NAT工作原理及其配置方法
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
地址指定为61.159.62.129,子网掩码为 255.255.255.192 ip nat outside //将串行口serial 0设置为外网端口 注意,可以定义多个外部端口。
动态NAT (pooledNAT)语法
第二步,设置内部端口。 设置内部接口命令的语法如下: ip nat inside 示例: interface ethernet 0 //进入以太网端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 将其IP地
注意:
从外网到内网建立静态映射后,外网能PING 通内部全局地址(200.1.1.1),如果使用真实 地址,则访问失败,这是因为从外网没有到达 内网的路由存在!
Ping 172.16.1.3 ……
Ping 200.1.1.5 !!!!!
动态NAT (百度文库ooledNAT)语法
第一步,设置外部端口。 设置外部端口命令的语法如下: ip nat outside 示例: interface serial 0 //进入串行端口serial 0 ip address 61.159.62.129 255.255.255.192//将其IP
C
内部本地地址:私有IP,不能直接用于互连网。 内部全局地址:用来代替内部本地IP地址的,
对外,或在互联网上是合法的的IP地址。
NAT 功能
Inside
10.1.1.2
10.1.1.1
NAT table Inside Local Inside Global IP Address IP Address
This interface connected to the inside network.
This interface connected to the outside world.
Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network.
Host C 179.21.7.3
NAT三种类型
NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和 端口NAT(PAT)。
其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久 映 射成 外部网络中的某个合法的地址,多用于服务器。
而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分 配 的方法映射到内部网络,多用于网络中的工作站。
本地地址与指定的内部合法地址池进行地址转 换。 命令语法如下: ip nat inside source list 访问列表标号 pool 内 部合法地址池名字 示例: ip nat inside source list 1 pool chinanet
动态NAT的配置
ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0
A SA
10.1.1.1
10.1.1.1
B
SA 166.1.1.1
DA 166.1.1.1
C
Host B 172.20.7.3
Internet
Simple NAT table
Inside Local IP Address
A 10.1.1.1 D
Inside Global IP Address
B 166.1.1.1
静态NAT(staticNAT)语法
第三步,在内部本地与外部合法地址之间建立静态地址转换。 ip nat inside source static 内部本地地址内部合法地址。 示例: ip nat inside source static 192.168.0.2 61.159.62.130 //将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130 ip nat inside source static 192.168.0.3 61.159.62.131 //将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131 ip nat inside source static 192.168.0.4 61.159.62.132 //将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132 至此,静态地址转换配置完毕。
目前在公司内普遍应用。
复用内部的全局地址
Inside
10.1.1.3
5
DA 10.1.1.1
3
SA 196.168.2.2
4
DA 196.168.2.2
Host B 179.20.7.3
4
Internet
DA 196.168.2.2
10.1.1.2 10.1.1.1
1
SA 10.1.1.1
2 NAT table
址指定为172.16.100.1,子网掩码为255.255.255.0 ip nat inside //将Ethernet 0 设置为内网端口。 注意,可以定义多个内部端口。
动态NAT (pooledNAT)语法
第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下:
ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
Protocol Inside Local IP Inside Global IP 10.1.1.1 Address: Port Address: Port
TCP 10.1.1.3:1492 196.168.2.2:1492 TCP 10.1.1.2:1723 196.168.2.2:1723 TCP 10.1.1.1:1024 196.168.2.2:1024
第十九章 网络地址翻译 NAT
NAT——网络地址翻译
随着Internet的飞速发展,网上丰富的资源产生着巨大的吸引力 接入Internet成为当今信息业最为迫切的需求
但这受到IP地址的许多限制 首先,许多局域网在未联入Internet之前,就已经运行许多年了,
局 域网上有了许多现成的资源和应用程序,但它的IP地址分配不符合 Internet的国际标准,因而需要重新分配局域网的IP地址,这无疑是 劳神费时的工作 其二,随着Internet的膨胀式发展,其可用的IP地址越来越少,要
Chapter Activities
PAT
NAT table
Inside Local Inside Global IP
IP Address
Address
10.1.1.1
166.1.1.1
BRI
Windows 95 PC Modem Small office
Async
Async
Central site
示例:
ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192
//指明地址缓冲池的名称为chinanet,IP地址范围为 61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。需 要注意的是,即使掩码为255.255.255.0,也会由起始IP地址和终 止IP地址对IP地址池进行限制。
NAT静态映射实例
interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip nat inside(指定内部接口) ! interface Serial0 ip address 200.1.1.1 255.255.255.0 ip nat outside (指定外部接口) ! ip nat inside source static 172.16.1.3 200.1.1.1 (建立两个IP地址之间的静态映射) ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.2
=255.255.255.255。例如,子网掩码为255.255.0.0,
则反掩码为0.0.255.255;子网掩码为
255.255.255.192,则反掩码为0.0.0.63。
动态NAT (pooledNAT)语法
第五步,实现网络地址转换。 在全局设置模式下将由access-list指定的内部
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
静态NAT(staticNAT)语法
第一步,设置外部端口。 interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步,设置内部端口。 interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside
端口复用动态地址转换(PAT)语法
SA 10.1.1.1
PRI ISDN/analog
BRI
AAA server
Frame Relay
Frame Relay service
Frame Relay
Branch office
NAT 术语 NAT 功能 NAT 三种类型
NAT 术语
Inside
10.1.1.2
D
DA 10.1.1.1
示例:
access-list 1 permit 172.16.100.0 0.0.0.255 //允许访 问Internet的网段为172.16.100.0~172.16.100.255, 反掩码为0.0.0.255。
需要注意的是,在这里采用的是反掩码,而非子网掩 码。反掩码与子网掩码的关系为:反掩码+子网掩码
ip nat inside source list 1 pool dyn-nat ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0 ip address 192.16.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255 !
或
ip nat pool test 61.159.62.130 61.159.62.190 prefixlength 26
动态NAT (pooledNAT)语法
第四步,定义内部网络中允许访问Internet的访问列 表。
定义内部访问列表命令的语法如下:
access-list 标号 permit 源地址通配符(其中,标号为 1-99之间的整数)
想 在ISP处申请一个新的IP地址已不是很容易的事了
NAT(网络地址翻译)能解决不少令人头疼的 问题
它解决问题的办法是:在内部网络中使用内部 地址,通过NAT把内部地址翻译成合法的IP地 址,在Internet上使用
其具体的做法是把IP包内的地址池(内部本地) 用合法的IP地址段(内部全局)来替换
端口复用动态地址转换(PAT)语法
第一步,设置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside
端口复用动态地址转换(PAT)语法
第二步,设置内部端口。 interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside
10.1.1.1 196.168.2.2 10.1.1.2 196.168.2.3
Internet
NAT 功能: 内部网络地址转换
复用内部的全局地址 TCP 负载均衡 解决网络地址重叠
复用内部的全局地址
将一个内部全局地址用于同时代表多个内部局 部地址。
主要用IP地址和端口号的组合来唯一区分各个 内部主机。
动态NAT (pooledNAT)语法
第二步,设置内部端口。 设置内部接口命令的语法如下: ip nat inside 示例: interface ethernet 0 //进入以太网端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 将其IP地
注意:
从外网到内网建立静态映射后,外网能PING 通内部全局地址(200.1.1.1),如果使用真实 地址,则访问失败,这是因为从外网没有到达 内网的路由存在!
Ping 172.16.1.3 ……
Ping 200.1.1.5 !!!!!
动态NAT (百度文库ooledNAT)语法
第一步,设置外部端口。 设置外部端口命令的语法如下: ip nat outside 示例: interface serial 0 //进入串行端口serial 0 ip address 61.159.62.129 255.255.255.192//将其IP
C
内部本地地址:私有IP,不能直接用于互连网。 内部全局地址:用来代替内部本地IP地址的,
对外,或在互联网上是合法的的IP地址。
NAT 功能
Inside
10.1.1.2
10.1.1.1
NAT table Inside Local Inside Global IP Address IP Address
This interface connected to the inside network.
This interface connected to the outside world.
Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network.
Host C 179.21.7.3
NAT三种类型
NAT有三种类型:静态NAT(staticNAT)、NAT池(pooledNAT)和 端口NAT(PAT)。
其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久 映 射成 外部网络中的某个合法的地址,多用于服务器。
而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分 配 的方法映射到内部网络,多用于网络中的工作站。
本地地址与指定的内部合法地址池进行地址转 换。 命令语法如下: ip nat inside source list 访问列表标号 pool 内 部合法地址池名字 示例: ip nat inside source list 1 pool chinanet
动态NAT的配置
ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0
A SA
10.1.1.1
10.1.1.1
B
SA 166.1.1.1
DA 166.1.1.1
C
Host B 172.20.7.3
Internet
Simple NAT table
Inside Local IP Address
A 10.1.1.1 D
Inside Global IP Address
B 166.1.1.1
静态NAT(staticNAT)语法
第三步,在内部本地与外部合法地址之间建立静态地址转换。 ip nat inside source static 内部本地地址内部合法地址。 示例: ip nat inside source static 192.168.0.2 61.159.62.130 //将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130 ip nat inside source static 192.168.0.3 61.159.62.131 //将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131 ip nat inside source static 192.168.0.4 61.159.62.132 //将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132 至此,静态地址转换配置完毕。
目前在公司内普遍应用。
复用内部的全局地址
Inside
10.1.1.3
5
DA 10.1.1.1
3
SA 196.168.2.2
4
DA 196.168.2.2
Host B 179.20.7.3
4
Internet
DA 196.168.2.2
10.1.1.2 10.1.1.1
1
SA 10.1.1.1
2 NAT table
址指定为172.16.100.1,子网掩码为255.255.255.0 ip nat inside //将Ethernet 0 设置为内网端口。 注意,可以定义多个内部端口。
动态NAT (pooledNAT)语法
第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下:
ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
Protocol Inside Local IP Inside Global IP 10.1.1.1 Address: Port Address: Port
TCP 10.1.1.3:1492 196.168.2.2:1492 TCP 10.1.1.2:1723 196.168.2.2:1723 TCP 10.1.1.1:1024 196.168.2.2:1024
第十九章 网络地址翻译 NAT
NAT——网络地址翻译
随着Internet的飞速发展,网上丰富的资源产生着巨大的吸引力 接入Internet成为当今信息业最为迫切的需求
但这受到IP地址的许多限制 首先,许多局域网在未联入Internet之前,就已经运行许多年了,
局 域网上有了许多现成的资源和应用程序,但它的IP地址分配不符合 Internet的国际标准,因而需要重新分配局域网的IP地址,这无疑是 劳神费时的工作 其二,随着Internet的膨胀式发展,其可用的IP地址越来越少,要
Chapter Activities
PAT
NAT table
Inside Local Inside Global IP
IP Address
Address
10.1.1.1
166.1.1.1
BRI
Windows 95 PC Modem Small office
Async
Async
Central site
示例:
ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192
//指明地址缓冲池的名称为chinanet,IP地址范围为 61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。需 要注意的是,即使掩码为255.255.255.0,也会由起始IP地址和终 止IP地址对IP地址池进行限制。
NAT静态映射实例
interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip nat inside(指定内部接口) ! interface Serial0 ip address 200.1.1.1 255.255.255.0 ip nat outside (指定外部接口) ! ip nat inside source static 172.16.1.3 200.1.1.1 (建立两个IP地址之间的静态映射) ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.2
=255.255.255.255。例如,子网掩码为255.255.0.0,
则反掩码为0.0.255.255;子网掩码为
255.255.255.192,则反掩码为0.0.0.63。
动态NAT (pooledNAT)语法
第五步,实现网络地址转换。 在全局设置模式下将由access-list指定的内部
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
静态NAT(staticNAT)语法
第一步,设置外部端口。 interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步,设置内部端口。 interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside
端口复用动态地址转换(PAT)语法
SA 10.1.1.1
PRI ISDN/analog
BRI
AAA server
Frame Relay
Frame Relay service
Frame Relay
Branch office
NAT 术语 NAT 功能 NAT 三种类型
NAT 术语
Inside
10.1.1.2
D
DA 10.1.1.1
示例:
access-list 1 permit 172.16.100.0 0.0.0.255 //允许访 问Internet的网段为172.16.100.0~172.16.100.255, 反掩码为0.0.0.255。
需要注意的是,在这里采用的是反掩码,而非子网掩 码。反掩码与子网掩码的关系为:反掩码+子网掩码
ip nat inside source list 1 pool dyn-nat ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0 ip address 192.16.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255 !
或
ip nat pool test 61.159.62.130 61.159.62.190 prefixlength 26
动态NAT (pooledNAT)语法
第四步,定义内部网络中允许访问Internet的访问列 表。
定义内部访问列表命令的语法如下:
access-list 标号 permit 源地址通配符(其中,标号为 1-99之间的整数)
想 在ISP处申请一个新的IP地址已不是很容易的事了
NAT(网络地址翻译)能解决不少令人头疼的 问题
它解决问题的办法是:在内部网络中使用内部 地址,通过NAT把内部地址翻译成合法的IP地 址,在Internet上使用
其具体的做法是把IP包内的地址池(内部本地) 用合法的IP地址段(内部全局)来替换
端口复用动态地址转换(PAT)语法
第一步,设置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside
端口复用动态地址转换(PAT)语法
第二步,设置内部端口。 interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside
10.1.1.1 196.168.2.2 10.1.1.2 196.168.2.3
Internet
NAT 功能: 内部网络地址转换
复用内部的全局地址 TCP 负载均衡 解决网络地址重叠
复用内部的全局地址
将一个内部全局地址用于同时代表多个内部局 部地址。
主要用IP地址和端口号的组合来唯一区分各个 内部主机。