第11章               网络地址转换

何时使用NAT

       类似无类域间路由选择(CIDR),最初目的是允许私有IP地址映射为外部合法IP,减缓可用IP消耗。

       从那时发现,在移植和合并网络、服务器负载共享以及创建“虚拟服务器”中,NAT是很有用的工具

       适用NAT的各种情况:;

              需要连接因特网,但没有公网IP

              更换了新的ISP,需要重新组织网络

              需要合并两个具有相同网络地址的内网

       优点                                          缺点

节约合法注册地址                     地址转换产生交换延迟

减少重叠出现                            无法进行端到端的IP跟踪

增加连接因特网的灵活性           某些应用无法在实施NAT网络运行

网络变更时避免地址的重新分配

 

网络地址转换

       静态NAT:本地和全球地址一对一映射

       动态NAT:可以映射一个未注册IP到注册IP地址池中的一个注册地址

       复用:多个未注册IP到一个已注册IP。即多对一

                通过使用不同端口来实现

 

NAT命名:

NAT术语

              内部本地              转换之前内部源地址的名字

              外部本地              转换之前目标主机的名字

              内部全局              转换之后内部主机的名字

              外部全局              转换之后外部目标主机的名字

 

静态NAT配置

       Ip nat inside soure static 10.1.1.1   170.46.2.2

Ip nat inside soure 把内部接口作为源地址或转换的开始点

知道了哪边是内,哪边是外。与接口应用inout是联系的

 

动态NAT配置

Ip nat pool todd 170.168.2.254 netmask 255.255.255.0

Access-list 1 permit 10.1.10 0.0.0.255

Ip nat inside soure list 1 pool todd

Access-list 1 作为源地址与名字为toddNAT IP 池中的一个地址

 

PAT (复用)配置

       只需要在动态NAT命名后面加overload

 

 

NAT简单验证

       查看基本的IP地址转换信息

       Show ip nat translation

       可以显示测试中的发送端地址、转换、目的地址

       Debug ip nat

       在转换表清除NAT条目

       Clear ip nat translation    清除所有加*

 

测试并诊断NAT故障

       需要对下列鼓掌做出判断:

       检查动态地址池——它们是否由正确地址范围组成

检查动态地址池是否重叠

检查用来静态映射的地址与动态地址池是否重叠

确定ACL指定正确转换地址

确信列表中该出现的地址没有漏,不该出现的没有被加入

确信内部和外部接口都已经恰当地界定

       Cisco nat 默认转换超时为86400秒(24小时)

       可以用 ip nat tran timeout  修改

NAT条目的数目由于性能和策略约束而必须被限制

       可以使用ip nat trans-lation max-entries  来帮助

 

Show ip nat statsistics 可用来排除故障

       可以得到NAT配置的汇总,活动的转换类型计数

       包括类型、可用地址总数、已分配和失败的数量