NAT技术五日通

最新推荐文章于 2022-07-03 09:00:10 发布
最新推荐文章于 2022-07-03 09:00:10 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络技术 文章标签: 路由器 服务器 网络 server list internet

第一天
一、概述NAT技术,中文翻译为网络地址转换。该技术产生的原因:IPv4地址危机,在Internet上应用广泛的IPv4技术,由于其先天性不足,在九十年代初期时,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的时间,为了延长IPv4技术的使用时间,产生了NAT技术。

二、工作原理修改IP数据包中的源IP地址,或目的IP地址。主要目的是把RFC1918所提议的私有地址转变成在Internet上可路由的公有合法地址。对于某些有限的应用(如DNSFTP等),它也可以修改IP数据包有效载荷中的地址。由于应用的复杂性,NAT目前支持的应用有限,当然,如果需要,完全可以针对新的应用做相应的开发工作。从配置了NAT技术的一台路由器上,把整个网络分成两部分:内部网络和外部网络。NAT技术中有四个术语:内部本地地址----局域网内部主机的拥有的一个真实地址,一般来说是一个私有地址内部全局地址----对于外部网络来说,局域网内部主机所表现的IP地址。外部本地地址----外部网络主机的真实地址。外部全局地址----对于内部网络来说,外部网络主机所表现的IP地址。对于网络地址转换技术来讲,最重要的一点是,在配置NAT的路由器上形成了NAT转换表,这个转换表的形成是非常关键的。配置NAT后,能形成正确的转换表,那么我们的工作就算成功了。

三、基本配置
1、 静态转换:
Router(config)#ip nat inside source static 内部本地地址 内部全局地址
2、 动态转换:
Router(config)#ip nat pool 地址池 起始地址 最后地址 netmask 子网掩码
Router(config)#access-list 表号 permit 网络号 反掩码
Router(config)#ip nat inside source list 表号 pool 地址池
3、 PAT
Router(config)#access-list 表号 permit 网络号 反掩码
Router(config)#ip nat inside source list 表号 interface 外部接口

四、简单案例如下图所示,一个中小型企业网络,使用一台路由器和外部相连接,企业有WWW服务器和FTP服务器,用来提供给外部用户访问。企业内部员工也需要和Internet连接。如果企业能够申请到多个公网地址
(六个公网地址:202.1.1.1-202.1.1.6)。


配置:根据企业目前需求,我们可以做如下配置:
(假设ISP端路由器使用202..1.1.6
Router(config)#int e0     (1)
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 202.1.1.1 255.255.255.248
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static 10.1.1.1 202.1.1.2   (2)
Router(config)#ip nat inside source static 10.1.1.2 202.1.1.3   (3)
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255   (4)
Router(config)#ip nat inside source list 1 interface e1 overload   (5)
Router(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.6   (6)
命令解释:
1):配置路由器接口IP地址及标记NAT的内部端口和外部端口
2):当外部用户访问服务器202.1.1.2,路由器使用静态NAT的方式转到10.1.1.1
3):当外部用户访问服务器202.1.1.3,路由器使用静态NAT的方式转到10.1.1.2
4):配置标准访问控制列表,匹配内部10.1.1.0/24网络的主机
5):配置PAT,允许内部10.1.1.0/24用户能够进行NAT转换
6):配置静态路由,使经过NAT转换后的数据包能够发送至ISP
注意事项:当配置静态NAT后,NAT转换表中就会形成转换条目。动态NATPAT在配置映射后,在转换表中并没有形成条目。当内部符合访问控制列表1条件的数据包到达路由器后,触发转换条件,该数据包要求查找转换表,如果转换表中有转换条目存在,使用该条目转换,如果没有转换条目,则根据映射创建条目并转换。

第二天
一、   端口地址重定向:
如图所示,该企业申请ADSL上网,只获得了一个公有合法IP地址。为了企业的应用,可以使用端口地址重定向功能来完成。

Router(config)#int e0     (1)
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 202.1.1.1 255.255.255.252
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static tcp 10.1.1.1 80 202.1.1.1 80   (2)
Router(config)#ip nat inside source static tcp 10.1.1.2 21 202.1.1.1 21   (3)
Router(config)#ip nat inside source static tcp 10.1.1.2 20 202.1.1.1 20
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255   (4)
Router(config)#ip nat inside source list 1 interface e1 overload   (5)
Router(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.2   (6)

命令解释:
1):配置路由器接口IP地址及标记NAT的内部端口和外部端口
2):当外部用户访问服务器202.1.1.1:80,路由器使用静态NAT的方式转到10.1.1.1:80
3):当外部用户访问服务器202.1.1.1:21,路由器使用静态NAT的方式转到10.1.1.1:21(由于FTP问题较复杂,这儿仅以一种FTP的应用为例)
4):配置标准访问控制列表,匹配内部10.1.1.0/24网络的主机
5):配置PAT,允许内部10.1.1.0/24用户能够进行NAT转换
6):配置静态路由,使经过NAT转换后的数据包能够发送至ISP

二、   地址交叉(地址重叠):
如果两个网络当前的网络地址出现相同的情况,且目前又需要两个网络之间相互直接通讯。这种情况被称之为地址重叠。如下图所示:
这时候可能出现多种情况:两个网络中都有双方需要访问的服务器  
只有一方网络中有双方需要访问的服务器(如上图)不同的网络情况,配置时略有不同。概括起来讲,解决这个问题有两种方案:
1、 静态转换 Router(config)#ip nat inside source static network 10.1.1.0 192.168.1.0 /24   (1)
Router(config)#ip nat outside source static network 10.1.1.0 192.168.2.0 /24 (2)
Router(config)#ip route 0.0.0.0 0.0.0.0 e1
Router(config)#int e0
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
注解:
(1):把内部网络10.1.1.0转换成192.168.1.0,也就是说,对于外部网络而言,内部网络的地址是192.168.1.0/24  
(2):把外部网络10.1.1.0传输来的数据全部修改成192.168.2.0网段,也就是说,对于内部网络而言,外部真实10.1.1.0网络被认为是192.168.2.0网络。
2、 动态转换 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat pool in-pool 192.168.1.1 192.168.1.254 netmask 255.255.255.0
Router(config)#ip nat pool out-pool 192.168.2.1 192.168.2.254 netmask 255.255.255.0
Router(config)#ip nat inside list 1 pool in-pool
Router(config)#ip nat outside list 1 pool out-pool
Router(config)#ip route 0.0.0.0 0.0.0.0 e1
Router(config)#int e0
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside 该配置所得到的效果静态转换一样。在此不再多说。

三、   负载分担(流量分配):
随着企业的发展,企业的WWW服务器访问的用户越来越多,一台服务器已经不能满足当前的需要,更换一台高端服务器价格不菲,这时候可以使用NAT的流量分担功能。来解决企业当前的问题。如图所示:两台Web服务器承担着相当的WWW服务功能。对于外部用户而言,他们只知道该企业的WWW地址是200.1.1.1基本配置如下:
Router(config)#ip nat pool wwwserver 10.1.1.1 10.1.1.2 prefix-length 24 type rotary
Router(config)#access-list 1 permit 200.1.1.1 0.0.0.0
Router(config)#ip nat inside destination list 1 pool wwwserver
Router(config)#int e0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
第一条命令是用来建立一个内部服务器的地址池,一定要注意后面的type rotary,该参数用来分配流量。Access-list用来指定虚拟服务器地址。第三条命用来定义转换关系。最后在两个接口上调用NAT转换表。注意,使用这种方法时,并不是最好的解决方案,相同的场景,以后会介绍更好的解决方案。

四、   控制NAT转换表大小:
1、 设置连接最大数量:该命令用来限制动态产生的转换表的条目
Router(config)#ip nat translation max-entries 最大数目
2、 设置超时值:动态产生的NAT转换条目,根据不同的服务有不同的超时值。
Router(config)#ip nat translation 协议时间 超时值在第二天NAT介绍文章中,提供了NAT的负载均衡的配置。但是,那种简单的负载均衡有较多的局限性
1、   不检查内部服务器的状态,可能会造成路由黑洞
2、   不能灵活调整服务器的负载为了解决这些问题,开始提出新的技术,引入了服务器负载平衡(Server Load Balancing)技术。该技术提供两种工作模式:定向模式和分派模式。

第三天
一、定向模式:在定向模式中,给服务器指定一个IP地址,真实的服务器不知道这个地址。在数据包进行转发的时候,需修改数据包中的IP地址,并重新进行CRC计算,再进行数据包的转发。
具体配置如下:
Router(config)#ip slb serverfarm Web_server   (1)
Router(config-slb-sfarm)#nat server   (2)
Router(config-slb-sfarm)#real 10.1.1.1   (3)
Router(config-slb-real)#weight 10   (4)
Router(config-slb-real)#faildetect numconns 8 numclients 3   (5)
Router(config-slb-real)#retry 60   (6)
Router(config-slb-real)#maxconns 2000   (7)
Router(config-slb-real)#inservice   (8)
Router(config-slb-real)#exit
Router(config-slb-sfarm)#real 10.1.1.2   (9)
Router(config-slb-real)#weight 15
Router(config-slb-real)#faildetect numconns 8 numclients 3
Router(config-slb-real)#retry 60
Router(config-slb-real)#maxconns 3000
Router(config-slb-real)#inservice
Router(config-slb-real)#exit
Router(config)#ip slb vserver Out_server   (10)
Router(config-slb-vserver)#serverfarm Web_server   (11)
Router(config-slb-vserver)#virtual 200.1.1.1 tcp 80   (12)
Router(config-slb-vserver)#delay 10   (13)
Router(config-slb-vserver)#idle 1200   (14)
Router(config-slb-vserver)#inservice   (15)
命令详解:
(1)   建立一个真实服务器群组,群组名Web_server
(2)   该群组使用定向模式提供服务。默认情况下真实服务器群组使用分派模式(如下一个图例配置情况就是分派模式。
(3)   真实服务器的IP地址
4--8)是配置真实服务器的一些连接特性
(4)   权重10。该命令的意思是:10.1.1.1服务器我承担的流量为10/10+15)。15为另一台服务器的权重
(5)   在认定该服务器失效前,路由器给服务器所发送的最多连接失败数
(6)   指定在服务器失效后,路由器多长时间检测一次服务器
(7)   该服务器最大连接数。这个参数设定是根据服务器的性能决定的
(8)   在这个群组中启用该服务器
(9)   建立群组中的另一台真实服务器
(10)   建立虚拟服务器,指定虚拟服务器名Out_server
(11)   指定哪个服务器群组处理该虚拟服务器的流量
(12)   配置虚拟服务器地址及其协议和端口号
(13)   连接终止后路由器上保持该SLB表项的时间
(14)   空闲超时值
(15)   启用虚拟服务器
二、分派模式:处于分派模式时,真实的服务器上配置两个地址:一个是自已的地址,一个是虚拟IP地址。当路由器进行数据转发的时候,不需要对数据包的IP地址转换,直接把数据包分发。注意,在分派模式的时候,中间的交换机必须是二层交换机。
具体配置如下:
Router(config)#ip slb serverfarm Web_server
Router(config-slb-sfarm)#real 10.1.1.1
Router(config-slb-real)#weight 10
Router(config-slb-real)#inservice
Router(config-slb-real)#exit
Router(config-slb-sfarm)#real 10.1.1.2
Router(config-slb-real)#weight 15
Router(config-slb-real)#inservice
Router(config-slb-real)#exit
Router(config)#ip slb vserver Out_server
Router(config-slb-vserver)#serverfarm Web_server
Router(config-slb-vserver)#virtual 200.1.1.1 tcp 80
Router(config-slb-vserver)#inservice
分派模式的配置和定向模式很多都是相同的。分派模式中只少了一条命令:Router(config-slb-sfarm)#nat server

第四天
一、使用ACL控制转换如下图所示:网络A和网络B都连接到Internet。由于业务需要,两个网络需要相互访问,因而在路由器A和路由器B之间建立了IPsec VPN。当网络A和网络B之间互访时,则不必做NAT转换。

路由器A配置如下:
Router(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (1)
Router(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any
Router(config)#ip nat inside source list 100 interface e1 overload   (2)
Router(config)#int e0
Router(config-if)#ip add 192.168.10.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 202.1.1.1 255.255.255.252(外部接口地址)
Router(config-if)#ip nat outside
命令详解:
(1)   访问控制列表100是用来匹配出进行NAT转换的数据包,第一个条目中从192.168.10.0192.168.20.0的数据包不需要进行转换,到其它网络的数据包需要转换(关于VPN内容,以后有机会再说)。
(2)   符合访问控制列表的流量进行PAT转换
如果该单位能申请到较多的IP地址,路由器A的配置可能如下:
Router(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (1)
Router(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 anyRouter(config)#ip nat pool Real_add 202.1.1.2 202.1.1.200 netmask 255.255.255.0
(2)Router(config)#ip nat inside source list 100 pool Real_add  
(3)Router(config)#int e0
Router(config-if)#ip add 192.168.10.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 202.1.1.1 255.255.255.252(外部接口地址)
Router(config-if)#ip nat outside
命令详解:
(1)   匹配需要进行转换的流量
(2)   配置可以用来转换的地址池
(3)   进行NAT转换配置,符合访问控制列的的流量使用地址池中的地址进行转换。
这时候使用访问控制列表来进行NAT转换的时候,NAT转换表中形的条目是这样的:
Pro   Inside global   Inside local   Outside local   Outside global
---   202.1.1.1   192.168.10.10   ----   ----
也就是说,当使用访问控制列表来进行NAT转换时,不能形成一个完整的条目。这在某些应用中会产生问题,所以需要其它的技术,来形成一个完整的NAT转换条目。
二、使用路由图控制转换如图所示,企业为了优化网络访问,申请了两个ISP的宽带线路。可以提高内部用户访问Inbernet的速度。对于这个企业的需求,对网络的优化方案如下
1)   当内部用户所需要的资源在ISP1时,需要从E1端口进行通讯;当内部用户所需要的资源在ISP2时,需要从E0端口通讯。
2)   不同ISP网络上所来的访问,需要从各自的线路返回。



在这种拓扑中,如果使用ACL来控制NAT的转换,就会出现问题,比如说我们作了如下配置:(假设从ISP1的网络为100.1.1.0/24,从ISP2的网络地址为200.1.1.0/24


NAT部分:
Router(config)#ip nat pool isp1 100.1.1.2 100.1.1.254 prefix-length 24
Router(config)#ip nat pool isp2 200.1.1.2 200.1.1.254 prefix-length 24
Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255
Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255
Router(config)#ip nat inside source list 100 pool isp1
Router(config)#ip nat inside source list 101 pool isp2
Router(config)#int e0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
Router(config)#int e2
Router(config-if)#ip nat outside
命令详解:(略)
如果内部一台主机10.1.1.10对外部进行一次telnet访问后,NAT转换表中形的条目如下:Pro Inside global   Inside local   Outside local   Outside globaltcp 100.1.1.10:57767   10.1.1.1:57767   100.1.1.3:23   100.1.1.3:23---   100.1.1.10   10.1.1.1   ---   ---
如果该主机现在想访问ISP2的一个资源,NAT表中会出现如下情况:
Pro Inside global   Inside local   Outside local   Outside globaltcp 100.1.1.10:24597   10.1.1.1:24597   200.1.1.3:23   200.1.1.3:23
tcp
100.1.1.10:26160   10.1.1.1:26160   100.1.1.3:23   100.1.1.3:23--- 100.1.1.10   10.1.1.1   ---   ---
注意:这时候外出的数据包中的源IP地址是ISP1的地址。因而返回的数据包会从ISP2转到ISP1网络,再回到企业内部。所以在这种情况下,不能使用ACL来进行NAT的过滤。
可使用路由图来形成转换的配置如下:
Router(config)#ip nat pool isp1 100.1.1.10 100.1.1.100 prefix-length 24
Router(config)#ip nat pool isp2 200.1.1.10 200.1.1.100 prefix-length 24
Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255
Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255
Router(config)#route-map isp1-map permit 10   (1)
Router(config-route-map)#match ip address 100   (2)
Router(config)#route-map isp2-map permit 10   (3)
Router(config-route-map)#match ip address 101
Router(config)#ip nat inside source route-map isp1-map pool isp1   4
Router(config)#ip nat inside source route-map isp2-map pool isp2
Router(config)#int e0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
Router(config)#int e2
Router(config-if)#ip nat outside
命令详解:(1)   建立ISP1的路由图
(2)   符合访问控制列表的流量适用于路由图
(3)   建立ISP2的路由图
(4)   调用路由图,建立NAT的转换映射这种配置时,内部用户访问外部的时候,就形成了完整的NAT转换表。才能达到优化网络的目的。
Pro Inside global   Inside local   Outside local   Outside globaltcp 100.1.1.10:11787   10.1.1.1:11787   100.1.1.3:23   100.1.1.3:23tcp 200.1.1.10:14877   10.1.1.1:14877   200.1.1.3:23   200.1.1.3:23

第五天
SNATNAT技术的重要内容,先写上一些再说吧冗余链路是很多网络所关注的问题,Cisco公司的NAT技术提供在两种情况下的冗余:
1、 在小型网络中使用的冗余技术,静态NATHSRP协议配合使用
2、 在大中型网络中使用的冗余技术,有状态的切换。
一、HSRP和静态NAT用来提供网络访问服务的冗余链路。

配置如下:路由器A
Router(config)#int e0
Router(config-if)#ip add 10.1.1.10 255.255.255.0
Router(config-if)#no ip redirects
Router(config-if)#ip nat inside
Router(config-if)#standby 1 ip 10.1.1.254
Router(config-if)#standby 1 priority 120
Router(config-if)#standby 1 preempt
Router(config-if)#standby 1 name NAT
Router(config-if)#standby 1 track e1 50
Router(config)#int e1
Router(config-if)#ip add 100.1.1.1 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static 10.1.1.1 100.1.1.3 reduandancy NAT
Router(config)#ip nat inside source static 10.1.1.2 100.1.1.4 reduandancy NAT路由器B
Router(config)#int e0
Router(config-if)#ip add 10.1.1.11 255.255.255.0
Router(config-if)#no ip redirects
Router(config-if)#ip nat inside
Router(config-if)#standby 1 ip 10.1.1.254
Router(config-if)#standby 1 preempt
Router(config-if)#standby 1 name NATGROUP
Router(config)#int e1
Router(config-if)#ip add 100.1.1.2 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static 10.1.1.1 100.1.1.3 reduandancy NATGROUP

Router(config)#ip nat inside source static 10.1.1.2 100.1.1.4 reduandancy NATGROUP命令详解:常用于小型网络,只能为静态NAT提供转换
二、有状态的地址切换:有状态的地址切换,当流量从一台路由器上通过时,另一台路由器能够获得相同的NAT转换表,故称为有状态的地址切换。
1.   使用HSRP的有状态切换:
路由器A
Router(config)#int e0
Router(config-if)#ip add 10.1.1.10 255.255.255.0
Router(config-if)#no ip redirects
Router(config-if)#ip nat inside
Router(config-if)#standby 1 ip 10.1.1.254
Router(config-if)#standby 1 priority 120
Router(config-if)#standby 1 preempt
Router(config-if)#standby 1 name SNAT
Router(config-if)#standby 1 track e1 50
Router(config)#int e1
Router(config-if)#ip add 100.1.1.1 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#ip nat stateful id 1
Router(config-snat)#redundancy SNAT
Router(config-snat-red)#mapping-id 100
Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.254 prefix-length 24
Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping-id 100 overload
Router(config)#route-map SNAT-MAP permit 10
Router(config-route-map)#match ip address 100
Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any

路由器B
Router(config)#int e0
Router(config-if)#ip add 10.1.1.11 255.255.255.0
Router(config-if)#no ip redirects
Router(config-if)#ip nat inside
Router(config-if)#standby 1 ip 10.1.1.254
Router(config-if)#standby 1 preempt
Router(config-if)#standby 1 name SNAT
Router(config)#int e1
Router(config-if)#ip add 100.1.1.2 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static 10.1.1.1 100.1.1.3 reduandancy NATGROUP
Router(config)#ip nat inside source static 10.1.1.2 100.1.1.4 reduandancy NATGROUP
Router(config)#ip nat stateful id 2
Router(config-snat)#redundancy SNAT
Router(config-snat-red)#mapping-id 100
Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.254 prefix-length 24
Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping-id 100 overload
Router(config)#route-map SNAT-MAP permit 10
Router(config-route-map)#match ip address 100
Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any
命令详解:这种有状态的HSRPSNAT,可以为两种类型的转换:NATPAT提供冗余。2、 不使用HSRP的状态切换:
路由器A
Router(config)#int e0
Router(config-if)#ip add 10.1.1.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 100.1.1.1 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#int e2
Router(config-if)#ip add 192.168.1.254 255.255.255.0
Router(config)#ip nat stateful id 1
Router(config-ipnat-snat)#primary 192.168.1.254
Router(config-ipnat-snat-red)#peer 192.168.1.253
Router(config-ipnat-snat-red)#mapping-id 100
Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.100 prefix-length 24
Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping 100 overload
Router(config)#route-map SNAT-MAP permit 10
Router(config-route-map)#match ip addredd 100
Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any

路由器B
Router(config)#int e0
Router(config-if)#ip add 10.1.1.1 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 100.1.1.1 255.255.255.0
Router(config-if)#ip nat outside
Router(config)#int e2
Router(config-if)#ip add 192.168.1.254 255.255.255.0
Router(config)#ip nat stateful id 2
Router(config-ipnat-snat)#primary 192.168.1.254
Router(config-ipnat-snat-red)#peer 192.168.1.253
Router(config-ipnat-snat-red)#mapping-id 100
Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.100 prefix-length 24
Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping 100 overload
Router(config)#route-map SNAT-MAP permit 10
Router(config-route-map)#match ip addredd 100
Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any
命令详解:这种有状态的SNAT,可以为大型网络提供转换。

zgeyzq
关注
专栏目录
P2P技术详解(一):NAT详解——详细原理、P2P简介(转)
隔壁老瓦的专栏
09-17 2161
这是一篇介绍NAT技术要点的精华文章,来自华3信官方资料库,文中对NAT技术原理的介绍很全面也很权威,对网络应用的应用层开发人员而言有很高的参考价值。   《P2P技术详解》系列文章 ➊ 本文是《P2P理论详解》系列文章中的第2篇,总目录如下:   《P2P技术详解(一):NAT详解——详细原理、P2P简介》(本文) 《P2P技术详解(二)...
网络技术NAT是什么?它的工作原理是什么?
最新发布
m0_73995538的博客
06-15 8705
本文将讲解NAP是什么,它的实现方式、优缺点、工作原理以及局限性。
NAT术语和转换关系的理解和研究
weixin_34024034的博客
09-09 157
NAT中有4个术语:内部本地,内部全局,外部本地,外部全局.这四个术语如果不细致理解,确实让人感到非常的乱,但理解后其实并不难. 内部本地 内部全局 外部本地 外部全局 (相同颜色处...
CISCO IP nat 常用命令及原理详解
ppby2002的专栏
11-23 1万+
缺省值:没有启用NAT。 命令模式:全局配置模式。 说明:静态NAT主要用于那些对需要对外部用户开放的服务,如Web服务器等,它可以把本地地址映射为指定的全局地址。 第一种格式实现的是一对一的NAT映射。第二种格式可实现一对多的映射,即一个全局地址可映射多个内部地址,用端口号区分各个映射。 范例1: Ruijie(config)#ip nat inside source static
NAT地址转换
qq_48644746的博客
07-03 379
静态NAT和动态NAT
CCNA第6次课程(1)
weixin_33858485的博客
11-30 84
CCNA第6次课程(1)壹、Trunk和STP一、交换机配置1、交换机连接交换机时,接口配置trunk;2、在router上配置单臂路由,路由器和交换机相连接,相连的这个端口配置trunk;3、SW连接PC,SW的这个端口配置access;4、当一个接口配置access模式,一个接口配置trunk模式,连接的时候是不能够相的;5、PC连接SW,router连接SW,前15S...
NAT技术详解
hqs2212586的专栏
12-12 9035
一、IPv4协议和NAT的由来 1、IPv4协议介绍   2011年2月3日,IANA宣布:IPv4地址空间最后5个地址块已经被分配给下属的5个地区委员会。2011年4月15日,亚太区委员会APNIC对外宣布,除了个别保留地址外,本区域所有的IPv4地址基本耗尽。一时之间,IPv4地址作为一种濒危资源身价陡增。   IPv4即网际网协议第4版(Internet Protocol Vers...
42张图详解 NAT : 换个马甲就能上网
networktp的博客
04-28 1920
初识 NAT IP 地址分为公网地址和私有地址。公网地址有 IANA 统一分配,用于连接互联网;私有地址可以自由分配,用于私有网络内部信。 随着互联网用户的快速增长,2019 年 11 月 25 日全球的公网 IPv4 地址已耗尽。在 IPv4 地址耗尽前,使用 NAT( Network Address Translation )技术解决 IPv4 地址不够用的问题,并持续至今。 NAT 技术的是将私有地址转换成公网地址,使私有网络中的主机可以过少量公网地址访问互联网。 但 NAT只是一种过渡技术,.
ENSP源NAT实验
weixin_46460114的博客
05-13 3028
NAT实验
基于NAT-PT翻译网关的IPv4/v6互策略
07-04
针对很多高校新建了一些IPv6网络而不能实现与原有IPv4网络信的问题,引入NAT-PT,并与应用层网关(主要为DNS-ALG)结合,实现了IPv6网络和IPv4网络间的互过分析NAT-PT和DNS-ALG的工作原理,阐述了IPv6侧主机发起信和IPv4侧主机发起信的工作过程,过引入NAT-PT簇和修改DNS服务器,从而解决了2个网络信质量和负载平衡问题,并过试验进行验证。
NAT解决地址交叉问题
weixin_34203426的博客
03-04 265
正常情况下如果想访问192.168.1.3。从主机A是不会走路由的。因为根据判断B会认为是子网内的主机。发送ARP广播来查找。这就是地址重叠带来的问题。如果希望能够在不重新编址的情况下进行互访。就必须有DNS服务器的存在。访问也不能直接采用IP。而只能采用域名的方式来访问。 主机A访问主机B。只能访问B的域名。向网络上的DNS 发出请求。解析域...
Cisco 路由器 NAT负载过高分析
yinchao27的专栏
10-25 5464
登陆路由后,用 神码的为show cpu (思科命令show prccess cpu)可查看CPU负载情况.   负载过高一般是由于某些电脑使用了BT、电驴等P2P软件或网络中有病毒向外大量发包造成的.   此处以手边的神码2661为例:   使用show ip nat stat 查看NAT的总条数.了解一下情况.   使用show ip nat tran 查看当前NAT的详细情况.要注意
NAT 详解
热门推荐
freeking101的博客
09-13 13万+
NAT技术(一、二、三、四、五) 系列:https://blog.51cto.com/wwwcisco/category1.html CCNA学习笔记之NAT:http://sweetpotato.blog.51cto.com/533893/1392884 网络地址转换NAT原理及应用:http://blog.csdn.net/xiaofei0859/article/details/663...
思科路由器上限制NAT的单用户连接数
weixin_34218890的博客
03-20 846
本文摘要 在CiscoIOS12.3(4)T后的IOS软件上支持NAT的单用户限制,即可以对做地址转换的单个IP限制其NAT的表项数,因为P2P类软件如BT的一大特点就是同时会有很多的连接数,从而占用了大量的NAT表项,因此应用该方法可有效限制BT的使用。  在CiscoIOS12.3(4)T后的IOS软件上支持NAT的单用户限制,即可以对做地址转换的单个IP...
限制单个IP地址的NAT条目 命令
weixin_34124577的博客
01-07 244
ip nat translation max-entries host [ip address] 转载于:https://blog.51cto.com/511430/125205
ip nat translation (timeout)
weixin_33963189的博客
11-30 821
ip nat translation The ip nat translation command is replaced by the ip nat translation (timeout) and ip nat translation max-entries commands. See these commands for more information. ...
路由器NAT,一段时间后某一客户端无法上网问题解决方法。
weixin_34405332的博客
04-25 1107
症状: 1、路由器能ping外网,客户端能ping路由器但无法ping外网 2、客户端随便更换一个IP后能够上网,但是改回以前的IP就又不能上网 3、在路由器上使用clear ip nat translation * 命令后,客户端立刻能够上网 分析: 路由器能ping外网,证明路由器上的设置都没错,能够正常和外网连接 客户机换IP能够上网证明客户机自身也...
网络攻击与路由器NAT功能
weixin_33933118的博客
11-08 452
某校园网接入互联网的设备是一台功能很强的CATALYST6509(带三层功能),但它最近却频繁瘫痪,CPU利用率经常到达百分之99-100,其拓扑结构如下: attachment.php?fid=7020 CATALYST6509的配置如下: ... ip nat pool teachers 210.83.X.X 210.83.X.X netmas...
CIDR地址划分与NAT技术详解
"本文主要介绍了网络中的CIDR地址块划分以及NAT技术网络200.1.1.0/24使用CIDR /27进行划分,产生8个子网,每个子网地址分别为200.1.1.0/27到200.1.1.224/27。CIDR是Internet上的地址分配方法,它过聚合路由减少...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值