NAT的实现方式有三种,即静态转换StaticNat、动态转换DynamicNat和端口多路复用OverLoad。
静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
| 内网IP | 外网IP |
| 192.168.1.55 | 219.152.168.222 |
| 192.168.1.59 | 219.152.168.223 |
| 192.168.1.155 | 219.152.168.224 |
动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
端口多路复用(Portaddress Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
| 内网IP | 外网IP |
| 192.168.1.55:5566 | 219.152.168.222:9200 |
| 192.168.1.59:80 | 219.152.168.222:9201 |
| 192.168.1.59:4465 | 219.152.168.222:9202 |
转自:http://shuangyang.blog.51cto.com/540829/176690
NAT(Network AddressTranslation),网络地址转换。
其过程如下:通常在一个firewall或者Router上起NAT,firewall有两个NIC,一个接Internet,为合法的IP,一个接LAN,为保留IP。LAN的用户的defaultgateway指向NAT的内部(LAN)接口,所有从LAN通过NAT出去的包在NAT处会经行一个转换,通常会把这些包的源IP地址转换成NAT外部接口的合法IP地址,同时NAT在自己的连接表中添加一条记录,便于其应答包的目的回送。改了源IP地址的包送到Internet,其应答包回到NAT的外部接口,NAT接到应答包后,通过查看其连接表的记录,更改应答包的目标IP,然后送到发出请求的工作站。
NAT通常和一些firewall产品绑定在一起,比如cisco的PIX。
NAT处理内部网络数据包方式:
1.来自内部网络接口已符合转换条件的数据包到达NAT,在NAT表中查找匹配外部本地地址(相同目的IP数据包地址)转换项。
2.若无法找到匹配的外部地址项,数据包丢失;若发现匹配项,NAT用表中找到的外部全局地址替代数据包中的目的地址。
3.NAT继续在NAT表中查找,以确定是否有内部本地地址与该数据包中的源IP地址相匹配。
4.若无法找到匹配项,NAT会自行创建新的内部地址项,然后将此地址插入到数据包中;若发现匹配项,NAT用表中内部全局地址替代数据包中的源地址。
NAT处理外部网络数据包方式:
1.来自外部网络接口已符合转换条件的数据包到达NAT,在NAT表中查找匹配内部全局地址(相同目的IP数据包地址)转换项。
2.若无法找到匹配的内部地址项,数据包丢失;若发现匹配项,NAT用表中找到的内部本地地址替代数据包中的目的地址。
3.NAT继续在NAT表中查找,以确定是否有外部全局地址与该数据包中的源IP地址相匹配。
4.若无法找到匹配项,NAT会自行创建新的外部全局地址,然后将重复上述的操作。
5.每次NAT修改报头,路由器须从新计算IP和TCP的校验和的值,并用新的值代替原来的校验和。
NAT的几个相关概念
NAT可分为静态地址转换、动态地址转换、复用动态地址转换(端口地址转换portaddress translator,PAT)。
Inside Local IPAddress,内部本地地址:指定于内部网络的主机地址,全局唯一,但为私有地址。
Inside Global IPAddress,内部全局地址:代表一个或更多内部IP到外部网络可路由的合法IP(须注册)。
Outside Local IPAddress,外部本地地址:为内部网络主机所知的一台外部网络中的主机IP地址(无须注册),主要用于静态转换。
Outside Glocal IPAddress,外部全局地址:外部网络主机的合法注册IP,主要用于静态转换。
Simple TranslationEntry:影射IP到另一个地址Entry。
Extended TranslationEntry:影射IP地址和端口到另一对地址的Entry。
备注:内部端口应使用Ethernet端口,外部端口使用Serial端。
下面是CISCO官方ppt中的图片,借来帮助大家理解下NAT的工作过程:
网络地址转换:
端口地址转换:
交换内部源地址:
静态地址转换过程:
静态地址转换配置方法:
config)#ip nat inside source static本地私有IP 公网全局IP
作用到接口下:
ethernet(以太口)下:config-if)#ip natinside
serial(串行接口)下:config-if)#ip natoutside
动态地址转换过程:
动态地址转换配置方法:
①定义接口地址及其方向:
以太口:config)#interfaceex/y
config-if)#ip addr A.B.C.D
config-if)#ip nat inside
串口:config)#interfacesx/y
config-if)#ip addr A.B.C.D
config-if)#ip nat outside
②定义全局地址池:
config)#ip nat pool地址池名 start-ip-address end-ip-address netmask network-mask
③定义标准访问控制列表:
config)#access-list <1-99> permit内部IP网段内部网段反掩码
④实现全局地址池和标准访问列表间的映射:
config)#ip nat inside source list<1-99> pool地址池名
内部全局地址负载:
负载均衡配置方法:
config)#ip nat inside source list<1-99> interface sx/y overload
config)#access-list <1-99>permit 源网络IP 源网络IP反掩码
相关的命令:
清除NAT地址转换表: #clear ip nattranslation/statistics
查看NAT地址转换表:#show ip nat translation
查看NAT地址状态:#show ip nat statistics[verbose]
调试命令:#debug ip nat
因为静态地址转换的配置方方法比较简单,这里就不再赘述了,下面为大家举一个动态地址转换的配置实例。
配置实例大致拓扑图如下:
基本的配置如上图所示,Router1充当的是外部Internet,只给它配置了IP地址。Router0的基本配置如下:
r1#sh run
Building configuration...
Current configuration : 633 bytes
!
version 12.2
no service password-encryption
!
hostname r1
!
ip ssh version 1
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
ip nat inside
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Serial0/0
ip address 172.16.1.1 255.255.255.0
ip nat outside
clock rate 64000
!
interface Serial0/1
no ip address
shutdown
!
ip nat pool name1 172.16.1.1 172.16.1.1 netmask 255.255.255.0
ip nat inside source list 10 pool name1 overload
ip classless
!
access-list 10 permit 192.168.1.0 0.0.0.255
!
line con 0
line vty 0 4
login
!
end
下面我们来看看 NAT状态和地址转换表,
到这,实验成功完成。配置起来其实很简单,主要掌握原理和熟悉其命令。
扫一扫
1195
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
