NAT(Network Address Traslation)

Functions:
為了緩解IPv4地址的匱乏。
可以應(yīng)用于：更換ISP或兩個(gè)企業(yè)內(nèi)部網(wǎng)絡(luò)合并而需要修改內(nèi)部地址方案的時(shí)。

Integrate Static and Dynamic NAT:
以下為需要結(jié)合使用動態(tài)和靜態(tài)NAT的情況：
1>有多個(gè)地址空間重疊的網(wǎng)絡(luò)
2>修改了方案(更換了ISP)
3>網(wǎng)絡(luò)服務(wù)器(DNS或WEB服務(wù)器)的地址不能變


NAT Teminology and Conception:
NAT的實(shí)現(xiàn)是通過修改IP分組的報(bào)頭，更換其中的源地址/目標(biāo)地址，或全部。
內(nèi)部/外部：IP主機(jī)相對于NAT設(shè)備的物理位置。
本地/全局：用戶相對于NAT設(shè)備的位置或視角。

內(nèi)部本地IP地址：私有的IP地址。分配給內(nèi)部網(wǎng)絡(luò)的IP地址。
內(nèi)部全局IP地址：合法的IP地址。將內(nèi)部IP地址轉(zhuǎn)換成的目標(biāo)地址，代表內(nèi)部主機(jī)訪問外部網(wǎng)絡(luò)。
外部全局IP地址：合法的IP地址。另一網(wǎng)絡(luò)的主機(jī)使用的相對于它的全局地址，代表它訪問外部網(wǎng)絡(luò)。
外部本地IP地址：私有的IP地址。本地網(wǎng)絡(luò)看到的外部網(wǎng)絡(luò)的IP地址，有NAT設(shè)備轉(zhuǎn)換成形成的。

Static Translation:轉(zhuǎn)換規(guī)則是靜態(tài)指定的，此條目既可以從內(nèi)部也可以從外部發(fā)起連接，因?yàn)檗D(zhuǎn)換后的地址總是保留在轉(zhuǎn)換表中。(不論是使用inside-source-list或是outside-source-list)
Dynamic Translation:轉(zhuǎn)換規(guī)則是動態(tài)的指定，IP地址動態(tài)的從特定的地址池中取出來。此條目只能從內(nèi)部或外部發(fā)起連接，取決于配置。
如果使用命令：ip nat inside source list配置只能從內(nèi)部到外部的動態(tài)NAT，即只能從內(nèi)部發(fā)起連接。
如果使用命令：ip nat outside source list配置只能從外部到內(nèi)部的動態(tài)NAT，即只能從外部發(fā)起連接。

Character:
優(yōu)點(diǎn)：
1>企業(yè)網(wǎng)可以使用私有IP地址在內(nèi)部，節(jié)省了IP地址。
2>可減少編址方案的重疊情況。使有相同編址方案的網(wǎng)絡(luò)可以共存。
3>更換ISP時(shí)不需要改變編址方案。

缺點(diǎn)：
1>NAT會增加延遲，因?yàn)镃PU要檢查每個(gè)分組。此時(shí)默認(rèn)，處理第一次轉(zhuǎn)換時(shí)，轉(zhuǎn)換被存儲到高速緩存中，對于隨后的分組將進(jìn)行快速交換。
2>NAT導(dǎo)致無法進(jìn)行端到端的IP跟蹤，但同時(shí)增加了安全性。
3>NAT使某些在有效負(fù)載中使用IP地址的應(yīng)用無法運(yùn)行，這是因?yàn)橐D(zhuǎn)換有效負(fù)載中的IP地址，NAT必須地知道從哪里開始。所以部署NAT時(shí)，應(yīng)核實(shí)NAT是否支持已有的應(yīng)用。


Configuration Command Reference:
1> ip nat {inside|outside}
2> ip nat inside source static {tcp|udp local-ip local-port global-ip global-port}
3> ip nat outside source static {tcp|udp local-ip local-port global-ip global-port}
4> ip nat pool pool-name start-ip end-ip {netmask netmask|prefix-length prefix-length} [type rotary]
5> ip nat inside source list access-list-number pool pool-name
6> ip nat outside source list access-list-number pool pool-name


Case Study:轉(zhuǎn)換內(nèi)部源地址
Static NAT Translation:
R1(config)#ip nat inside source static 10.1.1.1 192.168.2.2
R1(config)#int e0
R1(config-if)#ip add 10.1.1.10 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#ip nat outside

Static PAT Translation:
R1(config)#ip nat inside source static tcp 10.1.1.1 80 192.168.2.2 80
R1(config)#ip nat inside source static tcp 10.1.1.2 25 192.168.2.2 25
R1(config)#int e0
R1(config-if)#ip add 10.1.1.10 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#ip nat outside

Dynamic NAT Translation:
R1(config)#ip nat pool sense-nat-list 192.168.2.1 192.168.2.254 netmask 255.255.255.0
R1(config)#ip nat inside source list 1 pool sense-nat-list
R1(config)#int e0
R1(config-if)#ip add 10.1.1.10 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#ip nat outside
R1(config)#access-list 1 10.1.1.0 0.0.0.255


Case Study:轉(zhuǎn)換外部源地址
Static NAT Translation:
R1(config)#ip nat outside source static 172.20.7.3 192.168.2.4
R1(config)#int e0
R1(config-if)#ip add 10.1.1.10 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#ip nat outside

Static PAT Translation:
R1(config)#ip nat outside source static tcp 172.20.7.3 80 192.168.2.4 80
R1(config)#ip nat outside source static tcp 172.20.7.4 25 192.168.2.4 25
R1(config)#int e0
R1(config-if)#ip add 10.1.1.10 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#ip nat outside

Dynamic NAT Translation:
R1(config)#ip nat pool sense-nat-list 192.168.2.1 192.168.2.254 netmask 255.255.255.0
R1(config)#ip nat outside source list 1 pool sense-nat-list
R1(config)#int e0
R1(config-if)#ip add 10.1.1.10 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#ip nat outside
R1(config)#access-list 1 172.20.7.0 0.0.0.255


Case Study:重載內(nèi)部全局地址
Dynamic PAT Translation:
R1(config)#ip nat pool sense-pat-list 192.168.2.1 192.168.2.2 netmask 255.255.255.0
R1(config)#ip nat inside source list 1 pool sense-nat-list overload
R1(config)#int e0
R1(config-if)#ip add 10.1.1.10 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip add 172.16.2.1 255.255.255.0
R1(config-if)#ip nat outside
R1(config)#access-list 1 10.1.1.0 0.0.0.255


Case Study:處理地址空間重疊的網(wǎng)絡(luò)
注：處理地址空間重疊的網(wǎng)絡(luò)時(shí)，NAT結(jié)合使用了內(nèi)部源地址轉(zhuǎn)換和外部源地址的轉(zhuǎn)換，即雙向NAT。配置了外部源地址轉(zhuǎn)換后，NAT路由器自動接收來自外部網(wǎng)絡(luò)的DNS應(yīng)答，以確保將正確的內(nèi)部全局地址返回給發(fā)出請求的內(nèi)部主機(jī)。

R1(config)#ip nat pool sense-nat-in-out 192.2.2.1 192.2.2.250 prefix-length 24
R1(config)#ip nat pool sense-nat-out-in 192.3.3.3. 192.3.3.254 prefix-length 24
R1(config)#ip nat inside source list 1 pool sense-nat-in-out
R1(config)#ip nat outside source list 1 pool sense-nat-out-in
R1(config)#int s0
R1(config-if)#ip add 192.2.2.251 255.255.255.0
R1(config-if)#ip nat outside
R1(config)#int e0
R1(config-if)#ip add 10.1.1.254 255.255.255.0
R1(config-if)#ip nat inside
R1(config)#access-list 1 permit 10.1.1.0 0.0.0.255


Case Study:TCP負(fù)載分配
這是NAT對static translation的一種擴(kuò)展，可以將一個(gè)全局的地址映射到多個(gè)內(nèi)部地址，以便在多個(gè)服務(wù)器之間的會話分配。例如：WEB/FTP/DNS服務(wù)器負(fù)載均衡。此時(shí)，NAT設(shè)備就可以被稱為虛擬主機(jī)。

R1(config)#ip nat pool sense-webserver 171.70.2.3 171.70.2.4 netmask 255.255.255.0 type rotary
R1(config)#access-list 46 permit host 171.70.2.10
R1(config)#ip nat inside destination list 46 pool sense-webserver
R1(config)#int e0
R1(config-if)#ip nat inside
R1(config)#int s0
R1(config-if)#ip nat outside

注：
1>type rotary指定NAT設(shè)備在轉(zhuǎn)換時(shí)，輪流使用地址池中的servers,以實(shí)現(xiàn)TCP負(fù)載均衡。
2>ACL 46指定只是對虛擬主機(jī)地址時(shí)行轉(zhuǎn)換。


Case Study:Troubleshooting NAT
1>show ip nat translations [verbose]?????? 顯示活動的轉(zhuǎn)換條目，verbose參數(shù)顯示更詳細(xì)的信息

rta(config)#do sh ip nat tr
Pro Inside global????? Inside local?????? Outside local????? Outside global
--- 192.168.2.2??????? 10.1.1.1?????????? ---??????????????? ---
tcp 192.168.2.2:80???? 10.1.1.1:80??????? ---??????????????? ---
--- ---??????????????? ---??????????????? 192.168.2.4??????? 172.20.7.3

rta(config)#do sh ip nat tr ve
Pro Inside global????? Inside local?????? Outside local????? Outside global
--- 192.168.2.2??????? 10.1.1.1?????????? ---??????????????? ---
??? create 00:01:06, use 00:01:06,
??? flags:
static, use_count: 0
tcp 192.168.2.2:80???? 10.1.1.1:80??????? ---??????????????? ---
??? create 00:00:39, use 00:00:39,
??? flags:
static, extended, extendable, use_count: 0
--- ---??????????????? ---??????????????? 192.168.2.4??????? 172.20.7.3
??? create 00:01:42, use 00:01:42,
??? flags:
static, outside, use_count: 0


2>show ip nat statistics?????? 顯示有關(guān)轉(zhuǎn)換的統(tǒng)計(jì)信息
rta(config)#do sh ip nat st
Total active translations: 3 (3 static, 0 dynamic; 1 extended)
Outside interfaces:
Inside interfaces:
Hits: 0? Misses: 0
Expired translations: 0
Dynamic mappings:


3>debug ip nat [access-list-number|detailed]



Case Study:刪除NAT轉(zhuǎn)換條目
clear ip nat translation *????????????? 刪除所有轉(zhuǎn)換條目
clear ip nat translation inside global-ip local-ip [outside local-ip global-ip]
刪除一個(gè)進(jìn)行內(nèi)部轉(zhuǎn)換或內(nèi)部和外部轉(zhuǎn)換的簡單轉(zhuǎn)換條目
clear ip nat translation outside local-ip global-ip
刪除一個(gè)進(jìn)行外部轉(zhuǎn)換的簡單轉(zhuǎn)換條目
clear ip nat translation inside global-ip global-port local-ip local-port [outside local-ip local-port global-ip global-port]
刪除一個(gè)擴(kuò)展的轉(zhuǎn)換條目



Support:
Cisco IOS NAT支持以下數(shù)據(jù)流類型：
1>不在應(yīng)用數(shù)據(jù)中攜帶源/目標(biāo)IP地址的TCP/UDP數(shù)據(jù)流
2>HTTP
3>TFTP
4>Telnet
5>Archie
6>Finger
7>NTP
8>NFS
9>rlogin,rsh,rcp

雖然下述數(shù)據(jù)流類型在應(yīng)用數(shù)據(jù)中攜帶IP地址，但Cisco IOS NAT支持它們：
1>ICMP
2>FTP(包括命令PORT和PASV)
3>NetBIOS over TCP/IP(數(shù)據(jù)報(bào)，名稱和會話服務(wù))
4>Progressive Networks的RealAudio
5>White Pines的CuSeeMe
6>Xing Technologies的Streamworks
7>DNS "A"和"PTR"查詢
8>H.323/NetMeeting (12.0(1)/12.0(1)T及更高版本)
9>VDOLive(11.3(4)/11.3(4)T及更高版本)
10>Vxtreme(11.3(4)/11.3(4)T及更高版本)
11>IP多播(12.0(1)T,只轉(zhuǎn)換源地址)

Cisco IOS不支持下述數(shù)據(jù)流類型：
1>路由選擇表更新
2>DNS區(qū)域(zone)傳輸
3>BOOTP
4>talk,ntalk
5>SNMP
6>NetShow
7>×××本文出自 51CTO.COM技術(shù)博客

轉(zhuǎn)載于:https://blog.51cto.com/dyspangzi/155412

總結(jié)

以上是生活随笔為你收集整理的NAT详解!的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。