NAT工作原理及其配置方法

1、第十九章 网络地址翻译 NAT NAT网络地址翻译 n随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力 n接入Internet成为当今信息业最为迫切的需求 n但这受到IP地址的许多限制 n首先，许多局域网在未联入Internet之前，就已经运行许多年了， 局 域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合 Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是 劳神费时的工作 n其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要 想 在ISP处申请一个新的IP地址已不是很容易的事了 nNAT（网络地址翻译）能解决不少令人头疼的 问

2、题 n它解决问题的办法是：在内部网络中使用内部 地址，通过NAT把内部地址翻译成合法的IP地 址，在Internet上使用 n其具体的做法是把IP包内的地址池（内部本地） 用合法的IP地址段（内部全局）来替换 Chapter Activities Windows 95 PCModem Branch office ISDN/analog Small office Central site Frame Relay Frame Relay service PRI BRI BRI Frame Relay Async AAA server Async SA 10.1.1.1 166.1.1.1 SA I

3、nside Local IP Address 10.1.1.1 Inside Global IP Address 166.1.1.1 NAT table PAT nNAT 术语 nNAT 功能 nNAT 三种类型 NAT 术语 Internet Inside 10.1.1.1 Inside Local IP Address 10.1.1.1 Simple NAT table Inside Global IP Address 166.1.1.1 10.1.1.2 Host B 172.20.7.3 A C B A B D SA 10.1.1.1 DA 10.1.1.1 SA 166.1.1.1

4、DA 166.1.1.1 D C n内部本地地址:私有IP，不能直接用于互连网。 n内部全局地址：用来代替内部本地IP地址的， 对外，或在互联网上是合法的的IP地址。 NAT 功能 Inside Local IP Address 10.1.1.1 10.1.1.2 NAT table Inside Global IP Address 196.168.2.2 196.168.2.3 nNAT 功能: q内部网络地址转换 q复用内部的全局地址 qTCP 负载均衡 q解决网络地址重叠 Internet Inside 10.1.1.1 10.1.1.2 复用内部的全局地址 n将一个内部全局地址用于同时

5、代表多个内部局 部地址。 n主要用IP地址和端口号的组合来唯一区分各个 内部主机。 n目前在公司内普遍应用。 复用内部的全局地址 10.1.1.2:1723 10.1.1.1:1024 NAT table 196.168.2.2:1723 196.168.2.2:1024 TCP TCP 10.1.1.3:1492196.168.2.2:1492TCP Internet Inside 10.1.1.1 Host B 179.20.7.3 1 3 SA 10.1.1.1 DA 10.1.1.1 SA 196.168.2.2 DA 196.168.2.2 10.1.1.2 10.1.1.3 4 5

6、 2 Host C 179.21.7.3 DA 196.168.2.2 4 Inside Global IP Address: Port Protocol Inside Local IP Address: Port10.1.1.1 NAT三种类型 nNAT有三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和 端口NAT（PAT）。 n其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久 映 射成 外部网络中的某个合法的地址,多用于服务器。 n而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分 配 的方法映射到内部网络,多用于网络中的工作站。 nPAT

7、则是把内部地址映射到外部网络的一个IP地址的不同端口上。 静态NAT（staticNAT）语法 n第一步，设置外部端口。 ninterface serial 0 nip address 61.159.62.129 255.255.255.248 nip nat outside n第二步，设置内部端口。 ninterface ethernet 0 nip address 192.168.0.1 255.255.255.0 nip nat inside 静态NAT（staticNAT）语法 n第三步，在内部本地与外部合法地址之间建立静态地址转换。 nip nat inside source sta

8、tic 内部本地地址内部合法地址。 n示例： nip nat inside source static 192.168.0.2 61.159.62.130 n/将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130 nip nat inside source static 192.168.0.3 61.159.62.131 n/将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131 nip nat inside source static 192.168.0.4 61.159.62.132 n/将内部网络地址192.168.0.4转换为合法I

9、P地址61.159.62.132 n至此，静态地址转换配置完毕。 NAT静态映射实例 ninterface Ethernet0 nip address 172.16.1.1 255.255.255.0 nip nat inside（指定内部接口） n! ninterface Serial0 n ip address 200.1.1.1 255.255.255.0 n ip nat outside （指定外部接口） n! nip nat inside source static 172.16.1.3 200.1.1.1 n(建立两个IP地址之间的静态映射) nip classless nip r

10、oute 0.0.0.0 0.0.0.0 200.1.1.2 n注意： n从外网到内网建立静态映射后，外网能PING 通内部全局地址（200.1.1.1）,如果使用真实 地址，则访问失败，这是因为从外网没有到达 内网的路由存在！ nPing 172.16.1.3 nPing 200.1.1.5 ! 动态NAT （pooledNAT）语法 n第一步，设置外部端口。 n设置外部端口命令的语法如下： nip nat outside n示例： ninterface serial 0 /进入串行端口serial 0 nip address 61.159.62.129 255.255.255.192/将其

11、IP 地址指定为61.159.62.129,子网掩码为 255.255.255.192 nip nat outside /将串行口serial 0设置为外网端口 n注意，可以定义多个外部端口。 动态NAT （pooledNAT）语法 n第二步，设置内部端口。 n设置内部接口命令的语法如下： nip nat inside n示例： ninterface ethernet 0 /进入以太网端口Ethernet 0 nip address 172.16.100.1 255.255.255.0 / 将其IP地 址指定为172.16.100.1,子网掩码为255.255.255.0 nip nat in

12、side /将Ethernet 0 设置为内网端口。 n注意，可以定义多个内部端口。 动态NAT （pooledNAT）语法 n第三步，定义合法IP地址池。 n定义合法IP地址池命令的语法如下： nip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 n示例： nip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192 n/指明地址缓冲池的名称为chinanet,IP地址范围为 61.159.62.13061.159.62.190,子网掩码为255.255.255.192。需 要注意的是

13、，即使掩码为255.255.255.0，也会由起始IP地址和终 止IP地址对IP地址池进行限制。 n或 nip nat pool test 61.159.62.130 61.159.62.190 prefix- length 26 动态NAT （pooledNAT）语法 n第四步，定义内部网络中允许访问Internet的访问列 表。 n定义内部访问列表命令的语法如下： naccess-list 标号 permit 源地址通配符（其中，标号为 1-99之间的整数） n示例： naccess-list 1 permit 172.16.100.0 0.0.0.255 /允许访 问Internet的网

14、段为172.16.100.0172.16.100.255， 反掩码为0.0.0.255。 n需要注意的是，在这里采用的是反掩码，而非子网掩 码。反掩码与子网掩码的关系为：反掩码+子网掩码 =255.255.255.255。例如，子网掩码为255.255.0.0， 则反掩码为0.0.255.255；子网掩码为 255.255.255.192，则反掩码为0.0.0.63。 动态NAT （pooledNAT）语法 n第五步，实现网络地址转换。 n在全局设置模式下将由access-list指定的内部 本地地址与指定的内部合法地址池进行地址转 换。 n命令语法如下： nip nat inside sou

15、rce list 访问列表标号 pool 内 部合法地址池名字 n示例： nip nat inside source list 1 pool chinanet n至此，动态地址转换设置完毕。 ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0 ip nat inside source list 1 pool dyn-nat ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0 ip addr

16、ess 192.16.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255 ! 动态NAT的配置 Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network. This interface connected to the outside world. This interface connected to the inside network. 端口复用

17、动态地址转换(PAT)语法 n第一步，设置外部端口。 ninterface serial 0 nip address 202.99.160.1 255.255.255.252 nip nat outside 端口复用动态地址转换(PAT)语法 n第二步，设置内部端口。 ninterface ethernet 0 nip address 10.100.100.1 255.255.255.0 nip nat inside 端口复用动态地址转换(PAT)语法 n第三步，定义合法IP地址池。 nip nat pool onlyone 202.99.160.2 202.99.160.2 netmask

18、255.255.255.252 n/ 指明地址缓冲池的名称为onlyone,IP地址范 围为202.99.160.2,子网掩码为 255.255.255.252。由于本例只有一个IP地址 可用，所以，起始IP地址与终止IP地址均为 202.99.160.2。如果有多个IP地址，则应当分 别键入起止的IP地址。 端口复用动态地址转换(PAT)语法 n第四步，定义内部访问列。 naccess-list 1 permit 10.100.100.0 0.0.0.255 n允许访问Internetr的网段为 10.100.100.010.100.100.255，子网掩码为 255.255.255.0。需

19、要注意的是，在这里子网 掩码的顺序跟平常所写的顺序相反，即 0.0.0.255。 端口复用动态地址转换(PAT)语法 n第五步，设置复用动态地址转换。 n在全局设置模式下，设置在内部的本地地址与内部合 法IP地址间建立复用动态地址转换。 n命令语法如下： nip nat inside source list访问列表号 pool 内部合法地 址池名字 overload n示例： nip nat inside source list1 pool onlyone overload n/以端口复用方式，将访问列表1中的私有IP地址转换 为onlyone IP地址池中定义的合法IP地址。 n注意：ove

20、rload是复用动态地址转换的关键词。 PAT的配置 ip nat pool ovrld-nat 192.16.2.1 192.16.2.2 netmask 255.255.255.0 ip nat inside source list 1 pool ovrld-nat overload ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0/0 ip address 192.16.2.1 255.255.255.0 ip nat outside ! access-l

21、ist 1 permit 10.1.1.0 0.0.0.255 Router#sh ip nat trans Pro Inside global Inside local Outside local Outside global tcp 192.2.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23 tcp 192.2.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23 Verifying NAT A translation for a Telnet is still active. Two

22、 different inside hosts appear on the outside with a single IP address. Basic IP address translation Unique TCP port numbers are used to distinguish between hosts. Router#show ip nat trans Pro Inside globalInside localOutside local Outside global -192.2.2.110.1.1.1- - -192.2.2.210.1.1.2- - IP addres

23、s translation with overloading Router#debug ip nat NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 0 NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 0 NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 1 NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 2 NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 3 NAT*: s=172.166.2.2, d=192.1

24、6.2.1-10.1.1.1 1 NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 4 NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 5 NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 6 NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 2 Troubleshooting NAT An example address translation inside-to-outside. A reply to the packet sent. An examp

25、le TCP conversation, inside-to-outside. * Indicates translation was in the fast path. Clearing NAT Translation Entries All entries are cleared. 192.16.2.2 is cleared. Router#sh ip nat trans Pro Inside global Inside local Outside local Outside global tcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23 tcp 192.16.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23 router#clear ip nat trans * router# router#show ip nat trans router#show ip nat trans Pro Inside global Inside local Outside localOutside global udp 192.16.2.2:1220 10.1.1.2:1120 171.69.2.13