NATPAT和代理服务器集成

NAT/PAT配置地址转换出现的背景NAT的工作原理NetworkAddressTranslation，网络地址转换NAT实现方式静态转换〔StaticTranslation〕动态转换〔DynamicTranslation〕端口多路复用〔PortAddressTranslation，PAT〕NAT概述NAT包含4类地址NAT的转换条目简单转换条目扩展转换条目NAT的术语与转换表NATInternetPC192.168.1.2目的IP=192.168.1.2源IP=203.51.23.55经过路由器后的包目的IP=203.51.23.55源IP=192.168.1.2PC访问服务器的包目的IP=125.25.65.3源IP=203.51.23.55服务器返回PC的包203.51.23.55目的IP=203.51.23.55源IP=125.25.65.3经过路由器后的包转换转换内部外部内部局部地址外部局部地址外部全局地址内部全局地址静态转换和动态转换

NAT实现方法的工作过程2-1Internet外部主机BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.1192.168.2.2172.20.7.3:2312345PATNAT实现方法的工作过程2-2Internet外部主机BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.1:1492192.168.2.2:1492172.20.7.3:23TCP10.1.1.2:1493192.168.2.2:1493172.20.7.3:8012345NAT的优点节省公有合法IP地址处理地址重叠增强灵活性平安性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用，可以通过静态NAT映射来防止NAT的特性NAT路由器平台配置NAT配置步骤接口IP地址配置使用访问控制列表定义哪些内部主机能做NAT决定采用什么公有地址，静态或地址池Router(config)#ipnatpoolpool-name

star-ip

end-ip{netmasknetmask|prefix-lengthprefix-length}[typerotary]指定地址转换映射Router(config)#ipnatinsidesourcestaticlocal-ip

global-ip[extendable]Router(config)#ipnatinsidesourcelistaccess-list-numberpoolpool-name[overload]在内部和外部端口上启用NATNAT的配置定义地址池静态NAT地址映射动态NAT或PAT地址映射将内网地址、静态转换为合法的外部地址、，以便访问外网或被外网访问静态NAT配置4-1192.168.100.2～192.168.100.254/24………内部网络192.168.100.161.159.62.130NAT内部端口NAT外部端口InternetF1/0F0/0设置外部端口的IP地址：设置内部端口的IP地址：建立静态地址转换Router(config)#interfaceFastEthernet0/0Router(config-if)#noshut静态NAT配置4-2Router(config)#interfaceFastEthernet1/0Router(config-if)#noshut在内部和外部端口上启用NAT配置默认路由静态NAT配置4-3Router(config)#interfaceFastEthernet0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet1/0Router(config-if)#ipnatinside静态NAT配置4-4InternetSA192.168.100.2SA61.159.62.131DA61.159.62.131DA192.168.100.2NATNAT转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.3NAT建立NAT端口映射关系配置实例NAT端口映射Router(config)#ipnatinsidesourcestaticprotocollocal-ipUDP/TCP-portglobal-ipUDP/TCP-port[extendable]Router(config)#ipnatinsidesourcestatictcp192.168.100.28061.159.62.1318080extendableInternet

8080192.168.100.280协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.2:8061.159.62.131:8080155.34.2.3将内部地址～转换为合法地址～，以便访问Internet动态NAT配置3-1172.168.100.2～172.168.100.254/24………内部网络172.168.100.161.159.62.130NAT内部端口NAT外部端口InternetF0/0F1/0设置外部端口的IP地址：设置内部端口的IP地址：动态NAT配置3-2定义访问控制列表定义合法IP地址池实现网络地址转换在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同Router(config)#access-list1permit172.168.100.00.0.0.255Router(config)#ipnatpooltest061.159.62.13161.159.62.190netmask255.255.255.192Router(config)#ipnatinsidesourcelist1pooltest0Router(config)#interfaceFastEthernet0/0Router(config-if)#noshuRouter(config)#interfaceFastEthernet1/0Router(config-if)#noshu动态NAT配置3-3InternetSA172.168.100.2SA61.159.62.131DA61.159.62.131DA172.168.100.2NATNAT转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP172.168.100.261.159.62.131155.34.2.3TCP172.168.100.361.159.62.132155.34.2.3将内部网络地址～转换为合法的地址，以便访问InternetPAT配置5-110.1.1.2～10.1.1.254/24………内部网络10.1.1.161.159.62.130NAT内部端口NAT外部端口InternetF0/0F1/0设置外部端口的IP地址：设置内部端口的IP地址：PAT配置5-2

定义访问控制列表：定义合法IP地址池：实现网络地址转换：在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同Router(config)#access-list1permit10.1.1.00.0.0.255Router(config)#ipnatpoolonlyone61.159.62.13161.159.62.131netmask255.255.255.248Router(config)#ipnatinsidesourcelist1poolonlyoneoverload进行端口复用Router(config)#interfaceFastEthernet0/0Router(config-if)#noshuRouter(config)#interfaceFastEthernet1/0Router(config-if)#noshuPAT配置5-3InternetSA10.1.1.2SA61.159.62.131DA61.159.62.131DA10.1.1.2NATNAT转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.2:102861.159.62.131:1028155.34.2.3TCP10.1.1.2:1121261.159.62.131:11212155.34.2.3复用路由器外部接口地址PAT配置5-410.1.1.2～10.1.1.254/24………内部网络动态IPInternetF0/0F1/0定义内部访问列表定义合法的IP地址池由于直接使用外部接口地址，所以不再定义IP地址池设置复用动态IP地址转换在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同PAT配置5-5Router(config)#ipnatinsidesourcelist1interfaceFastEthernet0/0overload外部接口验证NAT的配置查看NAT转换条目Router#showipnattranslations[verbose]verbose：显示详细的NAT转换条目信息Router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp207.35.18.2:6002192.168.1.3:6002207.35.14.83:6002207.35.14.83:6002icmp207.35.18.2:15488192.168.1.3:15488207.35.14.83:15488207.35.14.83:15488icmp207.35.18.2:14225192.168.1.2:14225207.35.14.83:14225207.35.14.83:14225icmp207.35.18.2:14481192.168.1.2:14481207.35.14.83:14481207.35.14.83:14481---207.35.18.6192.168.2.2------Router#showipnattranslationsverboseProInsideglobalInsidelocalOutsidelocalOutsideglobalIcmp207.35.18.2:31634192.168.1.2:31634207.35.14.83:31634207.35.14.83:31634create00:00:14,use00:00:14timeout:60000,left00:00:45,Map-Id(In):1,flags:extended,use_count:0,entry-id:36,lc_entries:0---207.35.18.6192.168.2.2------create00:34:40,use00:27:57timeout:0,flags:static,use_count:0,entry-id:1,lc_entries:0静态NAT条目PAT动态条目协议内部全局地址内部局部地址外部局部地址外部全局地址NAT转换条目的创立时间、使用时间、超时时间值静态NAT条目永远存在查看NAT统计信息Router#showipnatstatistics默认情况下UDP超时值：5分钟DNS超时值：1分钟TCP超时值：24小时更改超时时间配置NAT转换条目超时时间Router(config)#ipnattranslation{dns-timeout|icmp-timeout|tcp-timeout|udp-timeout}{seconds|never}去除NAT转换表中的所有条目Router#clearipnattranslation*去除包含内部转换的转换条目Router#clearipnattranslationinsidelocal-ipglobal-ip去除包含外部转换的转换条目Router#clearipnattranslationoutsidelocal-ipglobal-ip去除NAT转换条目静态NAT条目不会被去除常见问题ACL阻止转换后的流量进行地址转换的ACL不全overload参数漏配不对称路由问题动态地址池IP地址范围配置错误动态地址池与静态转换地址重叠Inside和outside接口配置错误NAT的故障处理2-1NAT故障的排除检查物理设备和NAT配置通过show命令查看NAT的各种信息通过debugipnat命令跟踪NAT操作NAT故障处理2-2R1#debugipnatIPNATdebuggingison*Mar100:03:56.875:NAT:s=192.168.4.2->145.52.23.2,d=1.1.1.1[52225]*Mar100:03:57.667:NAT*:s=192.168.4.2->145.52.23.2,d=1.1.1.1[52481]*Mar100:03:57.811:NAT*:s=1.1.1.1,d=145.52.23.2->192.168.4.2[52481]s＝表示源地址是d＝表示目的地址是表示将地址转换为145.52.23.2NAT硬件防火墙配置在硬件防火墙上启用NAT控制InsideLocalOutsideMappedPool10.0.0.11192.168.0.20TranslationTableNATInternetfw1(config)#nat-controlnat[(if_name)]nat_id

address[netmask][dns][[tcp]tcp_max_conns[emb_limit][norandomseq]]][udpudp_max_conns]firewall(config)#nat

命令启用IP地址转换fw1(config)#nat(inside)10.0.0.00.0.0.000NATInternetglobal

命令例子：fw1(config)#nat(inside)1fw1(config)#global(outside)1

firewall(config)#global[(if_name)]nat_id{mapped_ip[-mapped_ip]

[netmaskmapped_mask]}|interfaceNATInternetrouteif_name

ip_address

netmask

gateway_ip[metric]firewall(config)#route

命令为接口定义静态或默认路由fw1(config)#routeoutside0.0.0.00.0.0.0192.168.0.11fw1(config)#routeinside10.0.1.0255.255.255.010.0.0.1021DefaultRouteStaticRouteInternetfw1(config)#namesfw1(config)#name172.16.0.2bastionhostfw1(config)#name10.0.0.11insidehost主机名到IP的映射：NAME命令在防火墙上配置一个名称到IP的映射nameip_addressnamefirewall(config)#“bastionhost”.2.1.1.11“insidehost”配置例子writ