NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。

    (1)NAT简介:

    在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,不仅完美地解决了公网lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

在学习配置NAT之前,需要明确两种概念:

内部本地地址:需要访问Internet网络的内网IP地址(私有IP地址),是计算机在内网中的身份标识。内网地址(池)往往使用ACL(Access List)技术指定。

内部全局地址:NAT转换中对应的公网IP地址,是内网中计算机在Internet环境中的外部身份标识。

由于内网中的计算机IP地址是私有IP地址,不能直接用于Internet,故NAT服务相当于给予内网计算机能用于Internet的公网IP地址身份,实现内网计算机与Internet的通信。

NAT类型:

静态NAT(Static Nat)

内部本地地址和内部全局地址是一对一的关系,公网可通过全局地址直接访问对应的内网主机,这种方式主要用于配置内网服务器。

动态NAT(Dynamic Nat)

内部本地地址池对应一个内部全局地址池,本地地址和全局地址之间是多对多的关系(微观上看是一对一的关系)。由于内网IP和公网IP之间的对应不固定,故外网不能访问内网主机。

端口多路复用(Port address Translation,PAT)

也称为NPAT(Network Port address Translation),所有内部本地地址共享同一个内部全局地址,即本地地址和全局地址之间是多对一的关系,内网主机依靠端口来区分,由于端口是随机的,故外网不能直接访问内网,这对内网起到一定保护作用,但可访问内网中绑定固定端口的某台主机或服务器。

(2)静态NAT的配置:

静态NAT将一个特定的内部本地地址(Inside Local Address)静态地映射到一个内部全局地址(Inside Global Address),这意味着静态NAT中每一个被映射的内部本地地址,一定对应着一个固定而且唯一的内部全局地址。这种方式不但可以让内网设备访问外网,而且还可以让外网直接访问内网设备。

常用的静态NAT配置命令:

示例一:配置静态NAT

步骤一:配置各接口ip地址:

RA:

en

conf t

host RA

int f0/

ip add 192.168.0.254 255.255.255.0

no shut

int s0//

ip add 200.200.10.1 255.255.255.0

no shut

bandwidth

end

RB:

en

conf t

host RB

int s0//

clock rate

bandwidth

ip add 200.200.10.2 255.255.255.0

no shut

int s0//

ip add 200.200.20.2 255.255.255.0

bandwidth

no shut

end

RC:

en

conf t

host RC

int f0/

ip add 100.100.10.254 255.255.255.0

no shut

int s0//

ip add 200.200.20.1 255.255.255.0

clock rate

bandwidth

no shut

步骤二:配置静态路由:

RA:
ip route 200.200.10.0 255.255.255.0 200.200.20.2
ip route 100.100.10.0 255.255.255.0 200.200.10.2
RB:
ip route 100.100.10.0 255.255.255.0 200.200.20.1
ip route 192.168.0.0 255.255.255.0 200.200.10.1

RC:
ip route 200.200.20.0 255.255.255.0 200.200.10.2
ip route 192.168.0.0 255.255.255.0 200.200.10.2

步骤三:配置NAT:

RA:

en

conf t

ip nat inside source static 192.168.0.1 200.200.10.3

int f0/

ip nat inside

int s0//

ip nat outside

end

RC:

en

conf t

ip nat inside source static 100.100.10.1 200.200.20.3

int f0/

ip nat inside

int s0//

ip nat outside

end

测试:

    (3)动态NAT的配置:

动态NAT又称为动态地址翻译(Dynamic Address Translation),它是将内部本地地址与内部全局地址作一对一的替换。

内部全局地址以地址池的形式供选择,内部本地地址只要符合访问外网的条件,在做地址转换时,就从地址池中动态地选取最小的还没分配的内部全局地址来替换,其转换步骤如下:

()根据可用的内部全局地址范围,建立地址池。

()利用ACL,定义允许访问外网的内部地址范围。

()定义内部地址与地址池之间的转换关系。

()定义内网端口和外网端口。

常用的动态NAT配置命令:

    示例二:配置动态NAT:

步骤一:配置ip地址和路由:

RA:

en

conf t

host RA

int f0/

ip add 192.168.1.254 255.255.255.0

no shut

int s0//

clock rate

bandwidth

ip add 220.220.10.1 255.255.255.0

no shut

exit

ip route 172.16.1.0 255.255.255.0 220.220.10.11

end

RB:

en

conf t

host RB

int f0/

ip add 172.16.1.254 255.255.255.0

no shut

int s0//

bandwidth

ip add 220.220.10.11 255.255.255.0

no shut

exit

ip route 192.168.1.0 255.255.255.0 220.220.10.11

end

步骤二:配置动态NAT:

RA:

en

conf t

ip nat pool p1 220.220.10.2 220.220.10.10 netmask 225.255.255.0

access-list  permit ip 192.168.1.0 0.0.0.255 any

int f0/

ip nat inside

int s0//

ip nat outside

end

RB:

en

conf t

ip nat pool p1 220.220.10.12 220.220.10.20 netmask 225.255.255.0

access-list  permit ip 172.16.1.0 0.0.0.255 any

int f0/

ip nat inside

int s0//

ip nat outside

end

  配置结果:

IP地址转换结果:

问题:如果路由器两边同时配置NAT网络地址转换会出现在串行链路一直循环寻路,找不到目标IP地址。

    (4)NPAT的配置:

NPAT可以用于地址伪装(Address Masquerading),它可以让多个内网设备使用一个IP地址同时访问外网。

 NPAT的转换步骤如下:

()利用ACL,定义允许访问外网的内部IP地址范围。

()为外网IP地址定义一个地址池名。

()将地址池赋予在第()步中定义的内部IP地址范围,并标明为overload(超载,即PAT)方式。

()定义内网端口和外网端口。

常用的NPAT配置命令:

    示例三:配置NPAT超载:

  

步骤一:配置接口ip和路由(省略)

步骤二:配置NPAT

RA:(用地址池)

en

conf t

access-list  permit ip 192.168.1.0 0.0.0.255 any

ip nat pool p1 200.200.10.2 200.200.10.2 netmask 255.255.255.0

ip nat inside source list  pool p1 overload

int f0/

ip nat inside

int f0/

ip nat outside

end

RA:(用接口)

en

conf t

access-list  permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list  interface f0/ overload

int f0/

ip nat inside

int f0/

ip nat outside

end

配置结果:

NAT转换的详细信息:

  (5)验证NAT和NPAT的配置:

配置完NAT和NPAT后,可以使用表 8.4中的命令来测试它是否正常工作:

实验文档下载地址:http://files.cnblogs.com/files/MenAngel/NetBlog10.zip

CCNA网络工程师学习进程(10)NAT的配置的更多相关文章

  1. CCNA网络工程师学习进程(1)网络的基本概述

        在互联网快速发展的今天,了解互联网成为一项必须的技能,因此在学习编程之余学习如何配置网络还是很有必要的. 本系列博客计划分为三个部分,包括思科CCNA.CCNP和华为的网络工程师认证有关的知识 ...

  2. CCNA网络工程师学习进程(6)vlan相关协议的配置与路由器简单配置介绍

        前面已经介绍了大部分与vlan技术相关的交换机的协议的配置,更深层次的还有STP协议和以太网端口聚合技术,接着还会简单介绍一下路由器的基本应用.     (1)STP(Spanning-tre ...

  3. CCNA网络工程师学习进程(3)常规网络设计模型与基本的网络协议

        本节介绍分层的网络设计模型与基本的网络协议,包括ARP协议,ICMP协议和IP协议.     (1)三层网络架构: 一个好的园区网设计应该是一个分层的设计.一般分为接入层.汇聚层(分布层).核 ...

  4. CCNA网络工程师学习进程(5)路由器和交换机的登录安全配置和vlan划分

        本节详细介绍路由器和交换机的登录安全配置以及VLAN划分的原理.     (1)登录安全配置: 路由器登录有两种验证方式:有本地验证方式和远程验证方式.本地登录验证方式可以配置用户名和密码也可 ...

  5. CCNA网络工程师学习进程(7)路由器的路由配置

        前面一节已经介绍了路由器的端口配置,接着我们介绍路由器的路由配置:静态路由.默认路由和浮动路由的配置:动态路由协议的配置,包括RIP.IGRP.EIGRP和OSPF.     (1)路由器的基 ...

  6. CCNA网络工程师学习进程(8)访问控制列表ACL

    前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access C ...

  7. CCNA网络工程师学习进程(9)GNS3的安装与配置

        本节将简单介绍一下网络设备模拟软件GNS3的配置和使用方法.     (1)GNS3概述: GNS3是一款具有图形化界面可以运行在多平台(包括Windows, Linux, and MacOS ...

  8. CCNA网络工程师学习进程(2)基本的网络设备

      在组网技术中用到的设备有中继器(Repeater).集线器(Hub).网桥(Bridge).交换机(Switch).路由器(Router).分别工作在OSI参考模型中的物理层.数据链路层和网络层. ...

  9. CCNA网络工程师学习进程(4)网络设备的基本配置和详细介绍

        网络设备(路由器.交换机和防火墙等)与计算机一样需要操作系统.网络设备采用专用的操作系统,统称为IOS(Internetwork Operating System,网络操作系统).     ( ...

随机推荐

  1. JAVA构造函数的继承

    1.子类中无参构造函数,可直接继承父类中无参构造函数,前提是所有变量均为public 如下:父类Student中有空构造函数Student(),子类Pupil中有空构造函数Pupil(),后者会继承前 ...

  2. cordova调用本地SQLite数据库的方法

    第一篇技术博客,写下来和大家分享今天所学,其次自己也巩固一下. 整个下午的时间用来钻研如何用cordova调用移动端本地SQLite数据库.首先我并不是用eclipse来编程的,而是用cordova建 ...

  3. 谨慎能捕千秋蝉(一)——XSS

    最近在研读<白帽子讲web安全>和<Web前端黑客技术揭秘>,为了加深印象,闲暇之时做了一些总结. 下面是书中出现的一些专有词汇: POC(Proof Of Concept): ...

  4. 百度云推送----iOS

    前言 记录一下这几天学习的百度推送,觉得这个东西弄的还挺糟心的,好多注意的地方 正文 1.先申请一个百度开发者账号 http://push.baidu.com/fc 2.创建一个新应用,并应用配置 3 ...

  5. java byte【】数组与文件读写(增加新功能)

    今天在测试直接写的文章: java byte[]数组与文件读写 时,想调用FileHelper类对字节数组以追加的方式写文件,结果无论怎样竟然数据录入不全,重新看了下文件的追加模式,提供了两种方式: ...

  6. JavaScript中国象棋程序(5) - Alpha-Beta搜索

    "JavaScript中国象棋程序" 这一系列教程将带你从头使用JavaScript编写一个中国象棋程序.这是教程的第5节. 这一系列共有9个部分: 0.JavaScript中国象 ...

  7. 无向图的完美消除序列 判断弦图 ZOJ 1015 Fish net

       ZOJ1015 题意简述:给定一个无向图,判断是否存在一个长度大于3的环路,且其上没有弦(连接环上不同两点的边且不在环上). 命题等价于该图是否存在完美消除序列. 所谓完美消除序列:在 vi,v ...

  8. 每天一个linux命令(48)--ln命令

    ln是Linux中又一个非常重要的命令,它的功能是为某个文件在另外一个位置建立一个同步的链接,当我们需要在不同的目录,用到相同的文件时,我们不需要在每个需要的目录下都放一个相同的文件,我们只要在某个固 ...

  9. hibernate中一种导致a different object with the same identifier value was already associated with the session错误方式及解决方法

    先将自己出现错误的全部代码都贴出来: hibernate.cfg.xml <?xml version="1.0" encoding="UTF-8"?> ...

  10. 完全理解Python迭代对象、迭代器、生成器

    在了解Python的数据结构时,容器(container).可迭代对象(iterable).迭代器(iterator).生成器(generator).列表/集合/字典推导式(list,set,dict ...