NAT位址轉換

2022-09-06 09:33:05 字數 4683 閱讀 2413

一、nat網路位址轉換

正常資料**時,ip頭部的源和目的位址以及埠號是不會被更改的,而使用了nat 技術後,它將更改頭部內容以達實現隱藏內外部主機真實位址、多台主機共享少量ip訪問內外部網路、解決ip 位址空間重疊、伺服器負載均衡等功能

二、pat埠位址轉換

又叫網路位址埠轉換(napt)或nat的埠復用(用 ip 位址+埠號來對應和區別各個資料流進行網路位址轉換,以達到多內部主機通過乙個或少量合法ip位址來訪問外部網路

inside local(il):內部本地位址(內部主機的實際位址,一般為私有位址)

inside global(ig):內部全域性位址(內部主機經 nat 轉換後去往外部的位址,是isp分配的合法ip位址)

outside local(ol):外部本地位址(外部主機由 nat 裝置轉換後的位址,一般為私 有位址,內部主機訪問該外部主機時,認為它是乙個內部的主機而非外部主機)

outside global(og):外部全域性位址(外部主機的真實位址,網際網路上的合法 ip 位址)

三、nat超時:

沒有使用pat時則為 24 小時,

使用pat,udp超時值:5 分鐘,dns:1 分鐘,tcp:24 小時

四、ip nat inside source和ip nat inside destination

ip nat inside source和ip nat inside destination都是內部位址轉換

ip nat inside source是inside local->inside global (由內部發起的流量)

ip nat inside destination是inside global->inside local (由外部發起的流量)

撇開流量的發起方不說,達到的效果是一樣的(都是il與ig之間轉換),即nat translation表的il和ig項都一樣。

但是對於ip nat inside destination需要注意:

只有tcp流量才會轉換,ping流量是不會觸發nat 的 destination轉換的!

nat pool一定要設定type為 rotary!!

1、ip nat inside source 舉例

假定 isp 為網路 1 分配了 ig (inside global)位址段:100.0.0.0/28

gw1(config)#int s0

gw1(config-if)#ip nat outside  #定義外部介面

gw1(config-if)#int e0

gw1(config-if)#ip add 192.168.0.1 255.255.255.0

gw1(config-if)#ip nat inside  #定義內部介面

gw1(config-if)#exit

gw1(config)#access-list 1 permit 192.168.0.0 0.0.0.255  #用acl捕捉il位址

gw1(config)#ip nat pool pool_name 100.0.0.1 100.0.0.14 prefix-length 28  #定義ig位址池

gw1(config)#ip nat inside source list 1 pool pool_name

將access-list 1裡指定的ig位址從名為pool_name的位址池裡動態順序地取ig位址進行對映

2、ip nat inside source list n pool pool_name

當list n為標準訪問列表---access-list 1 permit a.b.c.d ,資料報的源位址滿足list n(a.b.c.d),源位址轉換為pool_name位址

當list n為擴充套件訪問列表--- access-list 100 permit tcp a b ,資料報的協議、源位址、目的位址、埠號等都要匹配list n , 源位址轉換為pool_name位址

3、ip nat inside destination 舉例(伺服器負載均衡)

當我們內部有幾台提供相同服務的伺服器時,我們可以用nat來做到負載分擔, 它的分擔方式是基於每次訪問的。

如下圖,如果用 nat 做了負載分擔,我們把這三颱伺服器的 il 對映為同乙個 ig, 這時外部使用者訪問該 ig 位址時,nat 會進行基於每次訪問的負載分擔。使用者第一次訪問時會定向到server1,第二次則是server2,第三次則是 server3,輪循完後又回到 server1,伺服器依次輪流對外提供服務。

配置:gw1(config)#int s0

gw1(config-if)#ip nat outside  #定義外部介面

gw1(config-if)#int e0

gw1(config-if)#ip add 192.168.0.1 255.255.255.0

gw1(config-if)#ip nat inside  #定義內部介面

gw1(config)#access-list 1 permit host 100.0.0.1  #定義ig

gw1(config)#ip nat pool pool1 192.168.0.1 192.168.0.3 prefix-length 24 type rotary

#建立乙個 il 位址池,範圍是伺服器所占用的位址範圍,型別為 rotary 是指將在這段位址內輪循

gw1(config)#ip nat inside destination list 1 pool pool1

對目的位址為列表內匹配的訪問進行位址轉換,把目的位址輪流轉換成pool指定的位址,要注意的是如果伺服器群裡有一台或多台甚至是全部伺服器不再工作了,路由器是無法辨別的,依舊會將流量進行輪循,不管伺服器能否應答。

4、ip nat inside destination list n pool pool_name

當list n為標準訪問列表---access-list 1 permit a.b.c.d ,資料報的目的位址滿list n (a.b.c.d), 目的位址轉換為pool_name位址

當list n為擴充套件訪問列表--- access-list 100 permit tcp a b ,資料報的協議、源位址、目的位址、埠號等都要匹配list n , 目的位址轉換為pool_name位址

五、ip nat outside source

外部位址轉換,即是og->ol,由外部發起的流量,用法為隱藏外部主機真實位址。

ip nat ouside source static (og) (ol)

ip route /ip route是為了產生一條去往ol的路由.(檢視路由表,多了一條去往ol的路由)

注意:如果ip nat ouside source list (list number) pool (pool name) add-route

雖然能轉換og->ol,但是這樣是產生不了一條去往(pool name)的路由,即使(pool name)只有乙個位址。結局也是通訊不成功的。 所以一般都是這樣用ip nat ouside source static (og) (ol) add-route,單個位址對映

1、ip nat outside source 舉例(隱藏外部主機真實位址)

如果希望禁止內部主機訪問外網的同時讓內部主機能訪問指定的外部主機,但又不希望讓內部主機了解其實自己已經訪問了外網時,那麼可將需要被訪問的 外部主機的og位址轉換成為乙個內部或者乙個虛假的空ol位址,外部主機只用訪問這個虛假的ol位址就可以訪問到真實的伺服器了,達到隱藏真實ip的效果。

配置:gw1(config)#int s0

gw1(config-if)#ip nat outside /定義外部介面

gw1(config-if)#int e0

gw1(config-if)#ip add 192.168.0.1 255.255.255.0

gw1(config-if)#ip nat inside /定義內部介面

gw1(config)#ip nat outside source static 200.0.0.1 192.168.1.1 /定義og轉換為ol

gw1(config)# ip route 192.168.1.0 255.255.255.0 200.0.0.1

加乙個ip route 是為了產生一條去往 192.168.1.0 的靜態路由,否則內部主機去往閘道器後,閘道器查表時沒有相 關路由則丟棄報文。如果有預設路由或者本來就已經有路由了,則可省略該引數,也可以手工配置路由。

六、ip nat outside destination

注意:cisco2691,3640,7200 都無此條命令!!

位址轉換NAT

為了解決ipv4位址短缺的問題,通過內網到外網出口的nat路由器 有nat功能的路由器 將許多的內網ip位址對映為少數的幾個外網ip位址,使得內網只有私有位址的計算機也能上網。內網pc向外網pc傳送請求,途徑某出口nat路由器 該路由器先檢視它自己是公網位址池,取出一條可用的公網位址,將 轉換前的源...

NAT位址轉換配置

1.靜態nat配置 ip nat inside source static local ip global ip 配置內部位址和外部位址的乙個轉換關係 inte ce g0 1 ip address noshutdown ip nat inside inte ce g0 2 ip address n...

NAT 位址轉換技術

在邊緣路由器上實現內部位址與公網位址的轉換nat 按照網路拓撲圖,配置好三層交換機,建立vlan,給vlan配置適當的ip位址,把介面加入相應的vlan,使所有vlan之間的主機能正確路由 配置路由器的介面ip位址,並啟用介面 配置路由器對端三層交換機介面的位址,並啟用該介面 在邊緣路由器上指定na...