12、利用NAT/NAPT实现外网主机访问内网服务器(思科)
•网络地址转换NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美解决了IP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
•默认情况下,内部IP地址是无法被路由到外网的,内部主机10.1.1.1要与外部internet通信,IP包到达NAT路由器时,IP包头的源地址10.1.1.1被替换成一个合法的外网IP,并在NAT转换表中保存这条记录。当外部主机发送一个应答到内网时,NAT路由器收到后,查看当前NAT转换表,用10.1.1.1替换掉这个外网地址。
ip nat inside source static [内网IP地址] [外网IP地址]
实验18中: 先在lan-router中定义内网端口和外网端口 然后再在路由器中配置: 方式一直接静态地址转换:ip nat inside source static 172.16.8.5 200.1.8.7 方式二基于端口的转换: ip nat inside source static tcp 172.16.8.5 80 200.1.8.7 80
Lan-Router(config)#ip nat inside source static 172.16.8.5 200.1.8.7 Lan-Router(config)#interface f0/0 Lan-Router(config-if)#ip nat inside Lan-Router(config-if)#exit Lan-Router(config)#interface s0/3/0 Lan-Router(config-if)#ip nat outside Lan-Router(config-if)#exit Lan-Router(config)#ip nat inside source static tcp 172.16.8.5 80 200.1.8.7 80 //设置只能进行WWW访问•NAPT:使用不同的端口来映射多个内网IP地址到一个指定的外网IP地址,多对一。
NAPT采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自Internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。 ip nat pool [地址池名] start-address end-address {netmask mask | prefix-length prefix-length} access-list [控制列表编号] permit ip-address wildcard ip nat inside source list access-list-number {[ pool [地址池名] | [interface interface-type interface-number]} overload
实验19:
先在lan-router中定义内网端口和外网端口
然后创建外网可用IP地址池:ip nat pool t01 200.1.1.1 200.1.1.1 netmask 255.255.255.0 再设置内网允许参与地址转换的列表:access-list 10 permit 192.168.1.0 0.0.0.255 最后设置地址转换关系:ip nat inside source list 10 pool t01 overload
Lan-Router(config)#interface f0/0 Lan-Router(config-if)#ip nat inside Lan-Router(config-if)#exit Lan-Router(config)#interface s0/3/0 Lan-Router(config-if)#ip nat outside Lan-Router(config-if)#exit Lan-Router(config)#ip route 0.0.0.0 0.0.0.0 s0/0 Lan-Router(config)#ip nat pool v1 200.1.1.1 200.1.1.1 netmask 255.255.255.0 //这里是公网地址池,公网地址必须是连续的,这里只有一个公网地址。 Lan-Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 Lan-Router(config)#ip nat inside source list 10 pool v1 overload Lan-Router(config)#exit Lan-Router#show ip nat translations //查看NAT表