NAT 地址转换
NAT功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
1.宽带分享:这是 NAT 主机的最大功能。解决IP4地址短缺的问题。
2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。
NAT实现方式
有三种,即
1.静态转换Static Nat (静态ip 静态端口)
2.动态(源地址)转换Dynamic Nat
3.动态(目的地址)转换Dynamic Nat
4..端口多路复用OverLoad(PAT)
这些东西还是放在前面讲吧,看不懂,记不住无所谓,底层的原理
Inside 内部
Outside 外部
四个概念:
Inside local 内部本地地址(内部主机的实际地址,一般为私有地址)
Inside global 内部全局地址(内部主机经NAT转换后去往外部的地址,是ISP分配的合法IP地址)
Outside local 外部本地地址(外部主机由NAT设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,
认为它是一个内部的主机而非外部主机)
Outside global 外部全局地址(外部主机的真实地址,互联网上的合法IP地址)
数据包只有在 outside 接口和 inside 接口之间路由时,并且符合
一定规则的,才会进行NAT转换。
所以实现NAT的路由器必须配置至少一个 outside 接口和一个 inside 接口,也可配置多个
内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。
外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口
ip nat inside source
ip nat inside destination (很多路由设备没有此选项)
都是内部地址转换
ip nat inside source 即是IL->IG (由内部发起的流量)
ip nat inside destination 即是IG->IL (由外部发起的流量)
撇开流量的发起方不说,达到的效果是一样的(都是IL与IG之间转换),即NAT Translation表的IL和IG项都一样。但是对于ip nat inside destination 需要注意
①只有TCP流量才会转换,ping 流量是不会触发NAT的Destination转换的!
②nat pool 一定要设置type为 rotary!!
cisco的NAT 命令汇总
ip nat inside source list 访问控制列表 (pool 池名 | interface 接口名) overload
ip nat inside source static 本地(ip | 端口) 外部(ip|端口)
ip nat outside source
pool
一.静态转换
1.静态IP转换
是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
. 将网络的一个内部地址L映射到一个外部地址G上。从内部网络发送以L为源的数据包的源地址会被替换成地址G。同时,从外部发往内部网络的目的地址为G的数据包的目的地址会被替换成L。这样内部主机就可以伪装成G与外部网络通信
语法:
ip nat inside source static 内部本地地址 内部全局地址
ip nat inside source static 10.0.0.1 222.2.2.1 // 配置静态NAT
ip nat inside source static 10.0.0.2 222.2.2.2
ip nat inside source static 10.0.0.3 222.2.2.3
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
实例:先设置好ACL语言,再设置NAT转换(使用上述代码)
2.静态端口转换
ip nat inside source static tcp/udp 内部本地地址 端口 内部全局地址 端口
ip nat inside source static tcp 10.0.0.1 80 222.2.2.1 80
ip nat inside source static tcp 10.0.0.2 24 222.2.2.1 24
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
二.动态(源地址)转换
将内部网络访问外部网络数据包的源地址L替换成设定好的全局地址G。使内部网络主机可以用这个全局地址G访问外部网络 ,但外部主机无法用G地址访问内部主机L
1.定义要转换的内部设备
这里使用 acl 访问控制列表
access-list 1 permit host 10.0.0.1
access-list 1 permit host 10.0.0.2
2.定义内部全局IP地址池
ip nat pool 池名 开始地址 结束地址 netmask 子网掩码
ip nat pool nat-pool 222.2.2.1 222.2.2.1 netmask 255.255.255.0
3.为内部本地调用转换地址池
ip nat inside source list acl语句 pool 池名
(这里也可以将池名换为路由器接口,所有动态转换使用此接口ip)
ip nat inside source list 1 pool nat-pool //使用地址池
ip nat inside source list <number> interface <interface> //使用路由器接口
4.定义内部外部端口
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
三.端口映射(pat)
1.定义要转换的内部设备
这里使用 acl 访问控制列表
access-list 1 permit host 10.0.0.1
access-list 1 permit host 10.0.0.2
2.定义内部全局IP地址池
ip nat pool 池名 开始地址 结束地址 netmask 子网掩码
ip nat pool nat-pool 222.2.2.1 222.2.2.1 netmask 255.255.255.0
3.为内部本地调用转换地址池
ip nat inside source list acl语句 pool 池名
overload
ip nat inside source list 1 pool nat-pool overload
四,动态(目的地址)转换
前面的几种情况都是对数据包的源地址进行 转换,下面来说下 对目的地址 转换
将外部主机访问设定好的全局地址G的数据包的目的地址替换成内部主机的地址L,也就是常见的虚拟服务器,
可对转换业务进行端口映射。这样外部主机可以访问内部的主机,但内部主机无法主动访问外部主机。
当配置的地址池中包含一个以上的地址时,外部主机对内部的访问会在这几个地址中做负载均衡
语法:
ip nat inside destination list 访问控制列表编号 pool 池名
NAT内部目标地址转换可用于实现TCP负载均衡,你可以用一台虚拟主机代替
多台实际主机接收用户的TCP请求,由NAT把这些请求轮流映射到各个实际主机上,
达到负载分流的目的。
配置TCP负载均衡时,访问控制列表定义的是虚拟主机的地址,IP地址池中定义的是各台实际主机的地址
范例:
ip nat pool np 192.168.1.1 192.168.1.3 netmask 255.255.255.0 // 内网地址
access-list 1 permit 60.8.1.1 0.0.0.0 //外网地址
ip nat inside destination list 1 pool np //内外网地址进行映射
查询:
show ip nat statistics
查看NAT统计数据和规则,包括inside和outside接口
show ip nat translations
查看生效的NAT设置
清除所有动态NAT配置 clear ip nat translation *
清除单个动态NAT配置: clear ip nat translation <global-ip>
清除特定NAT配置:
clear ip nat translation <global-ip> <local-ip> <protocol> <global-port> <local-port>
debug: debug ip nat [<list>] [detailed]
一些高级配置:
1.更灵活的地址池的配置:
ip nat pool <name> { netmask <mask> | prefix-length <length> } [ type { rotary } ]
这样可以允许定义不连续地址池,接下来定义地址空间: address <start> <end>
例子:
Router(config)#ip nat pool fred prefix-length 24
Router(config-ipnat-pool)#address 171.69.233.225 171.69.233.226
Router(config-ipnat-pool)#address 171.69.233.228 171.69.233.238
这样就定义了一个171.69.233.225-226和and 171.69.233.228-238的地址池
2.翻译为接口地址:
ip nat inside source list <number> interface <interface> overload
如果接口shut或者接口没有设置IP地址的话,NAT不会生效
3.映射某个服务到某个主机上(比如邮件服务):
ip nat inside source static { tcp | udp } <localaddr> <localport> <globaladdr> <globalport>
更高级扩展:
4.对route map的支持:
(route map和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中)
ip nat inside source route-map <name> pool <name>
例子: ip nat pool provider1-space 171.69.232.1 171.69.232.254 prefix-length 24
ip nat pool provider2-space 131.108.43.1 131.108.43.254 prefix-length 24
ip nat inside source route-map provider1-map pool provider1-space
ip nat inside source route-map provider2-map pool provider2-space
interface Serial0/0
ip nat outside
interface Serial0/1
ip nat outside
interface Fddi1/0
ip nat inside
route-map provider1-map permit 10
match ip address 1
match interface Serial0/0
route-map provider2-map permit 10
match ip address 1
match interface Serial0/1
NAT 地址转换的更多相关文章
- 清除路由器NAT地址转换
首先当你的NAT网络地址转换成功搭建起来,并且测试过网络通信时,此时NAT地址转换表上面是存在转换信息的,你可以通过在特权模式下输入命令"show ip nat translation&qu ...
- 手把手系列:实现Nat地址转换
1.实验目的: 掌握内网中的主机C1连接到Internet时,通过NAT实现私有全局地址转换. 2.实验拓扑: 3.实验步骤: 步骤一:给主机C1和C2配置IP地址.子网掩码和网关.如图: C1: ...
- 神州数码NAT地址转换配置
实验要求:熟练掌握NAT地址转换的配置方法 拓扑如下 R1 enable 进入特权模式 config 进入全局模式 hostname R1 修改名称 interface s0/1 进入端口 ip ad ...
- 【原创】锐捷实现OSPF路由协议和NAT地址转换协议
路由网络设计与实施 [锐捷设备实现OSPF路由协议与NAT地址转换] 说明: 本文是在多VLAN双星型交换网络的基础之上发展的.关于组建多VLAN双星型交换网络,请参阅: <思科和锐捷组建多 ...
- NAT地址转换
2017年1月12日, 星期四 NAT地址转换 SNAT:源地址转换 DNAT:目标地址转换 null
- 华为eNSP上的NAT地址转换配置
NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能. 1.实验拓扑 地址表: 1.完成各个接口基本配置之后使用pi ...
- CISCO实验记录九:NAT地址转换
1.静态NAT地址转换 #ip nat inside source static 192.168.12.1 192.168.23.4 //将12.1转为23.4 必须精确到主机IP 而不能是某个网段 ...
- NAT地址转换原理全攻略
NAT转换方式及原理 在NAT的应用中,可以仅需要转换内部地址(就是“内部本地址”转换成“内部全局地址”),这是最典型的应用,如内部网络用户通过NAT转换共享上网:也可以是仅需要转换外部地址(就是“外 ...
- 网络防火墙和NAT地址转换
网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题: (1) 请求-响应报文均会经由FORWARD链,要注意规则的 ...
- 静态NAT地址转换
1.配置路由器端口ip(两个端口需要设置两个网段) Router(config)#inter f0/1 Router(confiog-if)#ip add 202.1.1.2 255.255.255. ...
随机推荐
- 【转】.NET 在云原生时代的蜕变,让我在云时代脱颖而出
原创:张善友 原文:https://www.cnblogs.com/shanyou/p/12198741.html .NET 生态系统是一个不断变化的生态圈,我相信它正在朝着一个伟大的方向发展.有了开 ...
- 聊一聊 InnoDB 引擎中的索引类型
索引对数据库有多重要,我想大家都已经知道了吧,关于索引可能大家会对它多少有一些误解,首先索引是一种数据结构,并且索引不是越多越好.合理的索引可以提高存储引擎对数据的查询效率. 形象一点来说呢,索引跟书 ...
- python小知识点总结
小知识点总结 1.python2和python3的区别 python2 python3 默认编码 ascii utf-8 input() raw_input() input() print 可以不 ...
- CBV 序列化
一.模型表 from django.db import models # Create your models here. class Publish(models.Model): name = mo ...
- 如何用rflask快速初始化Flask Restful项目
如何用rflask快速初始化Flask Restful项目 说明 多啰嗦两句 我们在创建flask项目的时候,使用pycharm创建出来的项目比较简陋,而且随着项目的功能完善,项目目录结构会比较多,多 ...
- python3操作PyMySQL笔记
python3操作mysql需要先安装PyMySQL pip install PyMySQL 在linux登录mysql ,并且在安装数据库时设置了数据库的用户名“root”和密码“root”,mys ...
- 大事务造成的延迟(从binlog入手分析)
log_event.cc 入口: int Query_log_event::do_apply_event(Relay_log_info const *rli,const char *query_arg ...
- codeforces 1278F - Cards(第二类斯特林数+二项式)
传送门 解题过程: \(答案=\sum^n_{i=0}*C^i_n*{\frac{1}{m}}^i*{\frac{m-1}{m}}^{n-i}*i^k\) 根据第二类斯特林数的性质\(n^k=\sum ...
- mysql数据库my.ini配置文件中文详解
mysql数据库my.ini配置文件中文详解 mysqld程序–目录和文件 basedir = path 使用给定目录作为根目录(安装目录). character-sets-dir = path 给出 ...
- Redis 面试题汇总
Redis 面试题汇总 1.Redis 使用场景有哪些? 答:Redis 使用场景如下: 记录帖子点赞数.点击数.评论数 缓存近期热帖 缓存文章详情信息 记录用户会话信息 2.Redis 有哪些功能? ...