《【2017年整理】IPNAT学习》由会员分享,可在线阅读,更多相关《【2017年整理】IPNAT学习(6页珍藏版)》请在金锄头文库上搜索。
1、名词解释:NAT 网络地址转换(正常数据转发时,IP 头部的源和目的地址以及端口号是不会被更改的,而使用了NAT 技术后,它将更改头部内容以达实现隐藏内外部主机真实地址、多台主机共享少量 IP 访问内外部网络、解决 IP 地址空间重叠、服务器负载均衡等功能)PAT 端口地址转换,又叫网络地址端口转换( NAPT)或 NAT 的端口复用(用 IP 地址+端口号来对应和区别各个数据流进行网络地址转换,以达到多内部主机通过一个或少量合法 IP 地址来访问外部网络)Inside 内部Outside 外部Inside local 内部本地地址(内部主机的实际地址,一般为私有地址)Inside globa
2、l 内部全局地址(内部主机经 NAT 转换后去往外部的地址,是 ISP 分配的合法 IP 地址)Outside local 外部本地地址(外部主机由 NAT 设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,认为它是一个内部的主机而非外部主机)Outside global 外部全局地址(外部主机的真实地址,互联网上的合法 IP 地址)NAT 超时:没有使用 PAT 时则为 24 小时使用 PAT:UDP 超时值: 5 分钟DNS : 1 分钟TCP : 24 小时1,ip nat inside source2,ip nat inside destination都是内部地址转换,ip
3、nat inside source 即是 IL-IG (由内部发起的流量)ip nat inside destination 即是 IG-IL (由外部发起的流量)撇开流量的发起方不说,达到的效果是一样的(都是 IL 与 IG 之间转换),即 NAT Translation 表的 IL 和 IG项都一样。但是对于 ip nat inside destination 需要注意:只有 TCP 流量才会转换,ping 流量是不会触发 NAT 的 Destination 转换的!nat pool 一定要设置 type 为 rotary!ip nat inside source 举例假定 ISP 为网络
4、 1 分配了 IG 地址段:100.0.0.0/28配置:GW1:GW1(config)#int s0GW1(config-if)#ip nat outside /定义外部接口GW1(config-if)#int e0GW1(config-if)#ip add 192.168.0.1 255.255.255.0GW1(config-if)#ip nat inside /定义内部接口GW1(config-if)#exitGW1(config)#access-list 1 permit 192.168.0.0 0.0.0.255 /用 ACL 捕捉 IL 地址GW1(config)#ip nat
5、pool POOL_NAME 100.0.0.1 100.0.0.14 prefix-length 28 /定义 IG 地址池GW1(config)#ip nat inside source list 1 pool POOL_NAME /将 ACL1 里指定的 IG 地址从名为POOL_NAME 的地址池里动态顺序地取 IG 地址进行映射ip nat inside destination 举例(服务器负载均衡)当我们内部有几台提供相同服务的服务器时,我们可以用 NAT 来做到负载分担,它的分担方式是基于每次访问的,如下图,如果用 NAT 做了负载分担,我们把这三台服务器的 IL 映射为同一个
6、IG,这时外部用户访问该 IG地址时,NAT 会进行基于每次访问的负载分担。用户第一次访问时会定向到 Server1,第二次则是 Server2,第三次则是Server3,轮循完后又回到 Server1,服务器依次轮流对外提供服务。配置:GW1(config)#int s0GW1(config-if)#ip nat outside /定义外部接口GW1(config-if)#int e0GW1(config-if)#ip add 192.168.0.1 255.255.255.0GW1(config-if)#ip nat inside /定义内部接口GW1(config-if)#exitGW1
7、(config)#access-list 1 permit host 100.0.0.1 /定义 IGGW1(config)#ip nat pool POOL1 192.168.0.1 192.168.0.3 prefix-length 24 type rotary/建立一个 IL 地址池,范围是服务器所占用的地址范围,类型为 rotary 是指将在这段地址内轮循GW1(config)#ip nat inside destination list 1 pool POOL1 /对目的地址为列表内匹配的访问进行地址转换,把目的地址轮流转换成 pool 指定的地址要注意的是如果服务器群里有一台或多台
8、甚至是全部服务器不再工作了,路由器是无法辨别的,依旧会将流量进行轮循,不管服务器能否应答。 3,ip nat outside source/外部地址转换,即是 OG-OL,由外部发起的流量,用法为隐藏外部主机真实地址。ip nat ouside source static (OG) (OL) add-route /add-route 是为了产生一条去往 OL 的路由.(查看路由表,多了一条去往 OL 的路由)注意:如果 ip nat ouside source list (list number) pool (pool name) add-route虽然能转换 OG-OL,但是这样是产生不了一
9、条去往 (pool name)的路由,即使 (pool name)只有一个地址。结局也是通信不成功的。所以一般都是这样用 ip nat ouside source static (OG) (OL) add-route ,单个地址映射。ip nat outside source 举例(隐藏外部主机真实地址)如果希望禁止内部主机访问外网的同时让内部主机能访问指定的外部主机,但又不希望让内部主机了解其实自己已经访问了外网时,那么可将需要被访问的外部主机的 OG 地址转换成为一个内部或者一个虚假的空 OL 地址,外部主机只用访问这个虚假的 OL 地址就可以访问到真实的服务器了,达到隐藏真实 IP 的效
10、果。配置:GW1(config)#int s0GW1(config-if)#ip nat outside /定义外部接口GW1(config-if)#int e0GW1(config-if)#ip add 192.168.0.1 255.255.255.0GW1(config-if)#ip nat inside /定义内部接口GW1(config-if)#exitGW1(config-if)#ip nat outside source static 200.0.0.1 192.168.1.1 add-route/定义 OG 转换为 OL,后面加一个 add-route 是为了产生一条去往 19
11、2.168.1.0 的静态路由,否则内部主机去往网关后,网关查表时没有相关路由则丢弃报文。如果有默认路由或者本来就已经有路由了,则可省略该参数,也可以手工配置路由。4,ip nat outside destination cisco2691,3640,7200 都无此条命令!注:ip nat inside source list n pool POOL_NAME当 list n 为标准访问列表-access-list 1 permit a.b.c.d ,数据包的源地址满足 list n(a.b.c.d),源地址转换为 POOL_NAME 地址当 list n 为扩展访问列表- access-l
12、ist 100 permit tcp A B ,数据包的协议、源地址、目的地址、端口号等都要匹配 list n , 源地址转换为 POOL_NAME 地址ip nat inside destination list n pool POOL_NAME当 list n 为标准访问列表-access-list 1 permit a.b.c.d ,数据包的目的地址满足 list n (a.b.c.d), 目的地址转换为 POOL_NAME 地址当 list n 为扩展访问列表- access-list 100 permit tcp A B ,数据包的协议、 源地址、目的地址、端口号等 都要匹配 list n , 目的地址转换为 POOL_NAME 地址
