NAT地址轉換——理論篇

NAT地址轉換

NAT實現方式

靜態轉換（Static Translation）

動態轉換（Dynamic Translation）

端口多路複用（Port Address Translation，PAT）

NAT轉換過程

注意點：

私網→公網	公網→私網
先查路由表再查詢NAT錶轉換成公網地址	先查詢NAT錶轉換再查路由表

在局域網中的源、目標IP爲（內部|外部）局部地址

在公網中的源、目標IP爲（內部|外部）全局地址

NAT的轉換條目

簡單轉換條目：只針對IP地址

擴輾轉換條目：針對IP地址、端口

進行NAT轉換的優缺點

優勢	缺點
能夠節省公有合法的IP地址	致使延遲增大
有效處理地址重疊	配置和維護較爲複雜
加強靈活性	不支持部分應用（可經過靜態NAT映射來避免）
安全（別人沒法看到你的真實地址、你也沒法看到別人的公有地址）*

靜態NAT配置步驟

設置外部端口IP地址

Router(config)#interface FastEthernet 0/0                   //進入外部端口
Router(config-if)#ip address *.*.*.* *.*.*.*                //設定外部IP地址和子網掩碼

設置內部端口IP地址

Router(config)#interface FastEthernet 1/0                   //進入內部端口
Router(config-if)#ip address *.*.*.* *.*.*.*                //設定內部IP地址和子網掩碼

創建靜態地址轉換

Router(config)#ip nat inside source static *.*.*.* *.*.*.*    //創建地址轉換，前一個爲內部地址；後一個爲轉換後的地址

在內部和外部端口啓用NAT

Router(config)#interface FastEthernet 1/0                   //進入內部端口
Router(config)#ip nat inside                                //內部啓用
Router(config)#interface FastEthernet 0/0                   //進入外部端口
Router(config)#ip nat outside                               //外部啓用

NAT端口映射

配置內外端口IP

​ 配置方法同靜態NAT

創建NAT端口映射關係

Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port[extendable]

實例：

Router(config)#ip nat inside source static tcp 192.168.100.2 80 8.8.8.8 8080 extendable

該命令行的意思爲：將內部網絡中的192.168.100.2主機的80端口提供的web服務，映射到外部網絡中的8.8.8.8的8080端口，外部網絡訪問時只能經過訪問公有地址8.8.8.8的8080端口達到訪問web服務的目的。

動態NAT配置步驟

配置內外端口IP

​ 配置方法同靜態NAT

定義訪問控制列表 ——標準ACL、擴展ACL、命名ACL皆可

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255    //容許該網段中全部主機經過

定義合法IP地址池

Router(config)#ip nat pool test 61.159.62.2 61.159.62.10 netmask 255.255.255.0      //定義從61.159.62.2到61.159.62.10的地址池

實現網絡地址轉換

Router(config)#ip nat inside source list 1 pool test

在內部和外部端口啓用NAT

Router(config)#interface FastEthernet 1/0                   //進入內部端口
Router(config)#ip nat inside                                //內部啓用
Router(config)#interface FastEthernet 0/0                   //進入外部端口
Router(config)#ip nat outside                               //外部啓用

PAT配置步驟

1、須要定義IP地址池進行指定

配置內外端口IP

​ 配置方法同靜態NAT

定義訪問控制列表

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255    //容許100網段經過

定義合法IP地址池

Router(config)#ip nat pool onlyone 12.0.0.10 12.0.0.10 netmask 255.255.255.0   //定義惟一IP地址做爲外部全局地址

實現網絡地址轉換

Router(config)#ip nat inside source list 1 pool onlyone overload     //調用ACL實現轉換

在內部和外部端口啓用NAT

​ 配置方法等同靜態NAT

2、不定義IP地址池進行指定

配置內外端口IP

​ 配置方法同靜態NAT

定義訪問控制列表

Router(config)#access-list 1 permit 192.168.100.0 0.0.0.255    //容許100網段經過

定義合法IP地址池

​ 該方法直接使用外部接口地址做爲外部全局地址，因此再也不定義IP地址池。

實現網絡地址轉換

Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload     //調用外部接口地址實現轉換

在內部和外部端口啓用NAT

​ 配置方法等同靜態NAT

以上，即是有關NAT地址轉換的理論知識。下一篇，將是實驗操做，敬請期待。。。。。。

未完待續