nat--思科路由器NAT地址转换

NAT技术本节主要介绍了网络地址转换协议（NAT）的相关知识及其基本配置方法。10.4.1NAT概述1、NAT概述NAT(NetworkAddressTranslation，网络地址转换)是一种将一个IP地址域(如Intranet)转换到另一个IP地址域(如Internet)的技术。NAT技术的出现是为了解决IP地址日益短缺的问题，将多个内部地址映射为少数几个甚至一个公网地址,这样就可以实现内部网络中的主机(通常使用私有地址)透明地访问外部网络中的资源；同时，外部网络中的主机也可以有选择地访问内部网络。而且，NAT能使得内外网络隔离，提供一定的网络安全保障。10.4.1NAT概述1、NAT术语(1)内部网络(Inside)：指那些由机构或企业所拥有的网络，与NAT路由器上被定义为inside的接口相连接。(2)外部网络(Outside)：指除了内部网络之外的所有网络，常为Internet网络，与NAT路由器上被定义为outside的接口相连接。(3)内部本地地址(InsideLocalAddress)：内部网络主机使用的IP地址。这些地址一般为私有IP地址，它们不能直接在Internet上路由，因而也就不能直接用于对Internet的访问，必须通过网络地址转换，以合法的IP地址的身份来访问Internet。(4)内部全局地址(InsideGlobalAddress):内部网络使用的公有IP地址，这些地址是向ICANN申请才可取得的公有IP地址。当使用内部本地地址的主机要与Internet通信时，NAT转换时使用的地址。(5)外部本地地址(OutsideLocalAddress):外部网络主机使用的IP地址，这些地址不一定是公有IP地址。(6)外部全局地址(OutsideGlobalAddress):外部网络主机使用的IP地址。这些地址是全局可路由的公有IP地址。2、NAT的工作原理如图10-12所示，在局域网内部网络中使用内部地址，当内部节点PC1要访问外部的HOST主机时，PC1发送源地址为192.168.1.100,目的地址是210.32.166.58的IP报文,该IP报文将被路由到边界路由器。路由器收到这个IP报文后，将源地址改变为公有地址202.10.65.3，并记录私有地址192.168.1.100与公有地址202.10.65.3间的地址映射关系存入地址映射表，然后发出修改后的IP报文；当HOST主机收到报文后，回复报文到达路由器后，路由表再根据地址映射表中的地址的对应关系，把目的地址转换为PC1的地址，这样就完成了私有地址主机与Internet主机的通信。2、NAT的工作原理PC1:192.168.1.100外部网络InternetNAT路由器HOST:210.32.166.58SA:202.10.65.3DA:210.32.166.58SA:210.32.166.58DA:202.10.65.3SA:192.168.1.100DA:210.32.166.58SA:202.10.65.3DA:192.168.1.100内部本地地址:192.168.1.100内部全局地址:202.10.65.3内部网络3、NAT的主要作用NAT的主要作用是节约地址空间。在任一时刻，如果内部网络中只有少数节点与外界建立连接，那么就只有少数的内部地址需要被转化成全局地址，可以减少对合法地址的需求。同时，NAT还可以使多个内部节点共享一个外部地址，从而使多台计算机共享Internet连接。当多个内部主机共享一个合法的Internet上的IP地址时，地址转换是通过端口多路利用，即改变外出数据包的源端口并进行端口映射(NAPT)来完成的。这一功能很好地解决了公共IP地址紧缺的问题，通过这种方法，用户可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。除了节约地址，NAT还能简化配置，增加网络规划的灵活性。使用NAT，可以在规划地址时有更大的灵活性，从而简化内部网的设计。另外，当两个有地址重叠的私有内部网要相互连接时，可以使用NAT来防止地址冲突，而避免逐个改变节点地址这项繁杂的工作。10.4.1NAT概述4、NAT的类型NAT有三种类型：静态NAT(StaticNAT)、动态NAT(PooledNAT)和网络地址端口转换NAPT(NetworkAddressPortTranslation)。4、NAT的类型(1)静态NAT是设置起来最为简单和最容易实现的一种，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。如图10-13所示。NAT地址映射表内部本地地址内部全局地址10.1.1.210.1.1.1……202.168.2.3202.168.2.2……10.1.1.110.1.1.2Inside202.168.2.2SA10.1.1.1DA202.168.2.2DAInternet10.1.1.1SAHostB212.20.7.3静态NAT工作示意图（2）动态NAT则是将可用的全局地址地址集定义成NAT池(NATpool)，对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态地从NAT池中选择全局地址对内部地址进行转换。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。这样，网络的灵活性大大增强了，所需要的全局地址进一步地减少。值得注意的是，当NAT池中的全局地址被全部占用以后，以后的地址转换的申请会被拒绝。这样会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换是动态的，所以同一个节点在不同的连接中的全局地址是不同的，这会使SNMP的操作复杂化。(3)地址端口转换是动态转换的一种变形。它可以使多个内部节点共享一个全局IP地址，而使用源和目的地址的TCP/UDP的端口号来区分NAT表中的转换条目及内部地址，这样，就更节省了地址空间。比如说，假设内部节点10.1.1.3，10.1.1.2都用源端口1723向外发送数据包，NAPT路由器把这两个内部地址都转换成全局地址202.168.2.2，而使用不同的源端口号：1492和1723。当接收方收到的源端口号为1492，则返回的数据包在边缘网关处，目的地址和端口被转换为10.1.1.3:1723；而当接收方收到的源端口号为1723时，目的地址和端口被转换为10.1.1.2:1723。NAPT工作示意图NAT地址映射表协议内部本地地址：端口号内部全局地址：端口号外部全局地址：端口号TCPTCPTCP10.1.1.3:172310.1.1.2:172310.1.1.1:1034202.168.2.2:1492202.168.2.2:1723202.168.2.2:1034212.21.7.3:23212.21.7.3:23212.20.7.3:23202.168.2.2SA10.1.1.1DAInternetHostB212.20.7.3HostC212.21.7.310.1.1.210.1.1.3Inside10.1.1.110.4.2NAT配置1.静态NAT配置步骤步骤命令说明第1步ipnatinsidesourcestaticlocal-ipglobal-ip配置内部本地地址和内部全局地址间的转换关系第2步interfaceiftypemod/port进入内部接口配置模式第3步ipnatinside定义该接口连接内部网络第4步interfaceiftypemod/port进入外部接口配置模式第5步ipnatoutside定义该接口连接外部网络2.动态NAT配置步骤（步骤命令说明第1步ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定义一个用于动态NAT转换的内部全局地址池第2步access-listaccess-list-numberpermitsource[source-wildcard]定义标准ACL，匹配该ACL的内部本地地址可以动态转换第3步ipnatinsidesource{list{access-list-number|name}poolname}配置内部本地地址和内部全局地址间的转换关系第4步interfaceiftypemod/port进入内部接口配置模式第5步ipnatinside定义该接口连接内部网络第6步interfaceiftypemod/port进入外部接口配置模式第7步ipnatoutside定义该接口连接外部网络3.NAPT配置步骤步骤命令说明第1步ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}定义一个用于动态NAT转换的内部全局地址池第2步access-listaccess-list-numberpermitsource[source-wildcard]定义标准ACL，匹配该ACL的内部本地地址可以动态转换第3步ipnatinsidesource{list{access-list-number|name}poolnameoverload}配置内部本地地址和内部全局地址间的转换关系第4步interfaceiftypemod/port进入内部接口配置模式第5步ipnatinside定义该接口连接内部网络第6步interfaceiftypemod/port进入外部接口配置模式第7步ipnatoutside定义该接口连接外部网络