精华内容
下载资源
问答
  • NAT 概念

    2015-01-14 11:54:47
    NAT概述 NAT(Network Address Translation,网络地址转换)是将IP 数据报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。 NAT工作流程 ①如右图这个 ...

    NAT概述
      NAT(Network Address Translation,网络地址转换)是将IP 数据报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。

    NAT工作流程
      ①如右图这个 client 的 gateway 设定为 NAT 主机,所以当要连上 Internet 的时候,该封包就会被送到 NAT 主机啦,这个时候的封包 Header 之 source IP 为 192.168.1.100 ; 
      ②而透过这个 NAT 主机,她会将 client 的对外联机封包的 source IP ( 192.168.1.100 ) 伪装成 ppp0 ( 假设为拨接情况 )这个接口所具有的公共 IP 啰,因为是公共 IP 了,所以这个封包就可以连上 Internet 了!同时 NAT 主机并且会记忆这个联机的封包是由哪一个 ( 192.168.1.100 ) client 端传送来的; 
      ③由 Internet 传送回来的封包,当然由 NAT 主机来接收了,这个时候, NAT 主机会去查询原本记录的路由信息,并将目标 IP 由 ppp0 上面的公共 IP 改回原来的 192.168.1.100 ;
      ④最后则由 NAT 主机将该封包传送给原先发送封包的 Client !

    NAT技术的作用
      借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。
      NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。

    NAT技术实现方式
      NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。
      静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
      动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
      端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。因此,目前网络中应用最多的就是端口多路复用方式。
    网络地址转换(NAT)的实现
      在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。

    ============  以下内容并不适合在所有厂家的设备操作 ===========

    1).静态地址转换的实现
      假设内部局域网使用的lP地址段为192.168.0.1~192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.130~61.159.62.134。要求将内部网址192.168.0.2~192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。
      第一步,设置外部端口。
      interface serial 0
      ip address 61.159.62.129 255.255.255.248
      ip nat outside
      第二步,设置内部端口。
      interface ethernet 0
      ip address 192.168.0.1 255.255.255.0
      ip nat inside
      第三步,在内部本地与外部合法地址之间建立静态地址转换。
      ip nat inside source static 内部本地地址内部合法地址。
      示例:
      ip nat inside source static 192.168.0.2 61.159.62.130 //将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130
      ip nat inside source static 192.168.0.3 61.159.62.131 //将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131
      ip nat inside source static 192.168.0.4 61.159.62.132 //将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132
      ip nat inside source static 192.168.0.5 61.159.62.133 //将内部网络地址192.168.0.5转换为合法IP地址61.159.62.133
      ip nat inside source static 192.168.0.6 61.159.62.134 //将内部网络地址192.168.0.6转换为合法IP地址61.159.62.134
      至此,静态地址转换配置完毕。
      2).动态地址转换的实现
      假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.191,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。
      第一步,设置外部端口。
      设置外部端口命令的语法如下:
      ip nat outside
      示例:
      interface serial 0 //进入串行端口serial 0
      ip address 61.159.62.129 255.255.255.192//将其IP地址指定为61.159.62.129,子网掩码为255.255.255.192
      ip nat outside //将串行口serial 0设置为外网端口
      注意,可以定义多个外部端口。
      第二步,设置内部端口。
      设置内部接口命令的语法如下:
      ip nat inside
      示例:
      interface ethernet 0 //进入以太网端口Ethernet 0
      ip address 172.16.100.1 255.255.255.0 // 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0
      ip nat inside //将Ethernet 0 设置为内网端口。
      注意,可以定义多个内部端口。
      第三步,定义合法IP地址池。
      定义合法IP地址池命令的语法如下:
      ip nat pool 地址池名称起始IP地址 终止IP地址子网掩码
      其中,地址池名字可以任意设定。
      示例:
      ip nat pool chinanet 61.159.62.130 61.159.62.190 netmask 255.255.255.192 //指明地址缓冲池的名称为chinanet,IP地址范围为61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。需要注意的是,即使掩码为255.255.255.0,也会由起始IP地址和终止IP地址对IP地址池进行限制。
      或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26
      注意,如果有多个合法IP地址范围,可以分别添加。例如,如果还有一段合法IP地址范围为"211.82.216.1~211.82.216.254",那么,可以再通过下述命令将其添加至缓冲池中。
      ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0
      或
      ip nat pool test 211.82.216.1 211.82.216.254 prefix-length 24
      第四步,定义内部网络中允许访问Internet的访问列表。
      定义内部访问列表命令的语法如下:
      access-list 标号 permit 源地址通配符(其中,标号为1~99之间的整数)
      access-list 1 permit 172.16.100.0 0.0.0.255 //允许访问Internet的网段为172.16.100.0~172.16.100.255,反掩码为0.0.0.255。需要注意的是,在这里采用的是反掩码,而非子网掩码。反掩码与子网掩码的关系为:反掩码+子网掩码=255.255.255.255。例如,子网掩码为255.255.0.0,则反掩码为0.0.255.255;子网掩码为255.0.0.0,则反掩码为0.255.255.255;子网掩码为255.252.0.0,则反掩码为0.3.255.255;子网掩码为255.255.255.192,则反掩码为0.0.0.63。
      另外,如果想将多个IP地址段转换为合法IP地址,可以添加多个访问列表。例如,当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时,应当添加下述命令:
      access-list2 permit 172.16.98.0 0.0.0.255
      access-list3 permit 172.16.99.0 0.0.0.255
      第五步,实现网络地址转换。
      在全局设置模式下,将第四步由access-list指定的内部本地地址列表与第三步指定的合法IP地址池进行地址转换。命令语法如下:
      ip nat inside source list 访问列表标号 pool 内部合法地址池名字
      示例:
      ip nat inside source list 1 pool chinanet
      如果有多个内部访问列表,可以一一添加,以实现网络地址转换,如
      ip nat inside source list 2 pool chinanet
      ip nat inside source list 3 pool chinanet
      如果有多个地址池,也可以一一添加,以增加合法地址池范围,如
      ip nat inside source list 1 pool cernet
      ip nat inside source list 2 pool cernet
      ip nat inside source list 3 pool cernet
      至此,动态地址转换设置完毕。
      3).端口复用动态地址转换(PAT)
      内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口(即默认网关)的IP地址为10.100.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0~202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252,可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1~10.100.100.254 转换为合法IP地址202.99.160.2。
      第一步,设置外部端口。
      interface serial 0
      ip address 202.99.160.1 255.255.255.252
      ip nat outside
      第二步,设置内部端口。
      interface ethernet 0
      ip address 10.100.100.1 255.255.255.0
      ip nat inside
      第三步,定义合法IP地址池。
      ip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252
      // 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP地址。
      第四步,定义内部访问列。
      access-list 1 permit 10.100.100.0 0.0.0.255
      允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为255.255.255.0。需要注意的是,在这里子网掩码的顺序跟平常所写的顺序相反,即0.0.0.255。
      第五步,设置复用动态地址转换。
      在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:
      ip nat inside source list访问列表号pool内部合法地址池名字overload
      示例:
      ip nat inside source list1 pool onlyone overload //以端口复用方式,将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。
      注意:overload是复用动态地址转换的关键词。
      至此,端口复用动态地址转换完成。
      还可以这样写:
      ip nat inside source list 1 interface serial 0 overload
    http://baike.baidu.com/view/16102.htm

    展开全文
  • 一、NAT技术原理 1.1 为什么需要NAT 1、IPv4枯竭; 2、延长IPv4的技术不断出现,NAT的高效使用是其一; 3、IPv6技术普及不高。 为了节省共有地址,私有地址需要与公有地址之间做转换,因为私有地址在Internet无...

    一、NAT技术原理

    1.1 为什么需要NAT

    1、IPv4枯竭;

    2、延长IPv4的技术不断出现,NAT的高效使用是其一;

    3、IPv6技术普及不高。

    为了节省共有地址,私有地址需要与公有地址之间做转换,因为私有地址在Internet无路由,用户可以在私有网络自由使用,私有网络的网段如下:

    A类:10.0.0.1-10.255.255.254;

    B类:172.16.0.1-172.31.255.254;

    C类:192.168.0.1-192.168.255.254;

    1.2 NAT技术原理

    网络地址转换NAT,是将IP数据包包头中的IP地址转换为另一个IP地址,当IP数据包通过路由器或者安全网关时,路由器或者安全网关会把IP数据包的源IP地址或目的IP地址进行转换,在实际应用中,NAT主要用于私有网络与外部网络的互通。

    Hillstone设备的NAT功能将内部网络主机的IP地址和端口替换成Hillstone设备外部网络的地址和端口,将Hillsone设备的外部网络地址和端口转换为内部网络主机的IP地址和端口,也就是“私有地址+端口”与“共有地址+端口”之间的转换;

    Hillstone设备通过创建并执行NAT规则来实现NAT功能,NAT规则有两类,分别为源NAT规则(SNAT Rule)和目的NAT规则(DNAT Rule),SNAT转换源IP地址,从而隐藏内部IP地址或者分享有限的IP地址,DNAT转换目的IP地址,通常是将受Hillstone设备保护的内部服务器(如WWW服务器或者SMTP服务器)的IP地址转换成公网IP地址。

    1.3 NAT的分类

    源地址转换(SNAT):静态地址转换(static-ip)、动态地址转换(dynamic-ip)、动态端口(dynamic-port);

    目的地址转换(DNAT):端口映射、IP映射。

    二、源NAT(访问外网)

    2.1 源NAT

    SNAT支持的转换类型为:静态NAT(static-ip)、动态地址转换(dynamic-ip)、动态端口(dynamic-port);

    StoneOS支持三种转换模式:static、dynamic-ip、dynamic-port,具体描述如下:

    --static:静态源NAT转换即一对一的转换,该模式要求被转换到的地址条目(trans-to-address)包含的IP地址数与流量的源地址的地址条目(src-address)包含的IP地址数相同;

    --dynamic-ip:动态源NAT转换即多对多的转换,该模式将源地址转换到指定的IP地址,每一个源地址会被映射到唯一的IP地址做转换,直到指定地址全部被占用;(相当于多个一对一)

    --dynamic-port:即PAT,多个源地址将被转换成指定IP地址条目中的一个地址,如果不使用sticky,地址条目中的第一个地址将会被首先使用,当第一个地址的端口资源被用尽,第二个地址将会被使用,如果使用了sticky(黏性),每一个源IP产生的所有会话将会被映射到同一个固定的IP地址。(IP地址会保留一些资源为和这个IP地址已经建立连接的PC提供服务,防止IP地址变化导致一些服务无法正常使用)track用于检测转换到公网以后能否正常转发数据,如果链路断掉,则使数据不再转发到此链路。

    2.2 源NAT配置

    SNAT配置(支持vroute和NAT两种模式):

    snatrule [id id] [before id | after id | top] from src-address to dst-address [eif egress-interface] trans-to {addressbook trans-to-address | eif-ip} mode {static | dynamicip | dynamicport [sticky]} [log] [disable] [ track track-name] [description description]

    配置举例:

    --id id  为SNAT规则指定ID号

    --before id | after id | top   指定规则所在位置

    --from src-address to dst-address [eif egress-interface  指定该规则中流量应符合的条件

    --eif egress-interface  指定流量的出接口

    --addressbook trans-to-address | eif-ip  指定NAT转换地址

    --mode {static | dynamicip | dynamicport [sticky  指定转换模式

    查看SNAT配置信息和资源占用

    show  snat [ id id ] [ resource ] [ vrouter vrouter-name ]

    NAT规则基于VRouter创建并生效,用户可以在VRouter配置模式下,创建SNAT/DNAT规则、修改SNAT/DNAT规则排列以及删除SNAT/DNAT规则等,进入VRouter配置模式,在全局配置模式下使用以下命令:

    ip vrouter vrouter-name (vrouter-name指定VRouter的名称

    当缺省VR即trust-vr配置NAT,也可以使用NAT模式(在全局配置模式下,使用nat命令进入NAT配置模式),当SNAT的转换模式为dynamicport时,用户可以开启扩展PAT端口池功能,扩展NAT转换后的网络端口资源,默认情况下,该功能是关闭的,开启扩展PAT端口池功能,在全局模式下使用以下命令:expanded-port-pool。

    WebUI示意图:

    源地址即内网的地址,目的地址不是NAT接口处的公网地址,而是要访问的公网地址,通常用any表示,除非已经知道要访问的公网IP地址具体的数字

    三、目的NAT(向外网发布内网服务器)

    3.1 目的NAT

    通常是将受安全网关保护的内部服务器(如WWW服务器或者SMTP服务器)的地址转换为公网IP地址,通常用于通过IP映射或端口映射对外发布服务器,DNAT有端口映射和IP映射两种模式,

    端口映射:该模式为一对多映射,将公网某一IP的不同端口,映射到内网不同IP的不同端口,解决公网IP有限时多个服务器需对外发布的需求;

    IP映射:该模式为一对一的映射,端口一一对应不做转换,通常用于公网IP足够时服务器对外发布。

    如果需要做双向的IP映射,比如内网邮件服务器映射到公网,需要分别添加SNAT和DNAT规则。

    如果需要以端口映射方式发布服务器,需要选择被访问的相应服务,并指定映射到IP的某端口,如果以IP映射方式发布服务器,服务处保持默认配置“any”即可。

    高级的DNAT有源地址的配置

    DNAT支持负载均衡,只需要转换为地址为多个服务器IP即可。

    3.2 配置DNAT

    dnatrule [id id] [before id | after id | top] from src-address to dst-address [service service-name] trans-to trans-to-address [port port] [load-balance] [track-tcp port] [track-ping] [log] [group group-id] [disable] [description description]

    查看配置结果

    show dnat rule [id] [vrouter vrouter-name]

    WebUI示意图:

    目的地址为NAT处的公网地址,映射到地址为内网的地址

    3.3 高级DNAT配置

    WebUI示意图:

    源地址可以选择是否全部允许通过或排除某些地址,目的地址是NAT设备上的公网IP地址,转换地址是转换为内网的地址。

    四、NAT匹配顺序和相关策略

    NAT配置方式中,也有BNAT,BNAT是指静态NAT一对一功能,它比SNAT和DNAT匹配优先级高,如果配置了BNAT,不会匹配SNAT和DNAT(同一个NAT转换)

    4.1 NAT规则

    NAT分为源NAT和目的NAT,源NAT由多条源NAT规则组成,目的NAT由多条目的NAT组成,当定义多条NAT规则时,需要根据需求移动NAT规则位置。

    4.2 NAT规则匹配顺序

    每条NAT都有唯一一个ID号,流量进入安全网关时,安全网关对NAT规则进行顺序查找,然后按照查找到的相匹配的第一条规则对流量的源IP做NAT转换,ID的大小顺序不是规则匹配顺序,使用show snat/dnat命令列出的规则顺序才是规则匹配顺序,通过移动已有的NAT规则从而改变规则的排列顺序。

    注意:定义防火墙策略时,源和目的地址要使用NAT前的地址,DNAT时,源地址使用发起方的地址,多用any,目的地址使用NAT处的地址(内网的地址是NAT后得知的)

    4.3 调整NAT规则位置

    通过WebUI调整NAT规则位置,在NAT规则编辑页面选择<更多配置>,示意图如下:

    调整规则的排列顺序,在NAT配置模式下使用以下命令:

    snatrule move id { before id | after id | top | bottom}

    dnatrule move id { before id | after id | top | bottom}

    删除规则,在NAT配置模式下使用以下命令:

    no snatrule id id

    no dnatrule id id

    4.3 配置DNAT对应访问策略

    目的NAT做好以后,还需要创建相应的访问策略,才可以实现到发布服务器的访问,策略目的地址需要制定服务器所映射的虚地址,通常是公网IP地址

    以下为WebUI示意图:

    五、NAT应用场景

    5.1 多出口NAT应用场景

    1、配置多出口路由;

    2、配置多个出口NAT规则;

    3、安全策略

    5.2 出口多地址NAT应用场景

    1、接口占用一个地址

    2、网关占用一个地址

    3、在配置NAT时,除网关外其他地址均可直接使用,无需配置第二IP地址;

    4、当一个接口租用多段子网地址时,部分情况下需要配置第二IP地址;

     

    回顾:

    1、通常配置内网用户上网采用哪种NAT方式?

    SNAT动态端口

    2、何种环境需使用基于端口的DNAT而非基于IP DNAT?

    公网地址不够用

    3、对外发布服务器时,访问策略目的IP如何配置?

    NAT处的IP地址

    展开全文
  • 网络地址转换NAT概念

    2019-01-09 09:35:27
    NAT概念:通过将内部网络的私网IP地址翻译成全球唯一的公网IP地址。 原理 原理:就是将内部本地转换为内部全局的地址,即将私网地址转换为公网地址去上网。 NAT术语:内部本地(局部) 在内部网络中分配给主机使用的...

    网络地址转换NAT

    NAT的作用:
    增加IPv4的地址数量,解决私网地址不能上网的问题。

    NAT的概念:
    通过将内部网络的私网IP地址翻译成全球唯一的公网IP地址。

    原理

    原理:
    就是将内部本地转换为内部全局的地址,即将私网地址转换为公网地址去上网。

    NAT术语:
    内部本地(局部) 在内部网络中分配给主机使用的私有ip地址
    内部全局 该地址通常是从全球统一可寻址的地址空间中分配的,一般由互联网服务同上(ISP)提供
    外部全局 外部网络上的主机分配的ip地址。该地址也是从全球统一可寻址的地址空间中分配的
    外部本地(局部) 外部主机表现在内部网络的ip地址
    简单转换条目 将一个ip地址映射到另一个ip地址的转换条目
    扩展转换条目 映射ip地址和端口到另一对ip地址和端口的条目

    NAT的优点:
    1、节省公网地址
    2、增强灵活性、安全性
    3、处理重叠的地址

    缺点:
    1、延迟增大
    2、配置和维护的复杂性
    3、不支持某些应用

    NAT的实现方式:(分类)
    1、静态转换(Static translation)静态NAT
    2、动态转换(Dynamic translation)动态NAT
    3、端口地址转换(Port Address Translation,PAT)

    一、静态转换
    将内部网络的私有ip地址转换为公用合法的ip地址,ip地址的对应关系是一对一的,而且是不变的。

    主要用在内部网络中有对外提供服务的服务器

    缺点:需要独占宝贵的合法ip地址。
    如果某个合法ip地址已经被NAT静态地址转换定义,即该合法ip地址当前没有被使用,也不能被用作其它的地址转换。

    二、动态NAT
    将内部网络的私有地址转换为公网地址进行一对一的转换。但是,是从公网地址池中选择一个未使用的地址对内部私有地址进行转换。

    优点:随机的
    缺点:不节约、不固定的。

    三、端口地址转换
    也被称为复用地址转换(PAT)
    也是一种动态的地址转换。

    工作过程:路由器改变外出数据包的源ip地址和源端口,并进行端口转换,即采用端口多路复用方式,通过这种转换,可以使多个内部私有ip地址同时与同一个公网ip地址进行转换并对外部网络进行访问。

    一个公网地址对应多个私网地址。

    优点:
    1、节约公网ip地址
    2、隐藏内部的所有主机,避免******。

    理想状况下,一个单一的IP地址可以使用的端口数为4000个。

    四、NAT配置
    1、静态NAT配置步骤:
    (1)先设置外部端口的ip地址
    (2)再设置内部端口的ip地址
    (3)在全局配置模式下:
    ip nat inside source static 内部本地ip地址 内部全局ip地址 [extended]
    注:extended(可选)表示允许同一个内部局部地址映射到多个内部全局地址。

    例子:ip nat inside source static 192.168.100.2 61.159.62.130
    将内部局部地址192.168.100.2转换为内部全局地址61.159.62.130
    ip nat inside source static 192.168.10.10 202.10.168.130
    (4)在内部和外部端口上启用NAT
    将端口设置为内部端口或者外部端口
    int f0/0
    ip nat outside ##将当前端口设置为外部端口
    exit
    int f1/1
    ip nat inside ##将当前端口设置为内部端口
    exit
    (4)配置路由。

    2、NAT端口映射
    (1)先给所有的端口设置ip地址
    (2)在全局配置模式下配置端口映射,配置命令如下:
    ip nat inside source static tcp/udp 私网地址 端口号 公网地址 端口
    意义:将TCP或UDP协议中私网地址需要转换的端口转换成公网地址的端口号。

    例子:ip nat inside source static tcp 192.168.10.10 80 192.168.20.20 8080
    将Web服务器192.168.10.10的80端口转换成192.168.20.20的8080端口。

    注:NAT端口映射还可以将不同服务器的不同服务(端口)映射到同一公网地址的不同端口,给人的感觉就是通过同一个地址访问了所有的服务器。

    3、动态NAT
    (1)先设置路由的所有端口的ip地址
    (2)在全局配置模式下,定义内部网络中允许访问外部网络的ACL
    (3)在全局配置模式下,定义合法ip地址池
    配置命令如下:
    ip nat pool 地址池名称 起始地址 终止地址 netmask 子网掩码 type rotary
    (4)实现网地址转换,配置命令如下:
    ip nat inside source list ACL列表号 pool 地址池名称 overload(反复用)
    意义:将ACL列表中的地址转换为地址池名称中定义的地址
    例子:
    ip nat inside source list 1 pool test0
    将ACL1中的局部地址转换为test0地址池定义的全局地址
    注:如果有多个地址池的话,也可以一一添加,以增加合法地址池的数量范围。
    ip nat inside source list 1 pool test1
    ip nat inside source list 1 pool test2
    以此类推。
    (5)在内部和外部端口上启用NAT
    (6)配置路由

    4、PAT
    (1)使用外部全局地址
    ①先配置所有端口的ip地址
    ②配置内部访问列表
    ③定义合法的ip地址池,命令如下:
    ip nat pool 地址池名称 起始地址 终止地址 network 子网掩码
    ④设置复用动态ip地址转换:
    ip nat inside source list ACL列表号 pool 地址池名称 [overload]
    ⑤在内部和外部端口上启用NAT
    ⑥配置路由

    (2)复用路由器外部接口地址
    ①先配置所有端口
    ②定义内部访问列表
    ③设置复用动态ip地址转换,命令如下:
    ip nat inside source list ACL1 interface 端口编号 overload
    意义:以端口复用方式,将ACL1中的私有地址转化为路由器外部接口的合法ip地址。
    ④在外部和内部端口上启用NAT
    ⑤配置默认路由。

    show ip nat translations [verbose] 查看NAT转换条目,verbose显示更多信息,包括一个动态条目的保存时间
    show ip nat statistics 查看NAT的统计信息
    debug ip nat 跟踪NAT的操作,显示出每个转换的数据包。

    转载于:https://blog.51cto.com/14150862/2340410

    展开全文
  • NAT将企业私网IP地址转换成全球唯一公网IP地址,使内部网络可以连接到Internet等外部网络上,不仅解决了公网IP地址的不足,而且还能够隐藏内部网络的细节,避免来自外部网络的攻击,起到一定的安全作用。 1. NET相关...

    一. NAT概述

    NAT(Network Address Translation,网络地址转换)
    NAT将企业私网IP地址转换成全球唯一公网IP地址,使内部网络可以连接到Internet等外部网络上,不仅解决了公网IP地址的不足,而且还能够隐藏内部网络的细节,避免来自外部网络的攻击,起到一定的安全作用。

    1. NAT相关术语

    内部本地(Inside local)地址:分配给内部网络中主机的地址,通常是私有地址。
    内部全局(Inside global)地址:对外代表一个或多个内部本地地址,通常是公有地址。
    外部全局(Outside global)地址:外部网络中的主机的真实地址。
    外部本地(Outside local)地址:在内部网络中看到的外部主机的地址。
    在这里插入图片描述

    2. NAT表

    当内部网络有多台主机访问Internet上的多个目的主机时,NAT设备必须记住内部网络中的哪一台主机访问Internet上的哪一台主机,以防止在NAT时将不同的连接混淆,所以NAT设备会为NAT的众多连接建立一个表,即NAT表 。

    3. NAT设备

    路由器,防火墙,各种软件(proxy,ISA,ICS,sysgate等),操作系统(winserver,centos等)均支持NET,大部分三层交换机不具备NET功能。

    4. NAT功能

    • 转换内部地址
    • 过载内部全局地址
    • TCP负载均衡
    • 处理重叠网络

    二. NAT分类

    1. 按ip地址转换类型分

    SNAT:是改变内部网发出数据分组的源地址,对返回的数据分组则应改变其目的地址,以实现内网主机对Internet的访问。
    DNAT:是改变从外网来的数据分组的目的地址,对于返回的数据分组则改变其源地址,以实现对内网主机的访问。
    SNAT工作过程

    在这里插入图片描述

    2. 按实现方式分类

    • 静态NAT
      是指将一个私网地址和一个公网地址做一对一映射;或将特定私网地址及TCP或UDP端口号和特定公网地址及TCP或UDP端口号做一对一映射:或定义整个网段的静态转换。
      静态NAT本质上是一对一的转换方式,对于内网的机器要被外网访问时是非常有用的,但是不能起到节省IP地址的作用。

    在这里插入图片描述

    • 动态NAT
      Pool NAT:执行本地地址与全局地址的一对一转换,但全局地址与本地地址的对应关系不是一成不变的,它是从内部全局地址池(Pool)中动态地选择一个未使用的地址对内部本地地址进行转换。

    在这里插入图片描述

    3. 动态NAT端口复用重载技术

    Port NAT转换又称端口复用动态地址转换或NAT重载,是改变外出数据包的源IP地址和源端口并进行端口转换 。
    通过NAT实现方式可以看出,动态NAT只能实现由内部网络终端发起和Internet中某个终端建立的单向会话,如果发起建立会话的终端来自于Internet,NAT设备无法获得内部网络中终端的合法公网IP地址,因而无法向内部网络中的终端发送IP分组。因此要实现双向会话,应使用静态NAT方式。
    在这里插入图片描述

    三. NAT优缺点

    1. 优点

    提供了节省注册IP地址的解决方案。
    隐藏了内部网络的地址,提高了内部网络的安全性。
    解决了地址重复使用的问题。

    2. 缺点

    增加了网络延时 。
    与某些应用不兼容。
    失去对端到端的全面支持。
    虽然NAT技术得到了广泛应用,但它是一把双刃剑,在带来节省IP地址空间等好处的同时,破坏了Internet最基本的“端到端的透明性”设计理念,增加了网络的复杂性,也阻碍了某些业务的应用。长远看来,NAT仍是一种权宜之计,向IPv6迈进才是根本的解决之道,也是大势所趋。

    四. NAT 配置思路

    • 配置接口及路由
    • 定义NAT设置内外口
    • 定义NAT地址池
    • 定义转换方法及转换关联
      NAT涉及三个转换:ip nat inside source(转换内部主机的源IP)、ip nat inside destination (转换内部主机的目标IP)、ip nat outside source(转换外部主机的源IP)。ip nat outside source一般和ip nat inside source 一同使用,主要解决地址重叠问题,即双向NAT。ip nat inside destination,是由外部流量发起,是一种实现内部全局向内部本地转换,只有TCP流量才会转换,ping 流量是不会触发NAT的Destination转换的,主要用于服务器负载均衡。

    NAT 实训

    在这里插入图片描述
    配置要求:
    1、设置好各路由器和主机的IP地址,并将三个路由器都启用RIP协议,
    除192.168.0.0网段外,其他网络都加入RIP。
    2、设置R0内网192.168.0.0网段的PORT NAT,并做静态地址端口转换,将服务器的80端口映射到路由器外部接口的80端口。
    3、设置R0内网192.168.0.0网段的PORT NAT,
    最后检测内网能否连通外网PC,外网是否只能访问内网服务器。

    1 略

    R0

    R0(config)#interface gigabitEthernet 0/0/0
    R0(config-if)#ip nat inside
    R0(config-if)#exit
    R0(config)#interface gigabitEthernet 0/0/1
    R0(config-if)#ip nat outside 
    R0(config-if)#exit
    R0(config)#access-list 1 permit 192.168.0.0 0.0.0.255 
    R0(config)#ip nat inside source list 1 interface gigabitEthernet 0/0/1
    R0(config)#exit
    R0(config)#ip nat inside source static tcp 192.168.0.8 80 172.0.0.1 80
    R0(config)#ip nat pool abc 172.0.0.1 172.0.0.1 netmask 255.255.0.0
    

    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • 网络管理员使用命令 R1(config)# ip nat inside source list 4 pool corp 配置边界路由器。为了让此命令可以正常工作,需要配置哪个 ACL? 选择一项: 定义了开始和结束公有 IP 地址的名为 corp 的访问列表 定义...
  • NAT 网络地址转换理论概况:NAT概念:它将自动修改IP包头中的源IP地址或目的IP地址。IP地址的校验则在NAT处理过程中自动完成。它是通过内部网络的私网IP地址翻译成全球唯一的公网IP地址,使内部网络可以连接到...
  • NAT在计算器网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading)是一种IP数据包在通过路由器或防火墙时,重写来源IP地址或目的IP地址的技术。这种技术被普遍...
  • NAT

    2021-01-05 18:48:45
    一、NAT概念1、什么是NAT2、NAT的工作原理3、路由器的作用4、NAT功能5、NAT的优缺点 二、NAT的分类与应用1、静态NAT2、动态NAT 三、PAT1、PAT--端口多路复用2、PAT的作用3、PAT的类型4、NAPT5、Easy IP6、NA...
  • NAT技术概念

    千次阅读 2009-05-23 11:54:00
    随着IPv6时代的到来,我也一直怀疑,是不是还有必要再去学习NAT技术——因为网络的资源不再如IPv4时代匮乏,而NAT技术正是为解决IP地址的紧缺而存在的,如此,NAT便没有存在的必要了。 但是,随着这篇文章的翻译,我...
  • nat

    2015-07-03 09:30:57
    NAT概述随着网络的发展,公用IP地址的需求与日俱增。为了缓解公用IP地址的不足,并且保护公司内部服务器的私网地址,可以...NAT的概述与现实方式NAT概念网络地址转换(NAT)通过将内部网络的私有IP地址翻译成全球唯...
  • NAT地址转换——缓解IP地址紧缺,有效隐藏内部主机,处理地址重叠,但延迟增大,配置和维护复杂,不支持某些应用NAT转换方式:只更改源地址只更改目的地址同时更改源地址和目的地址NAT转换方式:静态转换、动态转换...
  • NAT的基本概念

    2019-11-11 15:01:19
    NAT-Network Address Translation,网络地址转换以实现内部使用私有地址的主机访问到外网 1)有效的节约Internet公网地址,使得所有的内部主机使用有限的核发地址都可以连接到Internet网络 2)地址装换技术可以有效...
  • NAT 穿透

    2021-03-27 11:16:51
    NAT概念 在计算机网络中,网络地址转换(Network Address Translation,缩写为NAT),也叫做网络掩蔽或者IP掩蔽(IP masquerading),是一种在IP数据包通过路由器或防火墙时重写来源IP地址或目的IP地址的技术。这种技术...
  • NATNAT穿透

    2012-05-20 11:42:00
    ------------------本文分2部分 第1部分:概念(NAT与NAT穿透) 第2部分:源代码+效果图+专业资料讲解--------------------- ---------------------------第1部分:概念(NAT与NAT穿透)--...NAT概念:NAT(Network Address ...
  • NAT、PAT

    2021-01-07 10:53:10
    文章目录一、NAT概念二、NAT工作原理三、NAT功能四、NAT优缺点五、NAT的分类1、静态NAT第一种:全局配置静态NAT第二种方法;接口配置静态NAT2、动态NAT六、PAT1、PAT端口多路复用2、PAT作用3、PAT的类型3.1NAPT3.2...
  • NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet ...本文和后续几篇文章将按照NAT基本概念NAT映射模式、NAT映射实现方式、NAT检验这样的顺序进行知识介绍和梳理。
  • DHCP和NAT概念与对比

    2015-06-18 11:06:00
    在网络协议中,DHCP和NAT的使用非常普遍。那么对于这两个协议你是否有所掌握呢?这里我们针对这两方面来进行一下具体的介绍。首先让我们看看什么是DHCP,什么是NAT,之后再来将两者进行一下对比。 1. DHCP DHCP 是 ...
  • NAT网络地址转换

    2020-11-05 00:05:55
    文章目录一、NAT概论1、NAT概念2、NAT的工作原理3、私有网络地址和公有网络地址4、NAT功能:5、NAT的优缺点6、工作原理图二、NAT应用1、静态NAT2、动态NAT三、PAT端口多路复用1、PAT概念2、PAT作用3、PAT的类型4、...
  • nat四个地址概念

    千次阅读 2013-05-12 13:24:42
    在很多路由器的配置中,或者对NAT的介绍中,会涉及到四个地址: inside local address; inside global address; outside local address; outside global address. 先来看它们的概念 inside local address, 内网...
  • NAT概述 NAT(Network Address Translation)又称为网络地址转换,用于实现私有网络和公有网络之间的互访。 私有网络地址和公有网络地址 私有网络地址(以下简称私网地址)是指内部网络或主机的IP地址,公有网络...
  • 本文转自 http://www.cnblogs.com/ishang/p/3810382.html ...作者: 大雪先生 术语/缩略语表: NAT(Network Address Translation)协议, 维基百科 http://en.wikipedia.org/wiki/Networ...
  • NAT ICE STUN TURN uPNP概念

    2016-10-12 15:32:32
    NAT NAT有4种不同的类型 1) Full Cone 这种NAT内部的机器A连接过外网机器C后,NAT会打开一个端口.然后外网的任何发到这个打开的端口的UDP数据报都可以到达A.不管是不是C发过来的. 例如 A:192.168.8....
  • NAT 中的地址概念

    2008-04-06 10:40:37
    本篇文章介绍一下网络地址翻译(NAT) 中的四种地址概念: inside local address, inside global address, outside local address, outside global address. 从字面上看,地址可以被分成两类:inside(内), outside...
  • ACL and NAT

    2021-03-18 15:46:05
    目录ACL(访问控制链表)1 ACL作用2 ACL工作原理3 ACL种类ACL命令配置NAT1 NAT概念2 NAT工作原理3 NAT功能和优缺点4 NAT静态和动态转换以及端口地址转换 ACL(访问控制链表) 1 ACL作用 ①用来对数据包做访问控制...
  • NAT全称:Network Address Translation一,应用场景二,静态NAT(一对一)三,基本原理四,动态NAT五,NAPT网络地址端口转换(特殊的NAT,有地址池)六,Easy IP七,NAT服务器1,将私网服务器映射到公网服务器2,...
  • NAT及其类型

    2020-07-15 20:18:40
    1.NAT概念 NAT缓解了IPV4地址不够用的问题,同时也也带了限制,那就是NAT外部的主机无法主动跟位于NAT内部的主机通信,NAT内部主机想要通信,必须主动和公网的一个IP通信,路由器负责建立一个映射关系,从而实现...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 24,213
精华内容 9,685
关键字:

nat概念