NAT技术
internet接入方式:
ADLS技术:
能够将不同设备的不同信号通过分离器进行打包之后再internet中传输,到另一端的分离器之后再进行分离。传输到不同的设备中去。
常见光纤接入方式
internet接入认证方式:PPPoE:先认证再接入网络
典型:家用宽带。
PPPoE协议原理:
PPPoE会话:
PPPoE三种报文
internet接入认证方式:Protal:先接入网络,然后认证,再允许网络通讯
典型:校园网
逻辑:先接入认证服务器,进行认证。只能访问这个认证服务器的IP,即使访问别的网页,也会被强制跳转。
NAT的概念及应用场景
为什么需要使用NAT技术:最开始使用来解决IP地址数量不够的问题。于是将IP地址分为了公网地址和私网地址。因为公网地址不能再私网地址使用,私网地址不能再公网中使用。但又需要私网设备与公网设备通讯。那么就需要NAT技术进行公网地址和私网地址相互转换。
NAT的作用:把数据包中的IP地址转换成为另一个IP地址
注意点:
1.需要告诉路由器那个是连接外网的接口,那个是连接内网的接口。目的是:出入内网外网需要转换的地址是不一样的一个是转源IP一个是转目的IP
2.NAT与ACL的执行顺序。(相对于设备的出入,不是内外网的出入)
在思科中:见图1
在入方向,先进行ACL包过滤检测,再进行NAT地址转换。
在出方向,先进行NAT地址转换,再进行ACL包过滤检测。
在华为中:见图2
在入方向,先进行ACL包过滤检测,再进行NAT地址转换。
在出方向,先进行ACL包过滤检测,再进行NAT地址转换。
图一
图二
NAT分类
动态NAT:只转换IP地址,没有节省公网IP地址。路由器的NAT地址转换表内网设备上公网的数据流触发形成的。
动态PAT:转换IP地址和端口,节省公网IP地址。路由器的NAT地址转换表由内网设别上公网的数据流触发形成的。
静态NAT:只转换IP地址,没有节省公网IP地址。路由器的NAT地址转换表由管理员手工固定形成的
静态PAT:转换IP地址和端口,节省公网IP地址。路由器的NAT地址转换表由管理员手工固定形成的
实验:
出网路由器的配置:
1.配置两个接口是外网接口还是内网接口
fa0/0:ip nat inside。
fa0/1:ip nat outside
2.使用ACL将需要上公网的IP进行过滤,允许通过,不上公网的就不允许通过。
access-list 1 permit 192.168.10.0 0.0.0.255
access-list 1 permit 192.168.20.0 0.0.0.255
access-list 1 permit 192.168.8.0 0.0.0.255
3.配置内网的经过ACL1过滤后的数据,转换到fa0/1接口的IP地址,且带端口(没有后面那个overload就不带端口)
动态NAT:Router(config)#ip nat inside source list 1 interface fa0/1
动态PAT:Router(config)#ip nat inside source list 1 interface fa0/1 overload
静态NAT:Router(config)#ip nat inside source static 192.168.30.3 55.0.0.9
静态PAT:Router(config)#ip nat inside source static tcp 192.168.30.3 80 55.0.0.9 8888
3.1根据公网地址池,配置NAT
1.告诉NAT,公网地址池
ip nat pool A 55.0.0.5 55.0.0.8 netmask 255.255.255.0
Router(config)#ip nat inside source list 1 A overload
4.清除NAT表(上面已经完成了,后面是一些其他命令)
#清除所有nat表
clear ip nat translation *
clear ip nat translation 192.168.30.3 55.0.0.9 # 清除特定IP映射
clear ip nat translation tcp 192.168.30.3 80 55.0.0.9 8080 # 清除特定TCP端口映射问题:
为什么ICMP报文在使用动态PAT的时候在NAT表中有了端口?
答:
因为ICMP的回显报文中的标识符和序号刚好和源目端口号的长度相等(16位)。就刚好代替了端口号。