NAT工作原理及其配置方法

1、第十九章網絡地址翻譯 NATNAT網絡地址翻譯 n隨著Internet的飛速發(fā)展，網上豐富的資源產生著巨大的吸引力n接入Internet成為當今信息業(yè)最為迫切的需求n但這受到IP地址的許多限制n首先，許多局域網在未聯(lián)入Internet之前，就已經運行許多年了，局 域網上有了許多現(xiàn)成的資源和應用程序，但它的IP地址分配不符合 Internet的國際標準，因而需要重新分配局域網的IP地址，這無疑是 勞神費時的工作n其二，隨著Internet的膨脹式發(fā)展，其可用的IP地址越來越少，要想 在ISP處申請一個新的IP地址已不是很容易的事了nNAT（網絡地址翻譯）能解決不少令人頭疼的問題n它解決問題的辦法

2、是：在內部網絡中使用內部地址，通過NAT把內部地址翻譯成合法的IP地址，在Internet上使用n其具體的做法是把IP包內的地址池（內部本地）用合法的IP地址段（內部全局）來替換Chapter ActivitiesWindows 95 PCModemBranch officeISDN/analogSmall officeCentral siteFrame RelayFrame RelayservicePRIBRIBRIFrame RelayAsyncAAA serverAsyncSA10.1.1.1166.1.1.1SAInside Local IP Address10.1.1.1Inside

3、 Global IP Address166.1.1.1NAT table PATnNAT 術語nNAT 功能nNAT 三種類型NAT 術語InternetInside10.1.1.1Inside Local IP Address10.1.1.1Simple NAT tableInside Global IP Address166.1.1.110.1.1.2Host B172.20.7.3ACBABDSA10.1.1.1DA10.1.1.1SA166.1.1.1DA166.1.1.1DCn內部本地地址:私有IP，不能直接用于互連網。n內部全局地址：用來代替內部本地IP地址的，對外，或在互聯(lián)網上是

4、合法的的IP地址。NAT 功能Inside Local IP Address10.1.1.110.1.1.2NAT tableInside Global IP Address196.168.2.2196.168.2.3nNAT 功能:q內部網絡地址轉換q復用內部的全局地址qTCP 負載均衡q解決網絡地址重疊InternetInside10.1.1.110.1.1.2復用內部的全局地址n將一個內部全局地址用于同時代表多個內部局部地址。n主要用IP地址和端口號的組合來唯一區(qū)分各個內部主機。n目前在公司內普遍應用。復用內部的全局地址10.1.1.2:172310.1.1.1:1024NAT tabl

5、e196.168.2.2:1723196.168.2.2:1024TCPTCP10.1.1.3:1492196.168.2.2:1492TCPInternetInside10.1.1.1Host B179.20.7.313SA10.1.1.1DA10.1.1.1SA196.168.2.2DA196.168.2.210.1.1.210.1.1.3452Host C179.21.7.3DA196.168.2.24Inside Global IP Address: PortProtocolInside Local IP Address: Port10.1.1.1NAT三種類型nNAT有三種類型：靜態(tài)

6、NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。n其中靜態(tài)NAT設置起來最為簡單，內部網絡中的每個主機都被永久映 射成 外部網絡中的某個合法的地址,多用于服務器。n而NAT池則是在外部網絡中定義了一系列的合法地址，采用動態(tài)分配 的方法映射到內部網絡,多用于網絡中的工作站。nPAT則是把內部地址映射到外部網絡的一個IP地址的不同端口上。靜態(tài)NAT（staticNAT）語法n第一步，設置外部端口。 ninterface serial 0 nip address 61.159.62.129 255.255.255.248 nip nat outsiden第二步，設

7、置內部端口。 ninterface ethernet 0 nip address 192.168.0.1 255.255.255.0 nip nat inside靜態(tài)NAT（staticNAT）語法n第三步，在內部本地與外部合法地址之間建立靜態(tài)地址轉換。 nip nat inside source static 內部本地地址內部合法地址。 n示例： nip nat inside source static 192.168.0.2 61.159.62.130 n/將內部網絡地址192.168.0.2轉換為合法IP地址61.159.62.130 nip nat inside source stat

8、ic 192.168.0.3 61.159.62.131 n/將內部網絡地址192.168.0.3轉換為合法IP地址61.159.62.131 nip nat inside source static 192.168.0.4 61.159.62.132 n/將內部網絡地址192.168.0.4轉換為合法IP地址61.159.62.132 n至此，靜態(tài)地址轉換配置完畢。NAT靜態(tài)映射實例ninterface Ethernet0nip address 172.16.1.1 255.255.255.0nip nat inside（指定內部接口）n!ninterface Serial0n ip add

9、ress 200.1.1.1 255.255.255.0n ip nat outside （指定外部接口）n!nip nat inside source static 172.16.1.3 200.1.1.1n(建立兩個IP地址之間的靜態(tài)映射)nip classlessnip route 0.0.0.0 0.0.0.0 200.1.1.2n注意：n從外網到內網建立靜態(tài)映射后，外網能PING通內部全局地址（200.1.1.1）,如果使用真實地址，則訪問失敗，這是因為從外網沒有到達內網的路由存在！nPing 172.16.1.3 nPing 200.1.1.5 !動態(tài)NAT （pooledNAT）

10、語法n第一步，設置外部端口。 n設置外部端口命令的語法如下： nip nat outside n示例： ninterface serial 0 /進入串行端口serial 0 nip address 61.159.62.129 255.255.255.192/將其IP地址指定為61.159.62.129,子網掩碼為255.255.255.192 nip nat outside /將串行口serial 0設置為外網端口 n注意，可以定義多個外部端口。 動態(tài)NAT （pooledNAT）語法n第二步，設置內部端口。 n設置內部接口命令的語法如下： nip nat inside n示例： ninte

11、rface ethernet 0 /進入以太網端口Ethernet 0 nip address 172.16.100.1 255.255.255.0 / 將其IP地址指定為172.16.100.1,子網掩碼為255.255.255.0 nip nat inside /將Ethernet 0 設置為內網端口。 n注意，可以定義多個內部端口。 動態(tài)NAT （pooledNAT）語法n第三步，定義合法IP地址池。 n定義合法IP地址池命令的語法如下： nip nat pool 地址池名稱 起始IP地址 終止IP地址 子網掩碼 n示例： nip nat pool chinanet 61.159.62.

12、130 61.159.62.190 netmask 255.255.255.192 n/指明地址緩沖池的名稱為chinanet,IP地址范圍為61.159.62.13061.159.62.190,子網掩碼為255.255.255.192。需要注意的是，即使掩碼為255.255.255.0，也會由起始IP地址和終止IP地址對IP地址池進行限制。 n或nip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26動態(tài)NAT （pooledNAT）語法n第四步，定義內部網絡中允許訪問Internet的訪問列表。 n定義內部訪問列表命令的語

13、法如下： naccess-list 標號 permit 源地址通配符（其中，標號為1-99之間的整數(shù)）n示例： naccess-list 1 permit 172.16.100.0 0.0.0.255 /允許訪問Internet的網段為172.16.100.0172.16.100.255，反掩碼為0.0.0.255。n需要注意的是，在這里采用的是反掩碼，而非子網掩碼。反掩碼與子網掩碼的關系為：反掩碼+子網掩碼=255.255.255.255。例如，子網掩碼為255.255.0.0，則反掩碼為0.0.255.255；子網掩碼為255.255.255.192，則反掩碼為0.0.0.63。 動態(tài)NA

14、T （pooledNAT）語法n第五步，實現(xiàn)網絡地址轉換。 n在全局設置模式下將由access-list指定的內部本地地址與指定的內部合法地址池進行地址轉換。n命令語法如下： nip nat inside source list 訪問列表標號 pool 內部合法地址池名字 n示例： nip nat inside source list 1 pool chinanet n至此，動態(tài)地址轉換設置完畢。 ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0ip nat inside source list 1 pool d

15、yn-nat!interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface Serial0 ip address 192.16.2.1 255.255.255.0 ip nat outside! access-list 1 permit 10.1.1.0 0.0.0.255!動態(tài)NAT的配置Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network. Thi

16、s interface connected to the outside world. This interface connected to the inside network. 端口復用動態(tài)地址轉換(PAT)語法n第一步，設置外部端口。 ninterface serial 0 nip address 202.99.160.1 255.255.255.252 nip nat outside 端口復用動態(tài)地址轉換(PAT)語法n第二步，設置內部端口。 ninterface ethernet 0 nip address 10.100.100.1 255.255.255.0 nip nat in

17、side 端口復用動態(tài)地址轉換(PAT)語法n第三步，定義合法IP地址池。 nip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 n/ 指明地址緩沖池的名稱為onlyone,IP地址范圍為202.99.160.2,子網掩碼為255.255.255.252。由于本例只有一個IP地址可用，所以，起始IP地址與終止IP地址均為202.99.160.2。如果有多個IP地址，則應當分別鍵入起止的IP地址。端口復用動態(tài)地址轉換(PAT)語法n第四步，定義內部訪問列。 naccess-list 1 permit 10.1

18、00.100.0 0.0.0.255 n允許訪問Internetr的網段為10.100.100.010.100.100.255，子網掩碼為255.255.255.0。需要注意的是，在這里子網掩碼的順序跟平常所寫的順序相反，即0.0.0.255。 端口復用動態(tài)地址轉換(PAT)語法n第五步，設置復用動態(tài)地址轉換。 n在全局設置模式下，設置在內部的本地地址與內部合法IP地址間建立復用動態(tài)地址轉換。n命令語法如下： nip nat inside source list訪問列表號 pool 內部合法地址池名字 overload n示例： nip nat inside source list1 pool

19、 onlyone overload n/以端口復用方式，將訪問列表1中的私有IP地址轉換為onlyone IP地址池中定義的合法IP地址。 n注意：overload是復用動態(tài)地址轉換的關鍵詞。 PAT的配置ip nat pool ovrld-nat 192.16.2.1 192.16.2.2 netmask 255.255.255.0ip nat inside source list 1 pool ovrld-nat overload!interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface

20、Serial0/0 ip address 192.16.2.1 255.255.255.0 ip nat outside!access-list 1 permit 10.1.1.0 0.0.0.255Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.2.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.2.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3

21、:23Verifying NATA translation for a Telnet is still active. Two different inside hosts appear on the outside with a single IP address.Basic IP address translation Unique TCP port numbers are used to distinguishbetween hosts. Router#show ip nat transPro Inside globalInside localOutside local Outside

22、global-192.2.2.110.1.1.1- - -192.2.2.210.1.1.2- -IP address translation with overloadingRouter#debug ip natNAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 0NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 0NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 1NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 2NAT: s=10.1.1.1-192.

23、16.2.1, d=172.166.2.2 3NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 1NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 4NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 5NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 6NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 2Troubleshooting NATAn example address translation inside-to-

24、outside.A reply to the packet sent.An example TCP conversation, inside-to-outside.* Indicates translation was in the fast path.Clearing NAT Translation EntriesAll entries are cleared.192.16.2.2 is cleared.Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.16.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23router#clear ip nat trans *router#router#show ip nat trans router#show ip nat transPro Inside global Inside local Outside localOutside globaludp 192.16.2.2:1220 10.1.1.