

下面講講動(dòng)態(tài)的NAT

為什么要用動(dòng)態(tài)呢?因?yàn)槟愕墓纠锩娌豢赡苤挥幸慌_(tái)機(jī)器呀,一般都是網(wǎng)段呀,幾個(gè)網(wǎng)段同時(shí)都需要上網(wǎng),比如這,192.168.1.0/24

當(dāng)用到動(dòng)態(tài)NAT的時(shí)候,就需要和ACL結(jié)合了

首先寫(xiě)一條ACL.這里里面的ACL的作用,并不是攔截或者放行數(shù)據(jù),而是抓取
雖然說(shuō)也可以理解為只放行這個(gè)數(shù)據(jù)過(guò)去,但是這樣不好理解!這里涉及到概念問(wèn)題,因?yàn)楹竺孢€有route-map,BGP,MPLS這些東西,所以這樣理解是最好的…

這里解釋一下
剛剛呢上面寫(xiě)的是Static,意思代表的是靜態(tài).1對(duì)1
list呢,就是對(duì)應(yīng)到ACL.就是我們現(xiàn)在要做的
route-map就是對(duì)應(yīng)策略路由的.

list 1 這里面這個(gè)1 代表的是ACL的名字
然后從這個(gè)e0口出去,因?yàn)槲椰F(xiàn)在的出口接口是E0

從PC上 去ping依然是通的
可以看看驗(yàn)證效果

順帶提一下

一般呢我們都會(huì)這里后面跟上一個(gè)overload,什么是overload呢?
中文意思是端口復(fù)用,有啥作用呢?
如果打了,就是對(duì)外都是一個(gè)IP(默認(rèn)下你不打他也會(huì)存在的)
可以驗(yàn)證一下這句話

這里面我是沒(méi)打overload的,它是自動(dòng)的

如果不寫(xiě),他是另外一種做法,需要做一個(gè)地址池給他的轉(zhuǎn)換IP


這里的pool后面跟的是剛剛創(chuàng)立的nat的地址池的名字

就這樣已經(jīng)完事了,已經(jīng)征程正常nat轉(zhuǎn)換了,這樣的作用在于可以欺騙對(duì)方+保護(hù)自己
有overload就代表無(wú)論什么發(fā)出去都是這個(gè)IP
但是如果沒(méi)有,就會(huì)根據(jù)這個(gè)地支持的的IP轉(zhuǎn)換出去
如果按照上面那個(gè)配置來(lái)說(shuō)的話
比如GW設(shè)備是A,接收是B,那么B收到的就會(huì)是1.1.1.0/8的地址

>實(shí)際上這個(gè)東東叫PAT,多對(duì)一,上面的是靜態(tài)NAT,一對(duì)一

好的本次到這里就結(jié)束了，歡迎觀看我的文章。我是CCIE-Yasuo，喜歡就關(guān)注我吧，下一期見(jiàn)。
歡迎新盟教育的同學(xué)一起來(lái)交流，我是41期的疾風(fēng)劍豪
同時(shí)我也是一名18歲來(lái)自大專的學(xué)生在學(xué)校寫(xiě)的，如有寫(xiě)的不對(duì)或侵權(quán)請(qǐng)及時(shí)聯(lián)系刪除。

總結(jié)

以上是生活随笔為你收集整理的CCNA-第十三篇-NAT-上的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。