通 ensp 模拟 NAT (easy ip, 静态nat, 动态nat, nat server)
NAT(网络地址转换)是解决IPv4地址不足的关键技术,它允许多个内网设备共享一个公网IP地址,有效缓解了地址短缺问题。同时,NAT通过隐藏内网IP,增强了网络安全性,防止外部设备直接访问内部设备。此外,NAT提供了灵活的网络配置能力,支持端口映射、负载均衡等功能,广泛应用于家庭、企业及数据中心网络。结合防火墙策略,NAT进一步提升了网络管理的可控性,成为现代网络架构中不可或缺的组成部分。
实验目的
了解几种常见的NAT类型,网络拓扑图如下。配置好设备ip后,添加一条路由后,整个拓扑图网络可以正常通信。
easy ip 模式的NAT
easy ip 使用防火墙或者路由器的出接口的公网地址,作为转换地址。同时使用不同的端口,进行回话的区分。好处是,配置比较简单,节省ip地址,不用使用地址池,就是配置不用指定公网ip,对于动态获取ip的连接网络友好,比如pppoe拨号上网,每次要获取的公网ip,可能不同。
easy ip 的主要配置
首先要配置一个 acl, 然后再出接口调用
acl 2000
rule 5 permit source any
quit
int g0/0/1
#easy ip 方式的nat
nat outbound 2000静态 NAT
静态NAT可以基于全局模式,或者接口模式。静态NAT不能节约IP地址,是一对一的,不管用不用,都要占用公网IP的资源,提供的一个稳定的内外网映射,比如内网中的一条服务器,或者特定的需要公网ip的电脑。
# 方式1 基于接口
int g0/0/1
# 静态地址转换,可以写多个
nat static global 5.5.5.10 inside 192.168.0.10 netmask 255.255.255.255
# 以全局定义,然后接口调用 nat static enable
nat static global 5.5.5.10 inside 192.168.0.10 netmask 255.255.255.255
int g0/0/1
nat static enable动态NAT
动态NAT,需要一个地址池。通过NAT把内部需要上网的内网地址,转换成公网地址。所以需要两个条件
- 创建一个地址池
- 创建给acl,用来匹配哪些地址需要做转换
# 全局定义地址池,地址池的编号是 0 到 7
nat address-group 0 20.0.0.1 20.0.0.7
# 创建一个ACL
acl 2000
rule 5 permit source any
quit
int g0/0/1
nat outbound 2000 address-group 0 no-pat 特别需要注意的地方是 no-pat, 是否做端口转换,默认是提供端口转换的,也是最常用的模式。去掉 no-pat 表示不做端口转换。
NAT SERVER
将公网 IP 的指定端口映射到内网服务器的某个端口(如 公网IP:80 → 内网Web服务器:80)。 支持 TCP/UDP 协议,外网可主动访问内网服务。
int g0/0/1
nat server global 8.8.8.80 inside 192.168.0.80
nat server protocol tcp global 1.1.1.1 80 inside 192.168.1.100 80