NAT地址转换要点

1、nat讲解1. network address translation ,网络地址转换，是将ip数据包头中的ip地 址转换为另一个ip地址的过程。在实际应用中，nat主要用于实现私有网 络访问公共网络的功能。这种通过使用少量的公有ip地址代表较多的私有ip地址的方式，将有助于减缓可用ip地址空间的枯竭。2. nat功能：nat不仅能解决ip地址不足的问题，而且还能够有效地避免来自 网络外部的攻击，隐藏并保护网络内部的计算机。1 .宽带分享：这是nat主机的最大功能。2 .安全防护：nat之内的pc联机到internet上面时，它所显示的ip是nat主机的公共ip ,所以client 端的pc当

2、然就具有一定程度的安全了， 外界在进行portscan (端口扫描)的时候，就侦测不到源client端的pc。3. nat实现方式：nat的实现方式有三种，即静态转换static nat 、动态转换dynamic nat 和端 口多路复用 overload。静态转换是指将内部网络的私有ip地址永久固定得转换为公有ip地址， 借助于静态转换，可以实现外部网络对内部网络中某些特定设备的访问。多 用于服务器动态转换是指将内部网络的私有ip地址转换为公用ip地址时，ip地址 是不确定的，是随机的，所有被授权访问上internet的私有ip地址可随机转换为任何指定的合法ip地址。即只要指定哪些内部地址可

3、以进行转换， 以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以 使用多个合法外部地址集。当isp提供的合法ip地址略少于网络内部的计 算机数量时。可以采用动态转换的方式。端口多路复用(port address translation,pat) 是指改变外出数据包的 源端口并进行端口转换，即端口地址转换(pa port address translation). 采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部ip地址实现对internet的访问，从而可以最大限度地节约ip地址资源。同时， 又可隐藏网络内部的所有主机，有效避免来自internet 的攻击。因此，目前

4、网络中应用最多的就是端口多路复用方式。4. 现在ip地址的适用情况，私有ip地址是指内部网络或主机的ip地址，公 有ip地址是指在因特网上全球唯一的ip地址。rfc1918为私有网络预留 出了三个ip地址块，如下：a 类： 55b 类： 55c 类： 55上述三个范围内的地址不会在因特网上被分配，因此可以不必向isp或注册中心申请而在公司或企业内部自由使用。5. 虽然natw以借助于某些代理服务器来实现，但考虑到运算成本和网络性能， 很多时候都是在路由器上来实现的

5、。6. napt(network address port translation ),即网络端口地址转换，可将多 个内部地址映射为一个合法公网地址，但以不同的协议端口号与不同的内部地址相对应，也就是 内部地址+内部端口 与外部地址+外部端口 之间的转 换。napt普遍用于接入设备中，它可以将中小型的网络隐藏在一个合法的 ip地址后面。nap他被称为“多对一”的 nat或者叫pat (port address translations ,端 口地址转换)、地址超载(address overloading )。7. naptw动态地址nat同，它将内部连接映射到外部网络中的一个单独的ip地址上，

6、同时在该地址上加上一个由 nat设备选定的tcp®口号。naptj得 上是一种较流行的na侬体，通过转换tcp或udpft、议端口号以及地址来提 供并发性。除了一对源和目的ip地址以外，这个表还包括一对源和目的协 议端口号，以及na端使用的一个协议端口号。nat-pt(network addresstranslation-protocol)附带协议转换器的网络地址转换器。是一种纯ipv6节点和ipv4节点间的互通方式，所有包括地址、 协议在内的转换工作都由网络设备来完成。8. pat的主要优势在于，能够使用一个全球有效ip地址获得通用性。主要缺点在于其通信仅限于tcp或udp当所有通

7、信都采用tcp udp pat允许一台 内部计算机访问多台外部计算机，并允许多台内部主机访问同一台外部计算 机，相互之间不会发生冲突。9. natx作原理借助于nat私有(保留)地址的“内部”网络通过路由器发送数据包时， 私有地址被转换成合法的ip地址，一个局域网只需使用少量ip地址(甚至 是1个)即可实现私有地址网络内所有计算机与internet的通信需求。natw自动修改ip报文的源ip地址和目的ip地址，ip地址校验则在 nat处理过程中自动完成。有些应用程序将源 ip地址嵌入到ip报文的数据 部分中，所以还需要同时对报文的数据部分进行修改，以匹配 ip头中已经 修改过的源ip地址。否则

8、，在报文数据部分嵌入ip地址的应用程序就不能 正常工作。10. nat-工作流程imernei vj朱阳:卬曲 上冏public ipf 梯:pppo 上的 public ip目 11hgz168.l1m>*1朱源：192电1 joonat主槌clicjk上图这个client（终端）的gateway （网关）设定为nat主机，所以当要连上internet 的时候，该封包就会被送到 nat主机，这个时候 的封包 header 之 source ip （源 ip） 为 00 ;透过这个nat主机，它会将 client的对外联机封包的source ip（192.168.1

9、.100 ） 伪装成ppp0 （假设为拨接情况）这个接口所具有 的公共ip ,因为是公共ip 了，所以这个封包就可以连上 internet 了，同时 nat主机并且会记忆这个联机的封包是由哪一个 （00 ） client端传送来的；箕世明倦由internet传送回来的封包，当然由nat主机来接收了，这个时候，nat主机会去查询原本记录的路由信息，并将目标ip由ppp0上面的公共ip改回原来的00;最后则由nat主机将该封包传送给原先发送封包的 client 。11. 常见问题1. nat的作用是什么？答：natb作用是把内网的私有地址，转化成外网的公

10、有地址，解决ip地址 数量紧缺问题。使得内部网络上的（被设置为私有 ip地址的）主机可以访 问internet。 nat还可以防止外部主机攻击内部主机（或服务器）2. nat分为哪几种？答：nat可以分为basic nat和pat-basic nat 只转化ip ,不映射端口。-pat除了华化ip,还做端口映射，可以用于多个内部地址映射到少量(甚 至一个)外部地址。nats可以分为静态 na用口动态nat-静态nat将内部网络中的每个主机都永久映射成外部网络中的某个合法 的地址，多用于服务器。-动态nat则是在外部网络中定义了一个或多个合法地址，采用动态分配 的方法映射到内部网络。12. 怎样

11、映射？如何将大量的内部地址，映射成少量的外部地址？对于第四层是tcp或udp勺数据包，nat!过更改源端口号，来实现多对少 的映射。例如：内部ip1ip4, 4个地址映射成外部一个地址ip5。(ip1 , portl )映射成(ip5, portl )(ip2, portl )映射成(ip5, port2 )(ip3, port2 )映射成(ip5, port3)(ip4, port2 )映射成(ip5, port4 )对于icmffe, nat®过更改icmp的id,来实现多对少的映射。13. natt什么弊端？在一个具有na砌能的路由器下的主机并没有建立真正的端对端连接，并且不能

12、参与一些因特网协议。一些需要初始化从外部网络建立的 tcp!接和使 用无状态协议(比如udp的服务将被中断。除非 nat路由器作一些具体的 努力，否则送来的数据包将不能到达正确的目的地址。(一些协议有时可以在应用层网关的辅助下，在参与 nat的主机之间容纳一个nat的实例，比如 ftr) nat也会使安全协议变的复杂。14. natw限性(1) nats反了 ip地址结构模型的设计原则。ip地址结构模型的基础是每 个ip地址均标识了一个网络的连接。internet的软件设计就是建立在这个 前提之上，而nats得有很多主机可能在使用相同的地址，如 。(2) nat更彳导ip协议从

13、面向无连接变成面向连接。nat必须维护专用ip地 址与公用ip地址以及端口号的映射关系。在 tcp/ip协议体系中，如果一个 路由器出现故障，不会影响到 tcpb议的执行。因为只要几秒收不到应答， 发送进程就会进入超时重传处理。而当存在nat时，最初设计的tcp/ip协议过程将发生变化，internet可能变得非常脆弱。(3) nat违反了基本的网络分层结构模型的设计原则。因为在传统的网络分层结构模型中，第n层是不能修改第n+1层的报头内容的。na顶坏了这种 各层独立的原则。(4)有些应用是将ip地址插入到正文的内容中，例如标准的ftp协议与ip phone协议h.323。如果nat与这一类协

14、议一起工作，那么 nat协议一定要 做适当地修正。同时，网络的传输层也可能使用 tcp与udpb议之外的其他 协议，那么nat协议必须知道并且做相应的修改。由于nat勺存在，使得p2p 应用实现出现困难，因为p2p的文件共享与语音共享都是建立在ip协议的 基础上的。(5) nat同时存在对高层协议和安全性的影响问题。nat酉己置1 .内部本地地址：私有ip ,不能直接用于互连网。内部全局地址：用来代替内部本地ip地址的，对外或在互联网上是合法的的ip地址。复用内部的全局地址：将一个内部全局地址用于同时代表多个内部局部地址。主要用ip地址和端口号的组合来唯一区分各个内部主机。目前在公司内普遍应用

15、。2 .静态nat的语法第一步，设置外部端口。interface serial 0ip address 29 48ip nat outside第二步，设置内部端口。interface ethernet 0ip address ip nat inside第三步，在内部本地与外部合法地址之间建立静态地址转换。ip nat inside source static内部本地地址内部合法地址。示例：ip nat inside source static 30将内

16、部网络地址 转换为合法ip地址30至此，静态地址转换配置完毕。一、/汪忠：从外网到内网建立静态映射后，外网能ping通内部全局地址( ), 如果使用真实地址，则访问失败，这是因为从外网没有到达内网的路由存在！3 .动态nat的语法第一步，设置外部端口。设置外部端口命令的语法如下：ip nat outside示例：interface serial 0 /进入串行端口 serial 0ip address 2992/ 将其 ip 地址指定为29,子网掩码为 255.2

17、55.255.192ip nat outside /将用行口 serial 0 设置为外网端口注意，可以定义多个外部端口。第二步，设置内部端口。设置内部接口命令的语法如下：ip nat inside示例：interface ethernet 0 /进入以太网端口 ethernet 0ip address / 将其 ip 地址 指定为,子网掩码为 ip nat inside / 将 ethernet 0 设置为内网端口。注意，可以定义多个内部端口。第三步，定义合法ip地址池。定义合法ip地址池命令

18、的语法如下：ip nat pool地址池名称起始ip地址 终止ip地址 子网掩码示例：ip nat pool chinanet 3090 netmask92/指明地址缓冲池的名称为 chinanet,ip 地址范围为 3090, 子网掩码为 92 。需要注意的 是，即使掩码为 ,也会由起始ip地址和终止ip地址对ip 地址池进行限制。或ip nat pool test 30 90 pre

19、fix-length 26第四步，定义内部网络中允许访问internet的访问列表。定义内部访问列表命令的语法如下：access-list 标号permit源地址通配符（其中，标号为1-99之间的整数） 示例：access-list 1 permit 55 /允许访问 internet 的网段为 55 ,反掩码为 55 。需要注意的是，在这里采用的是反掩码，而非子网掩码。第五步，实现网络地址转换。在全局设置模式下将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。命

20、令语法如下：ip nat inside source list访问列表标号pool内部合法地址池名字示例：ip nat inside source list 1 pool chinanet至此，动态地址转换设置完毕。4 . pat的语法第一步，设置外部端口。interface serial 0ip address 52ip nat outside第二步，设置内部端口。interface ethernet 0ip address ip nat inside第三步，定义合法ip地址池。ip na

21、t pool onlyone netmask 52/指明地址缓冲池的名称为 onlyone,ip地址范围为,子网掩 码为52。由于本例只有一个ip地址可用，所以，起始ip地 址与终止ip地址均为。如果有多个ip地址，则应当分别键入 起止的ip地址。第四步，定义内部访问列。access-list 1 permit 55允许访问internetr 的网段为55

22、,子网掩码为。需要注意的是，在这里子网掩码的顺序跟平常所写的顺序 相反，即 55 。第五步，设置复用动态地址转换。在全局设置模式下，设置在内部的本地地址与内部合法ip地址间建立复用动态地址转换。命令语法如下：ip nat inside source list 访问 列表号 pool内部合法地址池名字 overload示例：ip nat inside source list 1 pool onlyone overload/以端口复用方式，将访问列表1中的私有ip地址转换为onlyone ip地址 池中定义的合法ip地址。注意：overload是复用动态地址

23、转换的关键词。ip nat inside source list access-list-number pool pool-name overload:使用该命令定义访问控制列表与 nat内部全局地址池之间的映 射。ip nat outside source list access-list-number pool pool-name overload:使用该命令定义访问控制列表与 nat外部局部地址池之间的映 射。ip nat inside destination list access-list-number pool pool-name：使用该命令定义访问控制列表与终端natm址池之间的

24、映射。show ip nat translations :显示当前存在的 nat专换信息。show ip nat statistics :查看 nat的统计信息。show ip nat translations verbose :显示当前存在的 nat$专换的详细信息。debug ip nat :跟踪na做作，显示出每个被转换的数据包。clear ip nat translations *:删除na映射表中的所有内容.5.zlllzlogqo/ofellrfcuteropc-pt pconat配置实例293g0/lroute '条件：图示 要求：r0配置nat

25、r1不配置路由，使pc0能访问pc1步骤:1)路由器配置相应端口地址。rgrouter ： config) int go/o1 泉口口七：config-if)tno shutneuter：ennfig-iz)add 192 _168_1_1 255_2ss_2ss_0router ( ccinf ig-if jgo/1rcnitec ( cenfig-if)shutrouter (config-if) #ip add 211t 0. 121.2 25s . 2es _2es _ 0r1:久esutm工；cqei/zig，#int g0/0pouter config-if)tnc shutrou

26、ter <confadd 211.63,121,1 255.255,255.0routereonfig-if)#int go/1houtet(config-if)#no shutrcute2cn£ig-ifxp add 219.224.97,1 £三二255.255.02)路由器r0配置natu默认路由rcut-er (eonf igj #int g0/0rourer (ccnfig-if) tip nat insidereuter config-if) #int： g0/1reut er -： conf ig-if) #ip nat outs ideranter (

27、esnfig) #ip nat insilde sauree 11js t 110 int go/1 aver la adaoutee(ennzig)taceeas-list 110 permit ip any anyrouter(ronzig)tip routeq_o.0.0 211.sb.121.1从内网到外网建立汪忠:pat映射后，若不建立默认路由，则内网能 ping通外部全局地址( ),但如果ping外部本地地址，则访问失败，这是 因为从内网没有到达外网的路由存在!6.kserver-ptser vero192.16e,2.2fflo.'lfflo/2

28、2950-24 s witch 1lf«01x 356o24ps multilayer switcho2911rixitefo国5占pcm'pc2115.254 工 3293024switchopc-ptpcopc-pt192.16s,4.3条件:server 在 vlan2 , pc0在 vlan3 , pc1 在 vlan4 ,要求：server采用静态nat转换为0 ;内部网络地址 和采用pat转换为合法的外部地址。步骤：1）在二层交换机上创建 vlan、trunk并将端口加入到相

29、应的vlan中.switchconfig)tvlan 3switch<eonfigvlan)tvlan 4switch ： ccnfig-vlin)iexitswitchconfig)tint fo/1switch(eanfig-if)tsw vlan 3switch ： conrig-if)pint f0/2switch ( eronzig-if) ac vlan 4switch(config-if)tint fg/3switch ( config-if) f aw nicde trunk2）三层交换机开启路由功能；下联配置为“ trunk”，上联为路由口并配置ip地址；创建vlan并

30、配置inteface vlan ；配置默认路由；定义 inteface vlan2 、3、4 是 nat进口（inside ），上联端口是 nat出口(outside );内部服务区到外网的“静态nat ；将vlan2和vlan3的网段采用patw换合法的外部地址.；配置访问控制列表suit di (configlfip eoutingswiteii lesnfig') tint eange fo/1 r f 0/2switch. ： conf£-r a.ng ) tsw trunk en detswitch " conf ig-if-range ) #sw ina

31、de 匚zrumkswitch (config-ifeange) tint f 0/3switeh (corifig-if) *no swswix&ii ：eqnfig-±f) #ip add 219_224,97_2 £ss _2s5 _255 ,0swit.ch (config) tvlan. 2switch conf ig-vlian) vlan 3swi-tcii(ccnfig-vlan) fvlan. 4switchcanfig)tink vlan 2switch(config-if)sip add 255.256.255,0swi

32、tch(ccn=ig-if> tint vlan 3switch(config-if)#xp add 192.168,3,1 2s5-255,255.0switch.(eoniig-lf) f int vlan 4switch(ccnfig-if)flip add 192,16,4,1 2s5.2s5r255 r0switch(rcnzig)fip ecue* switch ： conzig)tint vlan 2switch ,： canigi£ ： #ip nat ingideswitch(caniig-if)tint vlan 3switch(canf±5-if)#ip nat insideswitch(canfig-if)tint vlan 4switch(eonfig-if)tip nat insidesviteh ： enn=ig-if) itint f 0/3switch ： conrig-if) it±p nat out a ide【定义nat的进出端口】switeh '： ccnf ig) #ip nat iaalde sauree static