博客网 >

一、NAT简介
  NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。
  
  二、NAT 的应用环境:
  情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。
  
  情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。
  
  三、设置NAT所需路由器的硬件配置和软件配置:
  设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。
  
  内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。
  
  设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。
  
  四、关于NAT的几个概念:
  内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。
  
  内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。
  
  五、NAT的设置方法:
  NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。
  
  1、静态地址转换适用的环境
  
  静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。
  
  静态地址转换基本配置步骤:
  
  (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:
  
  Ip nat inside source static 内部本地地址 内部合法地址
  
  (2)、指定连接网络的内部端口 在端口设置状态下输入:
  
   ip nat inside
  
  (3)、指定连接外部网络的外部端口 在端口设置状态下输入:
  
   ip nat outside
  
  注:可以根据实际需要定义多个内部端口及多个外部端口。
  
  实例1:
  
  本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。
  
  路由器2501的配置:
  
  Current configuration:
  
  version 11.3
  
  no service password-encryption
  
  hostname 2501
  
  ip nat inside source static 10.1.1.2 192.1.1.2
  
  ip nat inside source static 10.1.1.3 192.1.1.3
  
  ip nat inside source static 10.1.1.4 192.1.1.4
  
  interface Ethernet0
  
  ip address 10.1.1.1 255.255.255.0
  
  ip nat inside
  
  interface Serial0
  
  ip address 192.1.1.1 255.255.255.0
  
  ip nat outside
  
  no ip mroute-cache
  
  bandwidth 2000
  
  no fair-queue
  
  clockrate 2000000
  
  interface Serial1
  
  no ip address
  
  shutdown
  
  no ip classless
  
  ip route 0.0.0.0 0.0.0.0 Serial0
  
  line con 0
  
  line aux 0
  
  line vty 0 4
  
  password cisco
  
  end
  
  配置完成后可以用以下语句进行查看:
  
  show ip nat statistcs
  
  show ip nat translations
  
  2、动态地址转换适用的环境:
  
  动态地址转换也是将本地地址与内部合法地址一对一的转换,但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换。
  
  动态地址转换基本配置步骤:
  
  (1)、在全局设置模式下,定义内部合法地址池
  
   ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
  
   其中地址池名称可以任意设定。
  
  (2)、在全局设置模式下,定义一个标准的access-list规则以允许哪些内部地址可以进行动态地址转换。
  
   Access-list 标号 permit 源地址 通配符
  
   其中标号为1-99之间的整数。
  
  (3)、在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
  
   ip nat inside source list 访问列表标号 pool内部合法地址池名字
  
  (4)、指定与内部网络相连的内部端口在端口设置状态下:
  
   ip nat inside
  
  (5)、指定与外部网络相连的外部端口
  
   Ip nat outside
  
  实例2:
  
   本实例中硬件配置同上,运用了动态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.0网段采用动态地址转换。对应内部合法地址为192.1.1.2~192.1.1.10
  
  Current configuration:
  
  version 11.3
  
  no service password-encryption
  
  hostname 2501
  
  ip nat pool aaa 192.1.1.2 192.1.1.10 netmask 255.255.255.0
  
  ip nat inside source list 1 pool aaa
  
  interface Ethernet0
  
  ip address 10.1.1.1 255.255.255.0
  
  ip nat inside
  
  interface Serial0
  
  ip address 192.1.1.1 255.255.255.0
  
  ip nat outside
  
  no ip mroute-cache
  
  bandwidth 2000
  
  no fair-queue
  
  clockrate 2000000
  
  interface Serial1
  
  no ip address
  
  shutdown
  
  no ip classless
  
  ip route 0.0.0.0 0.0.0.0 Serial0
  
  access-list 1 permit 10.1.1.0 0.0.0.255
  
  line con 0
  
  line aux 0
  
  line vty 0 4
  
  password cisco
  
  end
  
  3、复用动态地址转换适用的环境:
  
  复用动态地址转换首先是一种动态地址转换,但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况,这种转换极为有用。
  
  注意:当多个用户同时使用一个IP地址,外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。
  
  复用动态地址转换配置步骤:
  
  在全局设置模式下,定义内部合地址池
  
  ip nat pool 地址池名字 起始IP地址 终止IP地址 子网掩码
  
  其中地址池名字可以任意设定。
  
  在全局设置模式下,定义一个标准的access-list规则以允许哪些内部本地地址可以进行动态地址转换。
  
  access-list 标号 permit 源地址 通配符
  
  其中标号为1-99之间的整数。
  
  在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。
  
  ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload
  
  在端口设置状态下,指定与内部网络相连的内部端口
  
  ip nat inside
  
  在端口设置状态下,指定与外部网络相连的外部端口
  
  ip nat outside
  
  实例:应用了复用动态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。10.1.1.0网段采用复用动态地址转换。假设企业只申请了一个合法的IP地址192.1.1.1。
  
  2501的配置
  
  Current configuration:
  
  version 11.3
  
  no service password-encryption
  
  hostname 2501
  
  ip nat pool bbb 192.1.1.1 192.1.1.1 netmask 255.255.255.0
  
  ip nat inside source list 1 pool bbb overload
  
  interface Ethernet0
  
  ip address 10.1.1.1 255.255.255.0
  
  ip nat inside
  
  interface Serial0
  
  ip address 192.1.1.1 255.255.255.0
  
  ip nat outside
  
  no ip mroute-cache
  
  bandwidth 2000
  
  no fair-queue
  
  clockrate 2000000
  
  interface Serial1
  
  no ip addres

NAT技术(一)
一、概述
NAT技术,中文翻译为网络地址转换。该技术产生的原因:IPv4地址危机,在Internet上应用广泛的IPv4技术,由于其先天性不足,在九十年代初期时,已经预计到了IPv4地址不足,从而开始开发IPv6技术。但开发IPv6需要足够的时间,为了延长IPv4技术的使用时间,产生了NAT技术。

二、工作原理
修改IP数据包中的源IP地址,或目的IP地址。主要目的是把RFC1918所提议的私有地址转变成在Internet上可路由的公有合法地址。对于某些有限的应用(如DNS、FTP等),它也可以修改IP数据包有效载荷中的地址。由于应用的复杂性,NAT目前支持的应用有限,当然,如果需要,完全可以针对新的应用做相应的开发工作。
从配置了NAT技术的一台路由器上,把整个网络分成两部分:内部网络和外部网络。
NAT技术中有四个术语:
内部本地地址----局域网内部主机的拥有的一个真实地址,一般来说是一个私有地址
内部全局地址----对于外部网络来说,局域网内部主机所表现的IP地址。
外部本地地址----外部网络主机的真实地址。
外部全局地址----对于内部网络来说,外部网络主机所表现的IP地址。
对于网络地址转换技术来讲,最重要的一点是,在配置NAT的路由器上形成了NAT转换表,这个转换表的形成是非常关键的。配置NAT后,能形成正确的转换表,那么我们的工作就算成功了。

三、基本配置
1、  静态转换:
Router(config)#ip nat inside source static 内部本地地址 内部全局地址
2、  动态转换:
Router(config)#ip nat pool 地址池 起始地址 最后地址 netmask 子网掩码
Router(config)#access-list 表号 permit 网络号 反掩码
Router(config)#ip nat inside source list 表号 pool 地址池
3、  PAT:
Router(config)#access-list 表号 permit 网络号 反掩码
Router(config)#ip nat inside source list 表号 interface 外部接口
四、简单案例
如下图所示,

 

一个中小型企业网络,使用一台路由器和外部相连接,企业有WWW服务器和FTP服务器,用来提供给外部用户访问。企业内部员工也需要和Internet连接。如果企业能够申请到多个公网地址(六个公网地址:202.1.1.1-202.1.1.6)。

配置:根据企业目前需求,我们可以做如下配置:(假设ISP端路由器使用202..1.1.6)
Router(config)#int e0                                                      (1)
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 202.1.1.1 255.255.255.248
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static 10.1.1.1 202.1.1.2                       (2)
Router(config)#ip nat inside source static 10.1.1.2 202.1.1.3                       (3)
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255                            (4)
Router(config)#ip nat inside source list 1 interface e1 overload                     (5)
Router(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.6                                (6)
命令解释:
(1):配置路由器接口IP地址及标记NAT的内部端口和外部端口
(2):当外部用户访问服务器202.1.1.2,路由器使用静态NAT的方式转到10.1.1.1
(3):当外部用户访问服务器202.1.1.3,路由器使用静态NAT的方式转到10.1.1.2
(4):配置标准访问控制列表,匹配内部10.1.1.0/24网络的主机
(5):配置PAT,允许内部10.1.1.0/24用户能够进行NAT转换
(6):配置静态路由,使经过NAT转换后的数据包能够发送至ISP

注意事项:当配置静态NAT后,NAT转换表中就会形成转换条目。动态NAT和PAT在配置映射后,在转换表中并没有形成条目。当内部符合访问控制列表1条件的数据包到达路由器后,触发转换条件,该数据包要求查找转换表,如果转换表中有转换条目存在,使用该条目转换,如果没有转换条目,则根据映射创建条目并转换。

NAT技术二


一、         端口地址重定向:
如图所示,该企业申请ADSL上网,只获得了一个公有合法IP地址。为了企业的应用,可以使用端口地址重定向功能来完成。


Router(config)#int e0                                                      (1)
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip add 202.1.1.1 255.255.255.252
Router(config-if)#ip nat outside
Router(config)#ip nat inside source static tcp 10.1.1.1  80  202.1.1.1  80           (2)
Router(config)#ip nat inside source static tcp 10.1.1.2  21  202.1.1.1  21           (3)
Router(config)#ip nat inside source static tcp 10.1.1.2  20  202.1.1.1  20
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255                            (4)
Router(config)#ip nat inside source list 1 interface e1 overload                     (5)
Router(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.2                                (6)
命令解释:
(1):配置路由器接口IP地址及标记NAT的内部端口和外部端口
(2):当外部用户访问服务器202.1.1.1:80,路由器使用静态NAT的方式转到10.1.1.1:80
(3):当外部用户访问服务器202.1.1.1:21,路由器使用静态NAT的方式转到10.1.1.1:21(由于FTP问题较复杂,这儿仅以一种FTP的应用为例)
(4):配置标准访问控制列表,匹配内部10.1.1.0/24网络的主机
(5):配置PAT,允许内部10.1.1.0/24用户能够进行NAT转换
(6):配置静态路由,使经过NAT转换后的数据包能够发送至ISP

二、         地址交叉(地址重叠):
如果两个网络当前的网络地址出现相同的情况,且目前又需要两个网络之间相互直接通讯。这种情况被称之为地址重叠。如下图所示:
这时候可能出现多种情况:两个网络中都有双方需要访问的服务器

 


                        只有一方网络中有双方需要访问的服务器(如上图)
不同的网络情况,配置时略有不同。概括起来讲,解决这个问题有两种方案:
1、  静态转换
Router(config)#ip nat inside source static network 10.1.1.0 192.168.1.0 /24   (1)
Router(config)#ip nat outside source static network 10.1.1.0 192.168.2.0 /24  (2)
Router(config)#ip route 0.0.0.0 0.0.0.0 e1
Router(config)#int e0
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
注解:(1):把内部网络10.1.1.0转换成192.168.1.0,也就是说,对于外部网络而言,内部网络的地址是192.168.1.0/24
       (2):把外部网络10.1.1.0传输来的数据全部修改成192.168.2.0网段,也就是说,对于内部网络而言,外部真实10.1.1.0网络被认为是192.168.2.0网络。
2、  动态转换
Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255
Router(config)#ip nat pool in-pool 192.168.1.1 192.168.1.254 netmask 255.255.255.0
Router(config)#ip nat pool out-pool 192.168.2.1 192.168.2.254 netmask 255.255.255.0
Router(config)#ip nat inside list 1 pool in-pool
Router(config)#ip nat outside list 1 pool out-pool
Router(config)#ip route 0.0.0.0 0.0.0.0 e1
Router(config)#int e0
Router(config-if)#ip add 10.1.1.254 255.255.255.0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
该配置所得到的效果静态转换一样。在此不再多说。

三、         负载分担(流量分配):
随着企业的发展,企业的WWW服务器访问的用户越来越多,一台服务器已经不能满足当前的需要,更换一台高端服务器价格不菲,这时候可以使用NAT的流量分担功能。来解决企业当前的问题。如图所示:两台Web服务器承担着相当的WWW服务功能。对于外部用户而言,他们只知道该企业的WWW地址是200.1.1.1

 


基本配置如下:
Router(config)#ip nat pool wwwserver 10.1.1.1 10.1.1.2 prefix-length 24 type rotary
Router(config)#access-list 1 permit 200.1.1.1 0.0.0.0
Router(config)#ip nat inside destination list 1 pool wwwserver
Router(config)#int e0
Router(config-if)#ip nat inside
Router(config)#int e1
Router(config-if)#ip nat outside
第一条命令是用来建立一个内部服务器的地址池,一定要注意后面的type rotary,该参数用来分配流量。Access-list用来指定虚拟服务器地址。第三条命用来定义转换关系。最后在两个接口上调用NAT转换表。
注意,使用这种方法时,并不是最好的解决方案,相同的场景,以后会介绍更好的解决方案。
四、         控制NAT转换表大小:
1、  设置连接最大数量:该命令用来限制动态产生的转换表的条目
Router(config)#ip nat translation max-entries 最大数目
2、  设置超时值:动态产生的NAT转换条目,根据不同的服务有不同的超时值。
Router(config)#ip nat translation 协议时间 超时值

 

<< 适用于所有的2000系列、250... / 思科IOS软件命名规则简单介绍:... >>

专题推荐

不平凡的水果世界

不平凡的水果世界

平凡的水果世界,平凡中的不平凡。 今朝看水果是水果 ,看水果还是水果 ,看水果已不是水果。这境界,谁人可比?在不平凡的水果世界里,仁者见仁,智者见智。

中国春节的那些习俗

中国春节的那些习俗

正月是农历新年的开始,人们往往将它看作是新的一年年运好坏的兆示期。所以,过年的时候“禁忌”特别多。当然,各个地方的风俗习惯不一样,过年的禁忌也是不一样的。

评论
0/200
表情 验证码:

danyi2007

  • 文章总数0
  • 画报总数0
  • 画报点击数0
  • 文章点击数0
个人排行
        博文分类
        日期归档