NATPAT和代理服務(wù)器集成

NAT/PAT配置地址轉(zhuǎn)換出現(xiàn)的背景NAT的工作原理NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換NAT實(shí)現(xiàn)方式靜態(tài)轉(zhuǎn)換〔StaticTranslation〕動(dòng)態(tài)轉(zhuǎn)換〔DynamicTranslation〕端口多路復(fù)用〔PortAddressTranslation，PAT〕NAT概述NAT包含4類地址NAT的轉(zhuǎn)換條目簡單轉(zhuǎn)換條目擴(kuò)展轉(zhuǎn)換條目NAT的術(shù)語與轉(zhuǎn)換表NATInternetPC192.168.1.2目的IP=192.168.1.2源IP=203.51.23.55經(jīng)過路由器后的包目的IP=203.51.23.55源IP=192.168.1.2PC訪問服務(wù)器的包目的IP=125.25.65.3源IP=203.51.23.55服務(wù)器返回PC的包203.51.23.55目的IP=203.51.23.55源IP=125.25.65.3經(jīng)過路由器后的包轉(zhuǎn)換轉(zhuǎn)換內(nèi)部外部內(nèi)部局部地址外部局部地址外部全局地址內(nèi)部全局地址靜態(tài)轉(zhuǎn)換和動(dòng)態(tài)轉(zhuǎn)換

NAT實(shí)現(xiàn)方法的工作過程2-1Internet外部主機(jī)BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.1192.168.2.2172.20.7.3:2312345PATNAT實(shí)現(xiàn)方法的工作過程2-2Internet外部主機(jī)BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.1:1492192.168.2.2:1492172.20.7.3:23TCP10.1.1.2:1493192.168.2.2:1493172.20.7.3:8012345NAT的優(yōu)點(diǎn)節(jié)省公有合法IP地址處理地址重疊增強(qiáng)靈活性平安性NAT的缺點(diǎn)延遲增大配置和維護(hù)的復(fù)雜性不支持某些應(yīng)用，可以通過靜態(tài)NAT映射來防止NAT的特性NAT路由器平臺(tái)配置NAT配置步驟接口IP地址配置使用訪問控制列表定義哪些內(nèi)部主機(jī)能做NAT決定采用什么公有地址，靜態(tài)或地址池Router(config)#ipnatpoolpool-name

star-ip

end-ip{netmasknetmask|prefix-lengthprefix-length}[typerotary]指定地址轉(zhuǎn)換映射Router(config)#ipnatinsidesourcestaticlocal-ip

global-ip[extendable]Router(config)#ipnatinsidesourcelistaccess-list-numberpoolpool-name[overload]在內(nèi)部和外部端口上啟用NATNAT的配置定義地址池靜態(tài)NAT地址映射動(dòng)態(tài)NAT或PAT地址映射將內(nèi)網(wǎng)地址、靜態(tài)轉(zhuǎn)換為合法的外部地址、，以便訪問外網(wǎng)或被外網(wǎng)訪問靜態(tài)NAT配置4-1192.168.100.2～192.168.100.254/24………內(nèi)部網(wǎng)絡(luò)192.168.100.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF1/0F0/0設(shè)置外部端口的IP地址：設(shè)置內(nèi)部端口的IP地址：建立靜態(tài)地址轉(zhuǎn)換Router(config)#interfaceFastEthernet0/0Router(config-if)#noshut靜態(tài)NAT配置4-2Router(config)#interfaceFastEthernet1/0Router(config-if)#noshut在內(nèi)部和外部端口上啟用NAT配置默認(rèn)路由靜態(tài)NAT配置4-3Router(config)#interfaceFastEthernet0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet1/0Router(config-if)#ipnatinside靜態(tài)NAT配置4-4InternetSA192.168.100.2SA61.159.62.131DA61.159.62.131DA192.168.100.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.3NAT建立NAT端口映射關(guān)系配置實(shí)例NAT端口映射Router(config)#ipnatinsidesourcestaticprotocollocal-ipUDP/TCP-portglobal-ipUDP/TCP-port[extendable]Router(config)#ipnatinsidesourcestatictcp192.168.100.28061.159.62.1318080extendableInternet

8080192.168.100.280協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP192.168.100.2:8061.159.62.131:8080155.34.2.3將內(nèi)部地址～轉(zhuǎn)換為合法地址～，以便訪問Internet動(dòng)態(tài)NAT配置3-1172.168.100.2～172.168.100.254/24………內(nèi)部網(wǎng)絡(luò)172.168.100.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF0/0F1/0設(shè)置外部端口的IP地址：設(shè)置內(nèi)部端口的IP地址：動(dòng)態(tài)NAT配置3-2定義訪問控制列表定義合法IP地址池實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換在內(nèi)部和外部端口上啟用NAT，以及配置默認(rèn)路由與靜態(tài)NAT配置相同Router(config)#access-list1permit172.168.100.00.0.0.255Router(config)#ipnatpooltest061.159.62.13161.159.62.190netmask255.255.255.192Router(config)#ipnatinsidesourcelist1pooltest0Router(config)#interfaceFastEthernet0/0Router(config-if)#noshuRouter(config)#interfaceFastEthernet1/0Router(config-if)#noshu動(dòng)態(tài)NAT配置3-3InternetSA172.168.100.2SA61.159.62.131DA61.159.62.131DA172.168.100.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP172.168.100.261.159.62.131155.34.2.3TCP172.168.100.361.159.62.132155.34.2.3將內(nèi)部網(wǎng)絡(luò)地址～轉(zhuǎn)換為合法的地址，以便訪問InternetPAT配置5-110.1.1.2～10.1.1.254/24………內(nèi)部網(wǎng)絡(luò)10.1.1.161.159.62.130NAT內(nèi)部端口NAT外部端口InternetF0/0F1/0設(shè)置外部端口的IP地址：設(shè)置內(nèi)部端口的IP地址：PAT配置5-2

定義訪問控制列表：定義合法IP地址池：實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換：在內(nèi)部和外部端口上啟用NAT，以及配置默認(rèn)路由與靜態(tài)NAT配置相同Router(config)#access-list1permit10.1.1.00.0.0.255Router(config)#ipnatpoolonlyone61.159.62.13161.159.62.131netmask255.255.255.248Router(config)#ipnatinsidesourcelist1poolonlyoneoverload進(jìn)行端口復(fù)用Router(config)#interfaceFastEthernet0/0Router(config-if)#noshuRouter(config)#interfaceFastEthernet1/0Router(config-if)#noshuPAT配置5-3InternetSA10.1.1.2SA61.159.62.131DA61.159.62.131DA10.1.1.2NATNAT轉(zhuǎn)換表協(xié)議內(nèi)部用局部IP地址內(nèi)部用全局IP地址外部用全局IP地址TCP10.1.1.2:102861.159.62.131:1028155.34.2.3TCP10.1.1.2:1121261.159.62.131:11212155.34.2.3復(fù)用路由器外部接口地址PAT配置5-410.1.1.2～10.1.1.254/24………內(nèi)部網(wǎng)絡(luò)動(dòng)態(tài)IPInternetF0/0F1/0定義內(nèi)部訪問列表定義合法的IP地址池由于直接使用外部接口地址，所以不再定義IP地址池設(shè)置復(fù)用動(dòng)態(tài)IP地址轉(zhuǎn)換在內(nèi)部和外部端口上啟用NAT，以及配置默認(rèn)路由與靜態(tài)NAT配置相同PAT配置5-5Router(config)#ipnatinsidesourcelist1interfaceFastEthernet0/0overload外部接口驗(yàn)證NAT的配置查看NAT轉(zhuǎn)換條目Router#showipnattranslations[verbose]verbose：顯示詳細(xì)的NAT轉(zhuǎn)換條目信息Router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp207.35.18.2:6002192.168.1.3:6002207.35.14.83:6002207.35.14.83:6002icmp207.35.18.2:15488192.168.1.3:15488207.35.14.83:15488207.35.14.83:15488icmp207.35.18.2:14225192.168.1.2:14225207.35.14.83:14225207.35.14.83:14225icmp207.35.18.2:14481192.168.1.2:14481207.35.14.83:14481207.35.14.83:14481---207.35.18.6192.168.2.2------Router#showipnattranslationsverboseProInsideglobalInsidelocalOutsidelocalOutsideglobalIcmp207.35.18.2:31634192.168.1.2:31634207.35.14.83:31634207.35.14.83:31634create00:00:14,use00:00:14timeout:60000,left00:00:45,Map-Id(In):1,flags:extended,use_count:0,entry-id:36,lc_entries:0---207.35.18.6192.168.2.2------create00:34:40,use00:27:57timeout:0,flags:static,use_count:0,entry-id:1,lc_entries:0靜態(tài)NAT條目PAT動(dòng)態(tài)條目協(xié)議內(nèi)部全局地址內(nèi)部局部地址外部局部地址外部全局地址NAT轉(zhuǎn)換條目的創(chuàng)立時(shí)間、使用時(shí)間、超時(shí)時(shí)間值靜態(tài)NAT條目永遠(yuǎn)存在查看NAT統(tǒng)計(jì)信息Router#showipnatstatistics默認(rèn)情況下UDP超時(shí)值：5分鐘DNS超時(shí)值：1分鐘TCP超時(shí)值：24小時(shí)更改超時(shí)時(shí)間配置NAT轉(zhuǎn)換條目超時(shí)時(shí)間Router(config)#ipnattranslation{dns-timeout|icmp-timeout|tcp-timeout|udp-timeout}{seconds|never}去除NAT轉(zhuǎn)換表中的所有條目Router#clearipnattranslation*去除包含內(nèi)部轉(zhuǎn)換的轉(zhuǎn)換條目Router#clearipnattranslationinsidelocal-ipglobal-ip去除包含外部轉(zhuǎn)換的轉(zhuǎn)換條目Router#clearipnattranslationoutsidelocal-ipglobal-ip去除NAT轉(zhuǎn)換條目靜態(tài)NAT條目不會(huì)被去除常見問題ACL阻止轉(zhuǎn)換后的流量進(jìn)行地址轉(zhuǎn)換的ACL不全overload參數(shù)漏配不對稱路由問題動(dòng)態(tài)地址池IP地址范圍配置錯(cuò)誤動(dòng)態(tài)地址池與靜態(tài)轉(zhuǎn)換地址重疊Inside和outside接口配置錯(cuò)誤NAT的故障處理2-1NAT故障的排除檢查物理設(shè)備和NAT配置通過show命令查看NAT的各種信息通過debugipnat命令跟蹤NAT操作NAT故障處理2-2R1#debugipnatIPNATdebuggingison*Mar100:03:56.875:NAT:s=192.168.4.2->145.52.23.2,d=1.1.1.1[52225]*Mar100:03:57.667:NAT*:s=192.168.4.2->145.52.23.2,d=1.1.1.1[52481]*Mar100:03:57.811:NAT*:s=1.1.1.1,d=145.52.23.2->192.168.4.2[52481]s＝表示源地址是d＝表示目的地址是表示將地址轉(zhuǎn)換為145.52.23.2NAT硬件防火墻配置在硬件防火墻上啟用NAT控制InsideLocalOutsideMappedPool10.0.0.11192.168.0.20TranslationTableNATInternetfw1(config)#nat-controlnat[(if_name)]nat_id

address[netmask][dns][[tcp]tcp_max_conns[emb_limit][norandomseq]]][udpudp_max_conns]firewall(config)#nat

命令啟用IP地址轉(zhuǎn)換fw1(config)#nat(inside)10.0.0.00.0.0.000NATInternetglobal

命令例子：fw1(config)#nat(inside)1fw1(config)#global(outside)1

firewall(config)#global[(if_name)]nat_id{mapped_ip[-mapped_ip]

[netmaskmapped_mask]}|interfaceNATInternetrouteif_name

ip_address

netmask

gateway_ip[metric]firewall(config)#route

命令為接口定義靜態(tài)或默認(rèn)路由fw1(config)#routeoutside0.0.0.00.0.0.0192.168.0.11fw1(config)#routeinside10.0.1.0255.255.255.010.0.0.1021DefaultRouteStaticRouteInternetfw1(config)#namesfw1(config)#name172.16.0.2bastionhostfw1(config)#name10.0.0.11insidehost主機(jī)名到IP的映射：NAME命令在防火墻上配置一個(gè)名稱到IP的映射nameip_addressnamefirewall(config)#“bastionhost”.2.1.1.11“insidehost”配置例子writ