NAT工作原理及其配置步骤

NAT 功能
Inside
Internet
10.1.1.2
10.1.1.1

NAT table
Inside Local IP Address Inside Global IP Address
10.1.1.1 10.1.1.2
196.168.2.2 196.168.2.3
NAT 功能: 内部网络地址转换 复用内部的全局地址 TCP 负载均衡 解决网络地址重叠
复用内部的全局地址



将一个内部全局地址用于同时代表多个内部局 部地址。 主要用IP地址和端口号的组合来唯一区分各个 内部主机。 目前在公司内普遍应用。
复用内部的全局地址
Inside
4
DA 196.168.2.2
10.1.1.3
5
DA 10.1.1.1
3
SA 196.168.2.2
Host B 179.20.7.3
This interface connected to the inside network. This interface connected to the outside world.
Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network.
NAT静态映射实例



interface Ethernet0 ip address 172.16.1.1 255.255.255.0 ip nat inside（指定内部接口） ! interface Serial0 ip address 200.1.1.1 255.255.255.0 ip nat outside （指定外部接口） ! ip nat inside source static 172.16.1.3 200.1.1.1 (建立两个IP地址之间的静态映射) ip classless ip route 0.0.0.0 0.0.0.0 200.1.1.2
4
Internet
10.1.1.2
DA 196.168.2.2
1
SA 10.1.1.1
2 NAT table
Inside Local IP Protocol 10.1.1.1 Address: Port Inside Global IP Address: Port
Host C 179.21.7.3
10.1.1.1
Async
NAT table
Inside Local IP Address Inside Global IP Address
10.1.1.1
166.1.1.1
Central site
SA 10.1.1.1
AAA server BRI PRI ISDN/analog Windows 95 PC Modem Async Frame Relay service BRI Frame Relay
Internet
A Simple NAT table
10.1.1.1
Inside Local IP Address
Inside Global IP Address
A
10.1.1.1 D
166.1.1.1 C
B

内部本地地址:私有IP，不能直接用于互连网。

内部全局地址：用来代替内部本地IP地址的， 对外，或在互联网上是合法的的IP地址。



静态NAT（staticNAT）语法




第一步，设置外部端口。 interface serial 0 ip address 61.159.62.129 255.255.255.248 ip nat outside 第二步，设置内部端口。 interface ethernet 0 ip address 192.168.0.1 255.255.255.0 ip nat inside
TCP TCP TCP
10.1.1.3:1492 196.168.2.2:1492 10.1.1.2:1723 196.168.2.2:1723 10.1.1.1:1024 196.168.2.2:1024
NAT三种类型

NAT有三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和 端口NAT（PAT）。 其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久 映 射成 外部网络中的某个合法的地址,多用于服务器。 而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分 配 的方法映射到内部网络,多用于网络中的工作站。 PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。




NAT（网络地址翻译）能解决不少令人头疼的 问题 它解决问题的办法是：在内部网络中使用内部 地址，通过NAT把内部地址翻译成合法的IP地 址，在Internet上使用 其具体的做法是把IP包内的地址池（内部本地） 用合法的IP地址段（内部全局）来替换
Chapter Activities
PAT
动态NAT的配置
ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0 ip nat inside source list 1 pool dyn-nat ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0 ip address 192.16.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255 !
端口复用动态地址转换(PAT)语法



注意： 从外网到内网建立静态映射后，外网能PING 通内部全局地址（200.1.1.1）,如果使用真实 地址，则访问失败，这是因为从外网没有到达 内网的路由存在！ Ping 172.16.1.3 …… Ping 200.1.1.5 !!!!!
动态NAT （pooledNAT）语法

端口复用动态地址转换(PAT)语法

第一步，设置外部端口。 interface serial 0 ip address 202.99.160.1 255.255.255.252 ip nat outside
端口复用动态地址转换(PAT)语法

第二步，设置内部端口。 interface ethernet 0 ip address 10.100.100.1 255.255.255.0 ip nat inside
动态NAT （pooledNAT）语法

ቤተ መጻሕፍቲ ባይዱ

第三步，定义合法IP地址池。 定义合法IP地址池命令的语法如下： ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码 示例： ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192 //指明地址缓冲池的名称为chinanet,IP地址范围为 61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。需 要注意的是，即使掩码为255.255.255.0，也会由起始IP地址和终 止IP地址对IP地址池进行限制。 或 ip nat pool test 61.159.62.130 61.159.62.190 prefixlength 26

第一步，设置外部端口。 设置外部端口命令的语法如下： ip nat outside 示例： interface serial 0 //进入串行端口serial 0 ip address 61.159.62.129 255.255.255.192//将其IP 地址指定为61.159.62.129,子网掩码为 255.255.255.192 ip nat outside //将串行口serial 0设置为外网端口 注意，可以定义多个外部端口。
动态NAT （pooledNAT）语法


第二步，设置内部端口。 设置内部接口命令的语法如下： ip nat inside 示例： interface ethernet 0 //进入以太网端口Ethernet 0 ip address 172.16.100.1 255.255.255.0 // 将其IP地 址指定为172.16.100.1,子网掩码为255.255.255.0 ip nat inside //将Ethernet 0 设置为内网端口。 注意，可以定义多个内部端口。
静态NAT（staticNAT）语法






第三步，在内部本地与外部合法地址之间建立静态地址转换。 ip nat inside source static 内部本地地址内部合法地址。 示例： ip nat inside source static 192.168.0.2 61.159.62.130 //将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130 ip nat inside source static 192.168.0.3 61.159.62.131 //将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131 ip nat inside source static 192.168.0.4 61.159.62.132 //将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132 至此，静态地址转换配置完毕。
第十九章 网络地址翻译 NAT
NAT——网络地址翻译

随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力 接入Internet成为当今信息业最为迫切的需求
但这受到IP地址的许多限制 首先，许多局域网在未联入Internet之前，就已经运行许多年了， 局 域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合 Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是 劳神费时的工作 其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要 想 在ISP处申请一个新的IP地址已不是很容易的事了
动态NAT （pooledNAT）语法


第四步，定义内部网络中允许访问Internet的访问列 表。 定义内部访问列表命令的语法如下： access-list 标号 permit 源地址通配符（其中，标号为 1-99之间的整数） 示例： access-list 1 permit 172.16.100.0 0.0.0.255 //允许访 问Internet的网段为172.16.100.0~172.16.100.255， 反掩码为0.0.0.255。 需要注意的是，在这里采用的是反掩码，而非子网掩 码。反掩码与子网掩码的关系为：反掩码+子网掩码 =255.255.255.255。例如，子网掩码为255.255.0.0， 则反掩码为0.0.255.255；子网掩码为 255.255.255.192，则反掩码为0.0.0.63。
Small office
Frame Relay
Branch office


NAT 术语 NAT 功能 NAT 三种类型
NAT 术语
Inside
D
DA 10.1.1.1
DA 166.1.1.1
B
SA 166.1.1.1
C
Host B 172.20.7.3
10.1.1.2
SA 10.1.1.1
动态NAT （pooledNAT）语法




第五步，实现网络地址转换。 在全局设置模式下将由access-list指定的内部 本地地址与指定的内部合法地址池进行地址转 换。 命令语法如下： ip nat inside source list 访问列表标号 pool 内 部合法地址池名字 示例： ip nat inside source list 1 pool chinanet