一、 NAT介绍

NAT旨在简化和节约IPv4地址,允许私有的IPv4网络使用未注册的IPv4地址接入Internet。通常情况下,NAT连接两个网络,在将数据包发送到另一个网络之前,NAT会将内部网络的私有地址转换为公共地址。任何位于内部网络和公共网络之间的设备(路由器、防火墙或计算机)都可以使用NAT。

路由器上使用NAT,最常见的是执行内部源地址转换,即将网络内访问网络外的数据包的源地址从私有地址转换成公共地址。例如,位于内网的主机A,IP为10.1.1.1,需要访问公网上IP地址为208.77.108.166的主机B。路由器上配置了NAT,则会维护一个NAT表,不管是静态转换还是动态转换,都会在内网地址与你所拥有的公网地址之间建立关系,假设有一个静态转换条目在10.1.1.1和209.165.201.2之间建立了关联。内部源地址转换过程如下:

1. 主机10.1.1.1上的用户打开一个至主机B的连接。数据包源地址SA=10.1.1.1,目的地址DA=208.77.108.166,发送到防火墙上。

2. 路由器使用转换条目的公网地址替换10.1.1.1的内部本地源地址,并转发数据包。数据包SA=209.165.201.2,DA=208.77.108.166;

3. 主机B接收数据包,对主机A做出响应。数据包SA=208.77.108.166,DA=209.165.201.2;

4. 当路由器收到响应数据包时,在NAT表中执行查询。然后将数据包目的地址转换回主机A的内部本地地址,并将数据包转发给主机A,此时数据包SA=208.77.108.166,DA=10.1.1.1。

5. 主机A接收数据包并继续会话。路由器对每个数据包执行步骤2至步骤4。

二、路由器处理流量的顺序

路由器处理流量的顺序取决于NAT转换是全局到本地的转换还是本地到全局的转换。

1. 本地到全局

1) 检查入站访问列表

2) 执行策略路由

3) 路由数据包

4) 执行NAT内部到外部的转换(本地到全局的转换)

5) 检查出站访问列表

2. 全局到本地

1) 检查入站访问列表

2) 执行NAT外部到内部的转换(全局到本地的转换)

3) 执行策略路由

4) 路由数据包

5) 检查出站访问列表

三、 访问策略配置

根据路由器处理流量的顺序来配置相应的访问策略:

1. 在路由器的内部接口上

1) 如果配置入站访问控制列表,则允许源地址10.1.1.1对目的地址208.77.108.166的访问;

2) 配置能够到达208.77.108.166的路由

3) 如果配置出站访问控制列表,则允许源地址209.165.201.2对目的地址208.77.108.166的访问;

2. 在路由器的外部接口上

1) 如果配置入站访问控制列表,则允许源地址208.77.108.166对目的地址209.165.201.2的访问;

2) 配置能够到达10.1.1.1的路由

3) 如果配置出站访问控制列表,则允许源地址208.77.108.166对目的地址10.1.1.1的访问;

按照上面方法配置访问策略可以实现细粒度的访问控制,当然,如果你是要访问Internet,则在内部接口上应用的ACL中把208.77.108.166改为any就可以了。