NAT 地址转换
NAT功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
1.宽带分享:这是 NAT 主机的最大功能。解决IP4地址短缺的问题。
2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。
NAT实现方式
有三种,即
1.静态转换Static Nat (静态ip 静态端口)
2.动态(源地址)转换Dynamic Nat
3.动态(目的地址)转换Dynamic Nat
4..端口多路复用OverLoad(PAT)
这些东西还是放在前面讲吧,看不懂,记不住无所谓,底层的原理
Inside 内部
Outside 外部
四个概念:
Inside local 内部本地地址(内部主机的实际地址,一般为私有地址)
Inside global 内部全局地址(内部主机经NAT转换后去往外部的地址,是ISP分配的合法IP地址)
Outside local 外部本地地址(外部主机由NAT设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,
认为它是一个内部的主机而非外部主机)
Outside global 外部全局地址(外部主机的真实地址,互联网上的合法IP地址)
数据包只有在 outside 接口和 inside 接口之间路由时,并且符合
一定规则的,才会进行NAT转换。
所以实现NAT的路由器必须配置至少一个 outside 接口和一个 inside 接口,也可配置多个
内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。
外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口
ip nat inside source
ip nat inside destination (很多路由设备没有此选项)
都是内部地址转换
ip nat inside source 即是IL->IG (由内部发起的流量)
ip nat inside destination 即是IG->IL (由外部发起的流量)
撇开流量的发起方不说,达到的效果是一样的(都是IL与IG之间转换),即NAT Translation表的IL和IG项都一样。但是对于ip nat inside destination 需要注意
①只有TCP流量才会转换,ping 流量是不会触发NAT的Destination转换的!
②nat pool 一定要设置type为 rotary!!
cisco的NAT 命令汇总
ip nat inside source list 访问控制列表 (pool 池名 | interface 接口名) overload
ip nat inside source static 本地(ip | 端口) 外部(ip|端口)
ip nat outside source
pool
一.静态转换
1.静态IP转换
是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
. 将网络的一个内部地址L映射到一个外部地址G上。从内部网络发送以L为源的数据包的源地址会被替换成地址G。同时,从外部发往内部网络的目的地址为G的数据包的目的地址会被替换成L。这样内部主机就可以伪装成G与外部网络通信
语法:
ip nat inside source static 内部本地地址 内部全局地址
ip nat inside source static 10.0.0.1 222.2.2.1 // 配置静态NAT
ip nat inside source static 10.0.0.2 222.2.2.2
ip nat inside source static 10.0.0.3 222.2.2.3
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
实例:先设置好ACL语言,再设置NAT转换(使用上述代码)
2.静态端口转换
ip nat inside source static tcp/udp 内部本地地址 端口 内部全局地址 端口
ip nat inside source static tcp 10.0.0.1 80 222.2.2.1 80
ip nat inside source static tcp 10.0.0.2 24 222.2.2.1 24
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
二.动态(源地址)转换
将内部网络访问外部网络数据包的源地址L替换成设定好的全局地址G。使内部网络主机可以用这个全局地址G访问外部网络 ,但外部主机无法用G地址访问内部主机L
1.定义要转换的内部设备
这里使用 acl 访问控制列表
access-list 1 permit host 10.0.0.1
access-list 1 permit host 10.0.0.2
2.定义内部全局IP地址池
ip nat pool 池名 开始地址 结束地址 netmask 子网掩码
ip nat pool nat-pool 222.2.2.1 222.2.2.1 netmask 255.255.255.0
3.为内部本地调用转换地址池
ip nat inside source list acl语句 pool 池名
(这里也可以将池名换为路由器接口,所有动态转换使用此接口ip)
ip nat inside source list 1 pool nat-pool //使用地址池
ip nat inside source list <number> interface <interface> //使用路由器接口
4.定义内部外部端口
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
三.端口映射(pat)
1.定义要转换的内部设备
这里使用 acl 访问控制列表
access-list 1 permit host 10.0.0.1
access-list 1 permit host 10.0.0.2
2.定义内部全局IP地址池
ip nat pool 池名 开始地址 结束地址 netmask 子网掩码
ip nat pool nat-pool 222.2.2.1 222.2.2.1 netmask 255.255.255.0
3.为内部本地调用转换地址池
ip nat inside source list acl语句 pool 池名
overload
ip nat inside source list 1 pool nat-pool overload
四,动态(目的地址)转换
前面的几种情况都是对数据包的源地址进行 转换,下面来说下 对目的地址 转换
将外部主机访问设定好的全局地址G的数据包的目的地址替换成内部主机的地址L,也就是常见的虚拟服务器,
可对转换业务进行端口映射。这样外部主机可以访问内部的主机,但内部主机无法主动访问外部主机。
当配置的地址池中包含一个以上的地址时,外部主机对内部的访问会在这几个地址中做负载均衡
语法:
ip nat inside destination list 访问控制列表编号 pool 池名
NAT内部目标地址转换可用于实现TCP负载均衡,你可以用一台虚拟主机代替
多台实际主机接收用户的TCP请求,由NAT把这些请求轮流映射到各个实际主机上,
达到负载分流的目的。
配置TCP负载均衡时,访问控制列表定义的是虚拟主机的地址,IP地址池中定义的是各台实际主机的地址
范例:
ip nat pool np 192.168.1.1 192.168.1.3 netmask 255.255.255.0 // 内网地址
access-list 1 permit 60.8.1.1 0.0.0.0 //外网地址
ip nat inside destination list 1 pool np //内外网地址进行映射
查询:
show ip nat statistics
查看NAT统计数据和规则,包括inside和outside接口
show ip nat translations
查看生效的NAT设置
清除所有动态NAT配置 clear ip nat translation *
清除单个动态NAT配置: clear ip nat translation <global-ip>
清除特定NAT配置:
clear ip nat translation <global-ip> <local-ip> <protocol> <global-port> <local-port>
debug: debug ip nat [<list>] [detailed]
一些高级配置:
1.更灵活的地址池的配置:
ip nat pool <name> { netmask <mask> | prefix-length <length> } [ type { rotary } ]
这样可以允许定义不连续地址池,接下来定义地址空间: address <start> <end>
例子:
Router(config)#ip nat pool fred prefix-length 24
Router(config-ipnat-pool)#address 171.69.233.225 171.69.233.226
Router(config-ipnat-pool)#address 171.69.233.228 171.69.233.238
这样就定义了一个171.69.233.225-226和and 171.69.233.228-238的地址池
2.翻译为接口地址:
ip nat inside source list <number> interface <interface> overload
如果接口shut或者接口没有设置IP地址的话,NAT不会生效
3.映射某个服务到某个主机上(比如邮件服务):
ip nat inside source static { tcp | udp } <localaddr> <localport> <globaladdr> <globalport>
更高级扩展:
4.对route map的支持:
(route map和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中)
ip nat inside source route-map <name> pool <name>
例子: ip nat pool provider1-space 171.69.232.1 171.69.232.254 prefix-length 24
ip nat pool provider2-space 131.108.43.1 131.108.43.254 prefix-length 24
ip nat inside source route-map provider1-map pool provider1-space
ip nat inside source route-map provider2-map pool provider2-space
interface Serial0/0
ip nat outside
interface Serial0/1
ip nat outside
interface Fddi1/0
ip nat inside
route-map provider1-map permit 10
match ip address 1
match interface Serial0/0
route-map provider2-map permit 10
match ip address 1
match interface Serial0/1
NAT 地址转换的更多相关文章
- 清除路由器NAT地址转换
首先当你的NAT网络地址转换成功搭建起来,并且测试过网络通信时,此时NAT地址转换表上面是存在转换信息的,你可以通过在特权模式下输入命令"show ip nat translation&qu ...
- 手把手系列:实现Nat地址转换
1.实验目的: 掌握内网中的主机C1连接到Internet时,通过NAT实现私有全局地址转换. 2.实验拓扑: 3.实验步骤: 步骤一:给主机C1和C2配置IP地址.子网掩码和网关.如图: C1: ...
- 神州数码NAT地址转换配置
实验要求:熟练掌握NAT地址转换的配置方法 拓扑如下 R1 enable 进入特权模式 config 进入全局模式 hostname R1 修改名称 interface s0/1 进入端口 ip ad ...
- 【原创】锐捷实现OSPF路由协议和NAT地址转换协议
路由网络设计与实施 [锐捷设备实现OSPF路由协议与NAT地址转换] 说明: 本文是在多VLAN双星型交换网络的基础之上发展的.关于组建多VLAN双星型交换网络,请参阅: <思科和锐捷组建多 ...
- NAT地址转换
2017年1月12日, 星期四 NAT地址转换 SNAT:源地址转换 DNAT:目标地址转换 null
- 华为eNSP上的NAT地址转换配置
NAT是将IP数据报文报头中的IP地址转换为另一个IP地址的过程,主要用于实现内部网络(私有IP地址)访问外部网络(公有IP地址)的功能. 1.实验拓扑 地址表: 1.完成各个接口基本配置之后使用pi ...
- CISCO实验记录九:NAT地址转换
1.静态NAT地址转换 #ip nat inside source static 192.168.12.1 192.168.23.4 //将12.1转为23.4 必须精确到主机IP 而不能是某个网段 ...
- NAT地址转换原理全攻略
NAT转换方式及原理 在NAT的应用中,可以仅需要转换内部地址(就是“内部本地址”转换成“内部全局地址”),这是最典型的应用,如内部网络用户通过NAT转换共享上网:也可以是仅需要转换外部地址(就是“外 ...
- 网络防火墙和NAT地址转换
网络防火墙 iptables/netfilter网络防火墙: (1) 充当网关 (2) 使用filter表的FORWARD链 注意的问题: (1) 请求-响应报文均会经由FORWARD链,要注意规则的 ...
- 静态NAT地址转换
1.配置路由器端口ip(两个端口需要设置两个网段) Router(config)#inter f0/1 Router(confiog-if)#ip add 202.1.1.2 255.255.255. ...
随机推荐
- cogs 364. [HDU 1548] 奇怪的电梯 Dijkstra
364. [HDU 1548] 奇怪的电梯 ★ 输入文件:lift.in 输出文件:lift.out 简单对比时间限制:1 s 内存限制:128 MB [问题描述] 呵呵,有一天我做了 ...
- 《C# 爬虫 破境之道》:第一境 爬虫原理 — 第四节:同步与异步请求方式
前两节,我们对WebRequest和WebResponse这两个类做了介绍,但两者还相对独立.本节,我们来说说如何将两者结合起来,方式有哪些,有什么不同. 1.4.1 说结合,无非就是我们如何发送一个 ...
- Java动态编译技术原理
这里介绍Java动态编译技术原理! 编译,一般来说就是将源代码转换成机器码的过程,比如在C语言中中,将C语言源代码编译成a.out,,但是在Java中的理解可能有点不同,编译指的是将java 源代码转 ...
- js 获取元素坐标 和鼠标点击坐标
js 获取元素的位置 var odiv=document.getElementById('divid'); alert(odiv.getBoundingClientRect().left); aler ...
- Web容器、Servlet容器、Spring容器、SpringMVC容器之间的关系
以下内容为个人理解,如有误还请留言指出,不胜感激! Web容器 web容器(web服务器)主要有:Apache.IIS.Tomcat.Jetty.JBoss.webLogic等,而Tomcat.Jet ...
- [ZJOI2006]书架(权值splay)
[ZJOI2006]书架(luogu) Description 题目描述 小T有一个很大的书柜.这个书柜的构造有些独特,即书柜里的书是从上至下堆放成一列.她用1到n的正整数给每本书都编了号. 小T在看 ...
- AI初探
看东西应该记笔记,不然如过眼云烟,如只逛商场,不买东西,不留下带走什么,就是浪费时间,没有收获,仅此开始,定期梳理看过的东西. 人工智能的目的是什么呢? 答:让机器表现得更像人类,甚至在某些技能上超越 ...
- reactNative-解决react native使用fetch函数 Network request failed 问题
解决react native使用fetch函数Network request failed问题 最近公司新开发一个app, 用react native架构好后,用xcode模拟器打开app,对接登陆接 ...
- Java框架-MyBatis三剑客之MyBatis Generator(mybatis-generator MBG插件)详解
生成器设计思路: 连接数据库 -> 获取表结构 -> 生成文件 1 下载与安装 官网文档入口 最方便的 maven 插件使用方式 贴至pom 文件 2 新建配置文件 填充配置信息(官网示例 ...
- Spring 核心功能演示
Spring 核心功能演示 Spring Framework 简称 Spring,是 Java 开发中最常用的框架,地位仅次于 Java API,就连近几年比较流行的微服务框架 SpringBoot, ...