1、NAT 是非常实用的一种技术,看似简单的原理和配置,却可以实现很多很复杂技术都无法实现的功能。NAT 术语:内部本地地址,内部全球地址,外部本地地址,外部全球地址。这四个术语我最开始接触的时候,刚一打眼就懵了,更不要说它的文字解释了。为了让人很一眼明了的明白它们之间的区别和用途,我用一个图来说明。G a t e w a y内 部 网 络I n t e r n e tP C c l i e n t 1 P C c l i e n t 2外 部 网 络1 0 . 0 . 0 . 11 0 . 0 . 0 . 2X . X . X . XY . Y . Y . Y如图:PC 1 是区域网(内部网络)
2、中一台主机,通过网关访问外部网络,它在内部网络中的 IP地址是 10.0.0.1,是内部所有保留地址,不合法,若以此 IP 地址为源访问外部网络,将不会被认识。需要网关 gateway 做 NAT 地址转换,把源地址转换成网关接入外部网络的 IP地址 X.X.X.X(X.X.X.X 和 Y.Y.Y.Y 都是合法的 IP 地址,是可以在外部网络直接路由的地址) 。1此时当 PC 1 访问 PC 2 时,它需要发送数据包,以 Y.Y.Y.Y 为目的,以 10.0.0.1 为源。2到达 gateway,gateway 会转发数据包给外部网络,并把数据包修改为以 Y.Y.Y.Y 为目的,以 X.X.X
3、.X 为源。3PC 2 接收到此数据包,会以 X.X.X.X 为目的,以 Y.Y.Y.Y 为源,发送返回数据包。4到达 gateway,gateway 会转发数据包给内部网络,并把数据包修改为以 10.0.0.1 为目的,以 Y.Y.Y.Y 为源。其中:10.0.0.0 就是 PC 1 的内部本地地址。X.X.X.X 是 PC 1 的内部全球地址。Y.Y.Y.Y 是 PC 2 的外部全球地址。10.0.0.2 是 PC 2 的外部本地地址。 (用于外网始发会话,访问内网时的转换用)当然内部全球地址允许没有配置在物理接口上,但前期是只要外部主机有这个地址的路由以便能够回包。其中内部/外部的含义是
4、内部 /外部网络。本地/全球的含义是本机实际/虚拟(转换)的地址。内部本地地址:内部网络的主机地址,本地唯一。外部全球地址:外部网络的主机地址,全球唯一。内部全球地址:内部主机地址转换成的、可以在外部网络全球路由的地址。外部本地地址:外部主机地址转换成的、可以在内部网络路由的地址。NAT 几种常用技术:1 静态 NAT2 动态 NAT3 PAT4 根据不同端口访问内网的多个提供不同服务的服务器5 访问内网多个提供相同服务的服务器时的负载均衡1静态静态 NAT 转换配置命令:Ip nat inside source static inside_local_address inside_globa
5、l_addressIp nat inside destination access-list_nameIp nat inside source static list pool/interface具体配置步骤如下:1 先定义内网接口和外网接口,在接口下:ip nat inside/outside2 然后定义把内网地址转换成外网地址,在全局下:Ip nat inside source static pc_1_address(10.0.0.1) gateway_address(X.X.X.X)此时,PC 2 ping PC 1 不会通,但是 ping X.X.X.X 会通,而 gateway 会把
6、数据包转发给PC 1;gateway ping PC 2 会不通,它能收到 PC 2 的回包,但是它会把它转发给 PC 1。也就是说此时在外网看来 PC 1 就是 X.X.X.X,X.X.X.X 就是 PC 1。命令 ip nat inside destination 的用法:ip nat pool name star_ip end_ip prefix-length num type rotary 配合 ACL 和 destination NAT 用来做内网服务器负载均衡的。 (TCP 负载均衡)R1(config)#int s2/1R1(config-if)#ip nat outside R
7、1(config-if)#int f0/0R1(config-if)#ip nat insideR1(config)#access-list 1 permit 12.0.0.5 /定义本地的公网地址进行转换后的外部网络可以直接访问的地址R1(config)#ip nat pool serer 10.0.0.2 10.0.0.3 prefix-length 24 type rotary /定义内网的服务器地址池外网访问的内网地址池的范围;type rotay 定义了自动负载均衡。R1(config)#ip nat inside destination list 1 pool serer /为内部
8、目的地址应用到 NAT 中,以使外部能顺利访问本地服务,inside 表示 inside 方向出去的数据包。R1 上要加一条去外网的默认路由,以便回包。(我还没有配置成功)2动态 NAT:为多个内网 IP 地址动态分配多个公网 IP 地址。1 9 2 . 1 6 8 . 1 . 1 / 2 410.0.0.0/24N A TI n t e r n e t1 9 2 . 1 6 8 . 1 . 2 / 2 41 9 2 . 1 6 8 . 1 . 3 / 2 4全局下:Ip nat pool pool_name start_ip end_ip netmask mask/prefix-length
9、 numIp nat inside source list access-list_name pool pool_nameAccess-list access-list_name permit ip_route接口下:Ip nat inside/outside3PAT:NAT 端口复用或者 NAT 端口过载,多个内网 IP 地址共用一个公网 IP 地址。通过不通的 TCP/UDP 端口号进行区分。1 9 2 . 1 6 8 . 1 . 1 / 2 410.0.0.0/24N A TI n t e r n e t1 0 . 0 . 0 . 1 1 9 2 . 1 6 8 . 1 . 1 : 2
10、3 4 51 0 . 0 . 0 . 2 1 9 2 . 1 6 8 . 1 . 1 : 5 4 3 2全局下:Ip nat inside source list access-list_name interface interface_name overload 定义 NAT 出口Access-list access-list_name permit ip_route 抓取路由。接口下:Ip nat inside/outside配置举例:动态 NAT:PAT:在做静态 NAT 时,路由器会为内部本地 IP 地址维护一张 NAT 表,用于建立内部本地 IP与内部全球 IP 的对应关系,说白了,
11、就是内网 IP 与外网 IP 的转换对应表。路由器从内网接口收到数据包后,会针对源 IP 在 NAT 表中进行查找,若没有该 IP 的对应项,就会添加进 NAT,建立一个新的匹配项。在做动态 NAT 时,NAT 表中维护一个内部全球地址的地址池,以供内网 IP 向外网 IP 转换时所用。在做动态转换时,NAT 有两种技术,一种是循环使用地址池中地址,一种是把地址池中的地址和本地主机进行匹配。在做 PAT 时,路由器会在 NAT 表中监控本地内网主机的四层协议并为其随机分配唯一的TCP/UDP 协议端口号。NAT 技术一般应用在内部本地地址向内部全球地址转换(内网转外网) ,替换数据包源地址。N
12、AT 当在 gateway 做内网访问外网的 NAT 时有两种方法:(对源进行 NAT)1 单向 NAT2 双向 NAT单项 NAT 只对内网访问外网的数据包的源 IP 进行转换,这时发出的数据包在内网时目的IP 是外网的公网 IP(outside global) ,源 IP 是内网的私有 IP(inside local) ;到达外网时目的 IP 不变(outside global) ,源 IP 变成转换的外网公网 IP(inside global) 。回包时源IP 不发生变换,始终是公网 IP(outside global ) 。双向 NAT 不仅对内网访问外网的数据包进行转换,同时对外网访
13、问内网的数据包的源 IP进行转换,这种情况下,如果你访问公网 IP(outside global) ,数据包的出包时的转换过程时一样的,回包时源 IP 会变成内网 IP(outside local) 。而如果访问内网 IP(outside local) ,数据包在网关处会把它转发至外网,在改变目源 IP 的同时使数据包的目的 IP 变成公网 IP(outside global ) 。回包是逆向的,源 IP 目的 IP 都会发生改变。注意:单向 NAT 时,私有 IP 映射的公有 IP 可以是物理端口的实际 IP 也可以不是实际IP。而在做双向 NAT 的 outside source 时,公有
14、 IP 映射的私有 IP(outside local)不能是物理接口的实际 IP,因为如果配置了实际 IP 虽然不影响外网访问内网,但是内网若以此私有IP 为源进行访问,访问的是网关,而不是外网。在添加静态的虚拟私有 IP 时后面要选 add-route 选项,会为此 IP 增加一条 32 位主机路由,下一跳是外网路由器地址。Outside 命令的用法:配合 inside 做双向 NATip nat inside source static 10.1.1.1 192.168.1.1ip nat outside source static 192.168.1.2 10.1.1.5 add-rou
15、teinside 表示 inside 方向进来的数据包, outside 表示 outside 方向进来的数据包,source 表示对源 IP 进行 NAT。NAT 支持的协议类型:在应用程序流中没有包含源和目的 IP 地址的 TCP/UDP 流量。HTTPTFTPFTPArchie 匿名 FTP 搜索FingerNTP 网络时间协议NFS 网络文件系统UNIX 的 r*工具 rlogin rsh rcpICMPNetBIOS over TCPProgressive networks 的 realaudioWhite pines 的 CuSeeMeXing Technologies 的 str
16、eam worksDNS A 和 PTR 查询H.323(IOS 版本 12.0(1)/12.0(1)T+)NetMeeting(IOS 版本 12.0(1)/12.0(1)T+)VDOLive(IOS 版本 11.3(4)/11.3(4)T+)Vxtreme(IOS 版本 11.2(4)/11.3(4)T+)IP 组播只转换源地址(IOS 版本 12.0(1)T+)带 PAT 的 PPTP(IOS 版本 12.1(2)T+)IPphone 和 callmanagerNAT 不支持的协议类型:路由协议DNS 区域传送BOOTP/DHCPTalkNtalkSNMPNetshowNAT 的优点:1 节省 IP 资源2 可以实现服务器 TCP 负载均衡,维持 TCP 会话连接3 地址池中的 IP 是可以是虚拟 IP,不一定需要配置在物理接口上,这样维护起来比较方便。4 可以解决地址重叠问题。NAT 的缺点:1 增加了延迟2 隐藏了端对端的 IP 地址,不利于某些程序的使用3 不便于跟踪、管理4 一台主机多 IP 地址(内部、外部) ,就需要多台 DNS(内部、外部) 。设置不好,会出现管理噩梦。NAT 中必须至少有一个内部接口,至少有一个外部接口。同一接口不能同时被指定为内部和外部。每个包含了 NAT 进程的接口必须被指定为内部接口或者外部接口。
