|
標(biāo)簽:
NAT概述
網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)通過將內(nèi)部網(wǎng)絡(luò)的私有IP地址翻譯成全球唯一的公網(wǎng)IP地址���,使內(nèi)部網(wǎng)絡(luò)可以連接到互聯(lián)網(wǎng)等外部網(wǎng)絡(luò)上,廣泛應(yīng)用于各類型的互聯(lián)網(wǎng)接入方式和各種類型的網(wǎng)絡(luò)中����。
NAT的實現(xiàn)方式有一下三種
1,靜態(tài)地址轉(zhuǎn)換:將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有的合法的IP地址����,IP地址的對應(yīng)關(guān)系是一對一的,而且是不變的����,即某個私有的IP地址只能轉(zhuǎn)換為某個固定的公有IP地址。
2���,動態(tài)地址轉(zhuǎn)換:將內(nèi)部網(wǎng)絡(luò)的私有地址轉(zhuǎn)換為公有地址時��,IP地址的對應(yīng)關(guān)系式不確定的����,而是隨機的,所有被授權(quán)訪問互聯(lián)網(wǎng)的私有地址可隨機轉(zhuǎn)換為任何指定的合法外部IP地址(注意:動態(tài)地址轉(zhuǎn)換需要配置私有IP地址池和公有IP地址池��,并且私有IP地址的數(shù)量不可以大于公有IP地址的數(shù)量)����。
3,端口多路復(fù)用:改變外出數(shù)據(jù)包的源IP地址和源端口并進(jìn)行端口轉(zhuǎn)換�����,即端口地址轉(zhuǎn)換采用端口多路復(fù)用方式�����。內(nèi)部網(wǎng)絡(luò)的所有主機均可共享一個合法的外部IP地址實現(xiàn)互聯(lián)網(wǎng)的訪問��,從而可以最大限度地節(jié)約IP地址資源����。
配置三種NAT的語法如下
1�����、配置靜態(tài)NAT
在內(nèi)部地址和路由器的外部接口地址之間建立靜態(tài)地址轉(zhuǎn)換的語法如下:
Router(config)#ip nat inside source static local-ip global-ip [extendable]
各參數(shù)解釋如下
inside source:表示從inside口進(jìn)入的流量將源地址(source)進(jìn)行靜態(tài)轉(zhuǎn)換�。
local-ip:內(nèi)部IP地址
global-ip:外部IP地址
extendable:(可選)表示允許同一個內(nèi)部地址映射到多個外部地址�。
列如:配置將內(nèi)部服務(wù)器192.168.1.100映射到路由器的公有IP地址202.106.123.1上���。
Router(config)#ip nat inside source static 192.1681.100 202.106.123.1
2�����、配置NAT端口映射
將內(nèi)部地址的TCP或UDP端口映射到外部地址的語法如下:
Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port [extendable]
各參數(shù)解釋如下
inside source:表示從inside口進(jìn)入的流量將源地址(source)進(jìn)行靜態(tài)轉(zhuǎn)換��。
local-ip UDP/TCP-port:內(nèi)部IP地址和端口號�����。
global-ip UDP/TCP-port:外部IP地址和端口號�。
extendable:(可選)表示允許同一個內(nèi)部地址映射到多個外部地址����。
列如:將內(nèi)部web服務(wù)器192.168.2.200的8080端口隱射到外部202.106.123.2的80端口上。
Router(config)#ip nat inside source static tcp 192.1681.100 8080 202.106.123.1 80
3、配置動態(tài)NAT
在配置動態(tài)的NAT時�����,需要創(chuàng)建允許訪問外網(wǎng)的內(nèi)部地址池和需要映射的外部地址池�����,注意:內(nèi)部IP地址數(shù)不可以大于外部IP地址數(shù)�����。
創(chuàng)建內(nèi)部允許訪問外網(wǎng)的地址池�����,這里我們可以結(jié)合上一章我所學(xué)的ACL�����。
列如:使用ACL定義一個允許訪問外網(wǎng)的網(wǎng)段�����。
Router(config)#access-list 1 permit 192.168.10.0 0.0.0.255
定義外部地址池的語法如下:
Router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
各參數(shù)解釋如下:
pool-name:放置外部地址的地址池名稱��。
start-ip/end-ip:地址池內(nèi)起始和終止IP地址。
netmask netmask:子網(wǎng)掩碼�,以點分十進(jìn)制數(shù)表示。
prefix-length prefix-length:子網(wǎng)掩碼����,以掩碼中1的數(shù)量表示(如:prefix-length 24等同于 netmask 255.255.255.0)。
type rotary:(可選)地址池的地址為循環(huán)使用���。
列如:創(chuàng)建一個外部地址池���。
Router(config)#ip nat pool test 61.159.62.131 61.159.62.190 netmask 255.255.255.192
將創(chuàng)建好的內(nèi)部地址池和外部地址池進(jìn)行地址轉(zhuǎn)換語法如下:
Router(config)#ip nat inside source list access-list-number pool poo-name [overload]
overload:(可選)表示使用地址復(fù)用�����。
列如:將上面創(chuàng)建好的內(nèi)部地址池和外部地址池進(jìn)行地址轉(zhuǎn)換�。
Router(config)#ip nat inside source list 1 pool test
配置端口多路復(fù)用(PAT)
端口多路復(fù)用可以針對外部地址進(jìn)行轉(zhuǎn)換,也可以直接使用路由器的外部接口IP地址進(jìn)行轉(zhuǎn)換���。
配置端口多路復(fù)用也需要創(chuàng)建內(nèi)部地址池和外部地址池�,方法和動態(tài)NAT一樣���。
列如:配置端口多路復(fù)用��,允許192.168.100.0/24網(wǎng)段的內(nèi)部IP通過202.106.123.1這個外部地址上網(wǎng)�。
1、創(chuàng)建內(nèi)部地址池
Router(config)#access-list 2 permit 192.168.100.0 0.0.0.255
2�、創(chuàng)建外部地址池
Router(config)#ip nat pool test1 202.106.123.1 202.106.123.1 netmask 255.255.255.192
3、設(shè)置復(fù)用動態(tài)地址轉(zhuǎn)換
Router(config)#ip nat inside source list 2 pool test1 overload
也可以不創(chuàng)建外部地址池�����,而直接使用路由器的外部接口����。
Router(config)#ip nat inside source list 2 int f0/0 overload
不管配置的是那種類型的NAT,最后都不要在路由器接口上啟用NAT���,否則配置無效��。
在路由器的接口上啟用NAT����。
Router(config)#int f0/0
Router(config-if)#ip nat outside
Router(config)#int f1/0
Router(config-if)#ip nat inside
設(shè)置NAT功能的路由器需要有一個內(nèi)部端口(inside)和一個外部端口(outside)�����。內(nèi)部端口連接的網(wǎng)絡(luò)使用的是內(nèi)部IP地址�,外部端口連接的是外部的網(wǎng)絡(luò)��,如互聯(lián)網(wǎng)�����。
|
