網絡地址轉換——NAT技術

NAT能夠經過將內部網絡的私網IP地址轉換成全球惟一的公網IP地址,是內部的網絡能夠鏈接到互聯網等外部網絡上,普遍的應用於各類類型的互聯網接入方式和各類類型的網絡中。安全

NAT的優勢:
1.節省了公有合法的IP地址;
2.處理地址重疊;
3.加強了靈活性;
4.提升了私網地址的安全性;服務器

NAT的實現方式:
1.靜態轉換;
2.動態轉換;
3.PAT(基於端口的地址轉換);網絡

NAT對於地址轉換中的終端設備是透明的:tcp

簡單介紹一下NAT中的四種地址:
網絡地址轉換——NAT技術
內部局部地址:主機在內部使用的地址,通常是私有地址;
內部全局地址:主機在公網使用的地址,通常是公有地址;
外部全局地址:外部的主機在公網上使用的真是地址;
外部局部地址:主機訪問的地址。ide

NAT兩種轉換方式:
簡單轉換條目:只轉換IP;
擴輾轉換條目:轉換IP和端口。debug

靜態轉換NAT:1.由管理員手工設置;2.一對一映射;3.固定、永久;4.雙向;5.安全。應用環境:通常用於發佈服務器。(不須要配置ACL)code

動態轉換NAT:1.臨時生成的、動態的:2.同一時刻,也是一對一的;3.單向的。應用環境:內部客戶機不一樣時上網時。(須要配置ACL)blog

PAT:1.一個公網地址對應不少私網地址;經過端口號區分私網地址。應用環境:內部客戶機同時上網時。(須要配置ACL)接口

靜態轉換NAT實現步驟ip

R1(config-if)#ip nat inside source static 192.168.1.100 202.106.0.20
#把私網IP地址192.168.1.100轉換成公網IP地址202.106.0.20
R1(config)#int f1/0
R1(config-if)#ip nat inside 
#內部端口啓用NAT
R1(config-if)#int f0/0
R1(config-if)#ip nat outside 
#外部端口啓用NAT
R1(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2
#配置一條默認路由

這樣靜態NAT就已經轉換完成!

NAT端口映射

R1(config)#ip nat inside source static tcp 192.168.1.100 80 202.106.0.20 80  extendable 
#將私網IP地址192.168.1.100的80端口轉換成公網IP地址202.106.0.20的80端口

端口映射就配置完畢!

PAT配置步驟

R1(config)#access-list 1 permit  any
#定義內部訪問列表,容許全部內部地址
R1(config)#ip nat pool onlyone 202.106.0.20 202.106.0.20 netmask 255.255.255.0
#定義合法地址池名稱爲onlyone,合法地址範圍202.106.0.20,子網掩碼255.255.255.0 (因爲只有一個公網地址,因此開始地址和結束地址同樣)
R1(config)#ip nat inside source list 1 pool onlyone overload
#以端口複用的方式,將ACL1中的私網地址轉換爲定義的合法地址池onlyone中的公網地址
R1(config)#int f1/0
R1(config-if)#ip nat inside 
#內部端口啓用NAT
R1(config-if)#int f0/0
R1(config-if)#ip nat outside 
#外部端口啓用NAT
R1(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2
#配置一條默認路由

複用路由器外部接口地址步驟:
(有時只有一個外部地址,而且已經配置在路由器的外部接口上,這種狀況,在地址轉換過程當中,能夠直接使用接口的IP地址做爲轉換後的地址)

R1(config)#access-list 1 permit  any
#定義內部訪問列表,容許全部內部地址
R1(config)#ip nat inside source list 1 int f 0/0 overload 
#將ACL1中的私有地址轉換爲路由器外部接口的公有地址
R1(config)#int f1/0
R1(config-if)#ip nat inside 
#內部端口啓用NAT
R1(config-if)#int f0/0
R1(config-if)#ip nat outside 
#外部端口啓用NAT
R1(config)#ip route 0.0.0.0 0.0.0.0 202.106.0.2
#配置一條默認路由

PAT配置完成!

驗證NAT的配置經常使用的命令:

  • 使用show ip nat translations 命令顯示當前存在的轉換信息
  • 使用show ip nat statistics 命令顯示NAT的統計信息
  • 使用show ip nat translations verbose 命令顯示更詳細的信息
  • 使用clear ip nat translation * 命令刪除NAT表中的全部條目(不會刪除靜態轉換的條目)
  • 使用debug ip nat 命令顯示出每一個轉換的數據包

NAT故障處理思路:
1.是否設置了ACL,阻塞了進行過NAT或沒進行過NAT的流量;
2.定義須要進行的NAT的ACL時,漏掉了須要進行地址轉換的網絡;
3.在NAT語句中漏掉了overload關鍵字;

  1. 不對稱路由致使NAT失敗;
  2. NAT地址池和靜態NAT表中有重疊地址;
  3. inside和outside接口配置錯誤,以上狀況都會致使NAT轉換失敗。
相關文章
相關標籤/搜索