NAT工作原理及其配置方法

1、第十九章网络地址翻译 NATNAT网络地址翻译 n随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力n接入Internet成为当今信息业最为迫切的需求n但这受到IP地址的许多限制n首先，许多局域网在未联入Internet之前，就已经运行许多年了，局 域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合 Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是 劳神费时的工作n其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要想 在ISP处申请一个新的IP地址已不是很容易的事了nNAT（网络地址翻译）能解决不少令人头疼的问题n它解决问题的办法

2、是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用n其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换Chapter ActivitiesWindows 95 PCModemBranch officeISDN/analogSmall officeCentral siteFrame RelayFrame RelayservicePRIBRIBRIFrame RelayAsyncAAA serverAsyncSA10.1.1.1166.1.1.1SAInside Local IP Address10.1.1.1Inside

3、 Global IP Address166.1.1.1NAT table PATnNAT 术语nNAT 功能nNAT 三种类型NAT 术语InternetInside10.1.1.1Inside Local IP Address10.1.1.1Simple NAT tableInside Global IP Address166.1.1.110.1.1.2Host B172.20.7.3ACBABDSA10.1.1.1DA10.1.1.1SA166.1.1.1DA166.1.1.1DCn内部本地地址:私有IP，不能直接用于互连网。n内部全局地址：用来代替内部本地IP地址的，对外，或在互联网上是

4、合法的的IP地址。NAT 功能Inside Local IP Address10.1.1.110.1.1.2NAT tableInside Global IP Address196.168.2.2196.168.2.3nNAT 功能:q内部网络地址转换q复用内部的全局地址qTCP 负载均衡q解决网络地址重叠InternetInside10.1.1.110.1.1.2复用内部的全局地址n将一个内部全局地址用于同时代表多个内部局部地址。n主要用IP地址和端口号的组合来唯一区分各个内部主机。n目前在公司内普遍应用。复用内部的全局地址10.1.1.2:172310.1.1.1:1024NAT tabl

5、e196.168.2.2:1723196.168.2.2:1024TCPTCP10.1.1.3:1492196.168.2.2:1492TCPInternetInside10.1.1.1Host B179.20.7.313SA10.1.1.1DA10.1.1.1SA196.168.2.2DA196.168.2.210.1.1.210.1.1.3452Host C179.21.7.3DA196.168.2.24Inside Global IP Address: PortProtocolInside Local IP Address: Port10.1.1.1NAT三种类型nNAT有三种类型：静态

6、NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。n其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映 射成 外部网络中的某个合法的地址,多用于服务器。n而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配 的方法映射到内部网络,多用于网络中的工作站。nPAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。静态NAT（staticNAT）语法n第一步，设置外部端口。 ninterface serial 0 nip address 61.159.62.129 255.255.255.248 nip nat outsiden第二步，设

7、置内部端口。 ninterface ethernet 0 nip address 192.168.0.1 255.255.255.0 nip nat inside静态NAT（staticNAT）语法n第三步，在内部本地与外部合法地址之间建立静态地址转换。 nip nat inside source static 内部本地地址内部合法地址。 n示例： nip nat inside source static 192.168.0.2 61.159.62.130 n/将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130 nip nat inside source stat

8、ic 192.168.0.3 61.159.62.131 n/将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131 nip nat inside source static 192.168.0.4 61.159.62.132 n/将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132 n至此，静态地址转换配置完毕。NAT静态映射实例ninterface Ethernet0nip address 172.16.1.1 255.255.255.0nip nat inside（指定内部接口）n!ninterface Serial0n ip add

9、ress 200.1.1.1 255.255.255.0n ip nat outside （指定外部接口）n!nip nat inside source static 172.16.1.3 200.1.1.1n(建立两个IP地址之间的静态映射)nip classlessnip route 0.0.0.0 0.0.0.0 200.1.1.2n注意：n从外网到内网建立静态映射后，外网能PING通内部全局地址（200.1.1.1）,如果使用真实地址，则访问失败，这是因为从外网没有到达内网的路由存在！nPing 172.16.1.3 nPing 200.1.1.5 !动态NAT （pooledNAT）

10、语法n第一步，设置外部端口。 n设置外部端口命令的语法如下： nip nat outside n示例： ninterface serial 0 /进入串行端口serial 0 nip address 61.159.62.129 255.255.255.192/将其IP地址指定为61.159.62.129,子网掩码为255.255.255.192 nip nat outside /将串行口serial 0设置为外网端口 n注意，可以定义多个外部端口。 动态NAT （pooledNAT）语法n第二步，设置内部端口。 n设置内部接口命令的语法如下： nip nat inside n示例： ninte

11、rface ethernet 0 /进入以太网端口Ethernet 0 nip address 172.16.100.1 255.255.255.0 / 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0 nip nat inside /将Ethernet 0 设置为内网端口。 n注意，可以定义多个内部端口。 动态NAT （pooledNAT）语法n第三步，定义合法IP地址池。 n定义合法IP地址池命令的语法如下： nip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 n示例： nip nat pool chinanet 61.159.62.

12、130 61.159.62.190 netmask 255.255.255.192 n/指明地址缓冲池的名称为chinanet,IP地址范围为61.159.62.13061.159.62.190,子网掩码为255.255.255.192。需要注意的是，即使掩码为255.255.255.0，也会由起始IP地址和终止IP地址对IP地址池进行限制。 n或nip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26动态NAT （pooledNAT）语法n第四步，定义内部网络中允许访问Internet的访问列表。 n定义内部访问列表命令的语

13、法如下： naccess-list 标号 permit 源地址通配符（其中，标号为1-99之间的整数）n示例： naccess-list 1 permit 172.16.100.0 0.0.0.255 /允许访问Internet的网段为172.16.100.0172.16.100.255，反掩码为0.0.0.255。n需要注意的是，在这里采用的是反掩码，而非子网掩码。反掩码与子网掩码的关系为：反掩码+子网掩码=255.255.255.255。例如，子网掩码为255.255.0.0，则反掩码为0.0.255.255；子网掩码为255.255.255.192，则反掩码为0.0.0.63。 动态NA

14、T （pooledNAT）语法n第五步，实现网络地址转换。 n在全局设置模式下将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。n命令语法如下： nip nat inside source list 访问列表标号 pool 内部合法地址池名字 n示例： nip nat inside source list 1 pool chinanet n至此，动态地址转换设置完毕。 ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0ip nat inside source list 1 pool d

15、yn-nat!interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface Serial0 ip address 192.16.2.1 255.255.255.0 ip nat outside! access-list 1 permit 10.1.1.0 0.0.0.255!动态NAT的配置Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network. Thi

16、s interface connected to the outside world. This interface connected to the inside network. 端口复用动态地址转换(PAT)语法n第一步，设置外部端口。 ninterface serial 0 nip address 202.99.160.1 255.255.255.252 nip nat outside 端口复用动态地址转换(PAT)语法n第二步，设置内部端口。 ninterface ethernet 0 nip address 10.100.100.1 255.255.255.0 nip nat in

17、side 端口复用动态地址转换(PAT)语法n第三步，定义合法IP地址池。 nip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 n/ 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用，所以，起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址，则应当分别键入起止的IP地址。端口复用动态地址转换(PAT)语法n第四步，定义内部访问列。 naccess-list 1 permit 10.1

18、00.100.0 0.0.0.255 n允许访问Internetr的网段为10.100.100.010.100.100.255，子网掩码为255.255.255.0。需要注意的是，在这里子网掩码的顺序跟平常所写的顺序相反，即0.0.0.255。 端口复用动态地址转换(PAT)语法n第五步，设置复用动态地址转换。 n在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。n命令语法如下： nip nat inside source list访问列表号 pool 内部合法地址池名字 overload n示例： nip nat inside source list1 pool

19、 onlyone overload n/以端口复用方式，将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。 n注意：overload是复用动态地址转换的关键词。 PAT的配置ip nat pool ovrld-nat 192.16.2.1 192.16.2.2 netmask 255.255.255.0ip nat inside source list 1 pool ovrld-nat overload!interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface

20、Serial0/0 ip address 192.16.2.1 255.255.255.0 ip nat outside!access-list 1 permit 10.1.1.0 0.0.0.255Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.2.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.2.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3

21、:23Verifying NATA translation for a Telnet is still active. Two different inside hosts appear on the outside with a single IP address.Basic IP address translation Unique TCP port numbers are used to distinguishbetween hosts. Router#show ip nat transPro Inside globalInside localOutside local Outside

22、global-192.2.2.110.1.1.1- - -192.2.2.210.1.1.2- -IP address translation with overloadingRouter#debug ip natNAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 0NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 0NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 1NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 2NAT: s=10.1.1.1-192.

23、16.2.1, d=172.166.2.2 3NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 1NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 4NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 5NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 6NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 2Troubleshooting NATAn example address translation inside-to-

24、outside.A reply to the packet sent.An example TCP conversation, inside-to-outside.* Indicates translation was in the fast path.Clearing NAT Translation EntriesAll entries are cleared.192.16.2.2 is cleared.Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.16.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23router#clear ip nat trans *router#router#show ip nat trans router#show ip nat transPro Inside global Inside local Outside localOutside globaludp 192.16.2.2:1220 10.1.1.