?

NAT技術(shù)(一、二、三、四、五) 系列：https://blog.51cto.com/wwwcisco/category1.html

CCNA學(xué)習(xí)筆記之NAT：http://sweetpotato.blog.51cto.com/533893/1392884
網(wǎng)絡(luò)地址轉(zhuǎn)換NAT原理及應(yīng)用：http://blog.csdn.net/xiaofei0859/article/details/6630467
NAT技術(shù)基本原理與應(yīng)用：http://www.cnblogs.com/dongzhuangdian/p/5105844.html
NAT地址轉(zhuǎn)換原理全攻略：http://blog.csdn.net/lycb_gz/article/details/12079455
NAT基本結(jié)構(gòu)和分類：http://blog.csdn.net/lycb_gz/article/details/11999459

?

?

NAT?

?

一、概述

?

? ? ? ? NAT ( Network?Address?Translation ) 中文意思是"網(wǎng)絡(luò)地址轉(zhuǎn)換"，它是一個(gè)IETF(Internet?Engineering?Task?Force,?Internet工程任務(wù)組) 標(biāo)準(zhǔn)，允許一個(gè)整體機(jī)構(gòu)以一個(gè)公用IP（Internet?Protocol）地址出現(xiàn)在Internet上。顧名思義，它是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT 可以讓那些使用私有地址的內(nèi)部網(wǎng)絡(luò)連接到Internet或其它IP網(wǎng)絡(luò)上。NAT路由器在將內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包發(fā)送到公用網(wǎng)絡(luò)時(shí)，在IP包的報(bào)頭把私有地址轉(zhuǎn)換成合法的IP地址。

?

RFC1918規(guī)定了三塊專有的地址，作為私有的內(nèi)部組網(wǎng)使用：

• A類：10.0.0.0—10.255.255.255 ? ? ?10.0.0.0/8
• B類：172.16.0.0—172.31.255.255 ??172.16.0.0/12
• C類：192.168.0.0—192.168.255.255?192.168.0.0/16

這三塊私有地址本身是可路由的，只是公網(wǎng)上的路由器不會(huì)轉(zhuǎn)發(fā)這三塊私有地址的流量；當(dāng)一個(gè)公司內(nèi)部配置了這些私有地址后，內(nèi)部的計(jì)算機(jī)在和外網(wǎng)通信時(shí)，公司的邊界路由會(huì)通過NAT或者PAT技術(shù)，將內(nèi)部的私有地址轉(zhuǎn)換成外網(wǎng)IP，外部看到的源地址是公司邊界路由轉(zhuǎn)換過的公網(wǎng)IP地址，這在某種意義上也增加了內(nèi)部網(wǎng)絡(luò)的安全性。

? ? ? ? Basic NAT是一種把一組IP地址映射成另一組IP地址的方法，映射的過程在IP中繼設(shè)備上完成，對(duì)用戶完全透明。NAPT則要復(fù)雜一些，它把許多（不能太多）IP地址連同TCP/UDP端口號(hào)映射到單獨(dú)一個(gè)IP地址和端口號(hào)上。無論是Basic NAT還是NAPT都提供一種把內(nèi)部的私有地址轉(zhuǎn)換成在公網(wǎng)上可用的全球唯一IP地址的方法。

?

分類

?

NAT有三種類型：

靜態(tài) NAT ( Static NAT )（?一對(duì)一?）。將內(nèi)部網(wǎng)絡(luò)的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對(duì)是一對(duì)一的，是一直不變的。

動(dòng)態(tài)地址 NAT ( Pooled NAT )（多對(duì)多）。將內(nèi)部網(wǎng)絡(luò)的私有 IP 地址轉(zhuǎn)換為公用 IP 地址時(shí)，IP 地址是不確定，隨機(jī)的。所有被授權(quán)訪問 Internet 的私有 IP 地址可隨機(jī)轉(zhuǎn)換為任何指定合法的 IP 地址。也就是說，只要指定哪些內(nèi)部地址可以進(jìn)行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時(shí)，就可以進(jìn)行動(dòng)態(tài) NAT 轉(zhuǎn)換。動(dòng)態(tài) NAT 是在路由器上配置一個(gè)外網(wǎng) IP 地址池，當(dāng)內(nèi)部有計(jì)算機(jī)需要和外部通信時(shí)，就從地址池里動(dòng)態(tài)的取出一個(gè)外網(wǎng) IP，并將他們的對(duì)應(yīng)關(guān)系綁定到 NAT 表中，通信結(jié)束后，這個(gè)外網(wǎng) IP 才被釋放，可供其他內(nèi)部 IP 地址轉(zhuǎn)換使用，這個(gè) DHCP 租約 IP 有相似之處。當(dāng) ISP 提供的合法 IP 地址略少于網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)數(shù)量時(shí)。可以采用動(dòng)態(tài)轉(zhuǎn)換的方式。

網(wǎng)絡(luò)地址端口轉(zhuǎn)換 NAPT（Network Address Port Translation）（Port-Level NAT）（ 多對(duì)一 ）。改變外出數(shù)據(jù)包的源端口并進(jìn)行端口轉(zhuǎn)換，采用端口多路復(fù)用方式。內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個(gè)合法外部 IP 地址實(shí)現(xiàn)對(duì) Internet 的訪問，可以最大限度地節(jié)約 IP 地址資源。同時(shí)，也可以隱藏網(wǎng)絡(luò)內(nèi)部的所有主機(jī)，有效避免來自 Internet 的攻擊。因此，目前網(wǎng)絡(luò)中應(yīng)用最多的就是 PAT 規(guī)則。這是最常用的 NAT 技術(shù)，也是 IPv4 能夠維持到今天的最重要的原因之一，它提供了一種多對(duì)一的方式，對(duì)多個(gè)內(nèi)網(wǎng) IP 地址，邊界路由可以給他們分配一個(gè)外網(wǎng) IP，利用這個(gè)外網(wǎng) IP 的不同端口和外部進(jìn)行通信。NAPT 與 動(dòng)態(tài)NAT 不同，它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個(gè)單獨(dú)的 IP 地址上，同時(shí)在該地址上加上一個(gè)由 NAT 設(shè)備選定的端口號(hào)。
NAPT 是使用最普遍的一種轉(zhuǎn)換方式，在 HomeGW 中也主要使用該方式。它又包含兩種轉(zhuǎn)換方式：SNAT和DNAT。
? ? ? ? (1) 源NAT（Source NAT，SNAT）：修改數(shù)據(jù)包的源地址。源NAT改變第一個(gè)數(shù)據(jù)包的來源地址，它永遠(yuǎn)會(huì)在數(shù)據(jù)包發(fā)送到網(wǎng)絡(luò)之前完成，數(shù)據(jù)包偽裝就是一具SNAT的例子。
? ? ? ? (2) 目的NAT（Destination NAT，DNAT）：修改數(shù)據(jù)包的目的地址。Destination NAT剛好與SNAT相反，它是改變第一個(gè)數(shù)據(jù)懈的目的地地址，如平衡負(fù)載、端口轉(zhuǎn)發(fā)和透明代理就是屬于DNAT。

?

對(duì)于 NAT (?網(wǎng)絡(luò)地址轉(zhuǎn)換 ) 技術(shù)來講，最重要的一點(diǎn)是，在配置 NAT 的路由器上形成了 NAT 轉(zhuǎn)換表，這個(gè)轉(zhuǎn)換表的形成是非常關(guān)鍵的。配置 NAT 后，能形成正確的轉(zhuǎn)換表，那么我們的工作就算成功了。

?

NAT 的三個(gè)方向：
NAT 在outside口生效，所有在inside口需要先路由，在 outside 口先 nat。
ip nat inside source:
將內(nèi)部局部地址轉(zhuǎn)換為內(nèi)部全局地址;數(shù)據(jù)方向inside->outside,在outside上執(zhí)行轉(zhuǎn)換;
ip nat inside destination:
將內(nèi)部全局地址轉(zhuǎn)換為內(nèi)部局部地址;數(shù)據(jù)方向outside->inside,在outside上執(zhí)行轉(zhuǎn)換
ip nat outside source:
將外部全局地址轉(zhuǎn)換為外部局部地址;數(shù)據(jù)方向outside->inside,在outside上執(zhí)行轉(zhuǎn)換;

?

NAT 的應(yīng)用分類：

ip nat source：

• （1） 靜態(tài) nat 的映射：永遠(yuǎn)一個(gè) ip 對(duì)應(yīng)另外一個(gè) ip 。?
  ? ? ? ? ? 命令：ip nat inside source static A.B.C.D A.B.C.D???
• （2） 動(dòng)態(tài) nat 的映射：每次一個(gè) IP 會(huì)對(duì)應(yīng)另外一個(gè)公網(wǎng)的 IP；
  ? ? ? ? ? 命令：ip nat inside source list 2 pool qing
• （3） 動(dòng)態(tài) PAT 映射：pool 里面只有一個(gè) IP。
  ? ? ? ? ? 命令：ip nat inside source list 2 pool qing overload
• （4） 靜態(tài) PAT 映射：
  ? ? ? ? ? 命令：
  ? ? ? ? ? ? ? ? ip nat inside source list 3 interface fastEthernet 0/0 overload
  ? ? ? ? ? ? ? ? ip nat inside destination:
  ? ? ? ? ? ? ? ? tcp 負(fù)載均衡，外網(wǎng)主動(dòng)發(fā)起流量訪問內(nèi)網(wǎng)服務(wù)器。只用動(dòng)態(tài)，沒有靜態(tài)。
  ? ? ? ? ? ? ? ? ip nat inside destination list 10 pool feng
  ? ? ? ? ? ? ? ? ip nat outside source:
  ? ? ? ? ? ? ? ? 當(dāng)兩端同時(shí)做 nat 既 inside 和 outside 需要同時(shí)翻譯并出現(xiàn)地址沖突的時(shí)候，
  ? ? ? ? ? ? ? ? 需要用 outside source 和其他同時(shí)命令同時(shí)實(shí)現(xiàn)。

Cisco 路由器 配置 3 種 NAT 的主要命令：

Cisco路由器配置3中NAT的主要命令：靜態(tài)NAT：1、指定NAT內(nèi)部接口在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行：ip nat inside2、指定NAT外部接口在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行：ip nat outside3、在內(nèi)部本地地址與內(nèi)部全局地址之間建立靜態(tài)地址轉(zhuǎn)換關(guān)系：ip nat insde source static 內(nèi)部本地地址 內(nèi)部全局地址動(dòng)態(tài)地址NAT：1、指定NAT內(nèi)部接口在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行：ip nat inside2、指定NAT外部接口在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行：ip nat outside3、在全局配置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)則，聲明允許哪些內(nèi)部本地地址可以進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換：access-list list-number permit 源地址 通配符其中，list-number為1－99之間的一個(gè)任意整數(shù)。4、在全局配置模式下，定義內(nèi)部全局地址池：ip nat pool 地址池名 起始IP地址 終止IP地址 netmask 子網(wǎng)掩碼其中，地址池名可以任意設(shè)定，但最好有一定的說明意義。5、在全局配置模式下，定義符合先前定義的access-list規(guī)則的IP數(shù)據(jù)包與先前定義的地址池中的IP地址進(jìn)行轉(zhuǎn)換：ip nat inside source list list-number pool 內(nèi)部全局地址池名網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT：1、指定NAT內(nèi)部接口在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行：ip nat inside2、指定NAT外部接口在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行：ip nat outside3、在全局配置模式下，定義內(nèi)部全局地址池：ip nat pool 地址池名 起始IP地址 終止IP地址 netmask 子網(wǎng)掩碼其中，地址池名可以任意設(shè)定，但最好有一定的說明意義。4、在全局配置模式下，定義一個(gè)標(biāo)準(zhǔn)的access-list規(guī)則，聲明允許哪些內(nèi)部本地地址可以進(jìn)行復(fù)用地址轉(zhuǎn)換：access-list list-number permit 源地址 通配符其中，list-number為1－99之間的一個(gè)任意整數(shù)。5、在全局配置模式下，定義符合先前定義的access-list規(guī)則的IP數(shù)據(jù)包與先前定義的地址池中的IP地址進(jìn)行復(fù)用地址轉(zhuǎn)換：ip nat inside source list list-number pool 內(nèi)部全局地址池名 overload

?

?

二、工作原理

?

了解原理之前先了解下 NAT 術(shù)語。

在配置了 NAT 的路由器上，可以把整個(gè)網(wǎng)絡(luò)分成兩部分：內(nèi)部網(wǎng)絡(luò)??和?外部網(wǎng)絡(luò)。

?

NAT 技術(shù)中有四個(gè)術(shù)語：

內(nèi)部本地地址（Inside Local）：內(nèi)網(wǎng)中設(shè)備所使用的IP地址

內(nèi)部全局地址（Inside Global）：對(duì)于外部網(wǎng)絡(luò)來說，局域網(wǎng)內(nèi)部主機(jī)所表現(xiàn)的 IP 地址。

外部本地地址（Outside Local）：外部網(wǎng)絡(luò)主機(jī)的真實(shí)地址。

外部全局地址（Outside Global）：對(duì)于內(nèi)部網(wǎng)絡(luò)來說，外部網(wǎng)絡(luò)主機(jī)所表現(xiàn)的 IP 地址。外網(wǎng)設(shè)備所使用的真正的地址。

local 、global 是相對(duì)于端口狀態(tài)說的，local 是 inside 部分可以被路由的，global 是 outside 部分可以被路由的。

網(wǎng)絡(luò)地址轉(zhuǎn)換常常和代理服務(wù)搞混，但是它們之間有明確的不同。NAT 對(duì)源和目的計(jì)算機(jī)都是透明的。沒有任何一方會(huì)意識(shí)到它正在和第三方設(shè)備打交道。但是代理服務(wù)卻不是透明的。源計(jì)算機(jī)知道它正向代理服務(wù)器發(fā)起一個(gè)請(qǐng)求，而且你還必須進(jìn)行配置才能這樣做。目的計(jì)算機(jī)會(huì)認(rèn)為代理服務(wù)器就是與它直接通信的源計(jì)算機(jī)。還有，代理服務(wù)通常工作在 OSI 參考模型的第 4 層 (傳輸層) 或更高，而 NAT 工作在第 3 層 (網(wǎng)絡(luò)層)。由于代理服務(wù)工作在更高層，所以通常它將比 NAT 要慢。

NAT 工作在 OSI 參考模型的網(wǎng)絡(luò)層 (第3層) 是有道理的，因?yàn)槁酚善骶凸ぷ髟谶@一層：

?

NAT 原理

? ? ? ? NAT設(shè)備維護(hù)一個(gè)狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址，發(fā)往下一級(jí)，這意味著給處理器帶來了一定的負(fù)擔(dān)。但對(duì)于一般的網(wǎng)絡(luò)來說，這種負(fù)擔(dān)是微不足道的。在運(yùn)行NAT的路由器中，當(dāng)數(shù)據(jù)包被傳送時(shí)，NAT可以轉(zhuǎn)換數(shù)據(jù)包的IP地址和TCP/UDP數(shù)據(jù)包的端口號(hào)。設(shè)置NAT功能的路由器至少要有一個(gè)Inside（內(nèi)部）端口和一個(gè)Outside（外部）端口。內(nèi)部端口連接內(nèi)網(wǎng)的用戶，外部端口一般連接到Internet。當(dāng)IP數(shù)據(jù)包離開內(nèi)部網(wǎng)絡(luò)時(shí)，NAT負(fù)責(zé)將內(nèi)網(wǎng)IP源地址（通常是專用地址）轉(zhuǎn)換為合法的公共IP地址。當(dāng)IP數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)時(shí)，NAT將合法的公共IP目的地址轉(zhuǎn)換為內(nèi)網(wǎng)的IP源地址。

? ? ? ??NAT的基本工作原理是：當(dāng)私有網(wǎng)主機(jī)和公共網(wǎng)主機(jī)通信的IP包經(jīng)過NAT網(wǎng)關(guān)時(shí)，將IP包中的源IP或目的IP在私有IP和NAT的公共IP之間進(jìn)行轉(zhuǎn)換。

? ? ? ? 當(dāng)內(nèi)部網(wǎng)絡(luò)中的一臺(tái)主機(jī)想傳輸數(shù)據(jù)到外部網(wǎng)絡(luò)時(shí)，它先將數(shù)據(jù)包傳輸?shù)絅AT路由器上，路由器檢查數(shù)據(jù)包的報(bào)頭，獲取該數(shù)據(jù)包的源IP信息，并從它的NAT映射表中找出與該IP匹配的轉(zhuǎn)換條目，用所選用的內(nèi)部全局地址（全球唯一的IP地址）來替換內(nèi)部局部地址，并轉(zhuǎn)發(fā)數(shù)據(jù)包。?

? ? ? ? 當(dāng)外部網(wǎng)絡(luò)對(duì)內(nèi)部主機(jī)進(jìn)行應(yīng)答時(shí)，數(shù)據(jù)包被送到NAT路由器上，路由器接收到目的地址為內(nèi)部全局地址的數(shù)據(jù)包后，它將用內(nèi)部全局地址通過NAT映射表查找出內(nèi)部局部地址，然后將數(shù)據(jù)包的目的地址替換成內(nèi)部局部地址，并將數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部主機(jī)。

? ? ? ? 其實(shí)主要就是 修改 IP 數(shù)據(jù)包中的源 IP 地址，或目的 IP 地址。主要目的是把 RFC1918所提議的私有地址轉(zhuǎn)變成在 Internet 上可路由的公有合法地址。對(duì)于某些有限的應(yīng)用（如 DNS、 FTP 等），它也可以修改 IP 數(shù)據(jù)包有效載荷中的地址。由于應(yīng)用的復(fù)雜性， NAT 目前支持的應(yīng)用有限，當(dāng)然，如果需要，完全可以針對(duì)新的應(yīng)用做相應(yīng)的開發(fā)工作。

? ? ? ? 總體來說，NAT進(jìn)行地址轉(zhuǎn)換的過程就是“本地地址”與“全局地址”之間的轉(zhuǎn)換過程，無論數(shù)據(jù)包是從內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)，還是從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)。不同的只是本地地址和全局地址所對(duì)應(yīng)的網(wǎng)絡(luò)不同，以及數(shù)據(jù)包重新封裝的源和目的地址不同。具體如圖所示。

?

NAT基本地址轉(zhuǎn)換原理

這個(gè)過程是通過NAT中的本地址與全局地址映射條目來實(shí)現(xiàn)的，所以事先要在NAT路由器上配置這樣的映射條目。

?

NAT中的轉(zhuǎn)換方式:

從內(nèi)網(wǎng)中設(shè)備上發(fā)出的IP包是以“inside local address”作為源地址，以“outside local address”作為目的地址。當(dāng)數(shù)據(jù)包到達(dá)NAT設(shè)備的“inside”接口后，地址分別被翻譯成“inside global address”和“outside global address”并從“outside”接口送出。

外網(wǎng)設(shè)備上發(fā)出的IP包以“outside global address”作為源地址，以“inside global address”作為目的地址。當(dāng)數(shù)據(jù)包到達(dá)NAT設(shè)備的“outside”接口后，地址分別被翻譯成“outside local address”和“inside local address”并從“inside”接口送出。

?

? ? ? ? 當(dāng)內(nèi)部網(wǎng)絡(luò)用戶訪問外部網(wǎng)絡(luò)時(shí)，所進(jìn)行的是“內(nèi)部本地地址”和“內(nèi)部全局地址”之間的轉(zhuǎn)換。
? ? ? ? 在NAT路由器接收到來自內(nèi)部網(wǎng)絡(luò)主機(jī)發(fā)送的數(shù)據(jù)包時(shí)，其源IP地址（SA）為“內(nèi)部本地地址”，目的IP地址（DA）為“外部本地地址”。當(dāng)數(shù)據(jù)包被轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包的源IP地址（SA）就會(huì)轉(zhuǎn)變?yōu)椤皟?nèi)部全局地址”，而目的IP地址（DA）被轉(zhuǎn)變?yōu)椤巴獠咳值刂贰薄Ｒ簿褪前褦?shù)據(jù)包的所有源IP地址（SA）和目的IP地址（DA）全部由本地地址轉(zhuǎn)換為全局地址。如圖6-9上部分?jǐn)?shù)據(jù)包IP地址轉(zhuǎn)換示意圖。
? ? ? ? 相反，當(dāng)外部網(wǎng)絡(luò)用戶訪問內(nèi)部網(wǎng)絡(luò)時(shí)，所進(jìn)行的是“外部本地地址”和“外部全局地址”之間的轉(zhuǎn)換。
? ? ? ? 在NAT路由器接收到來自外部網(wǎng)絡(luò)主機(jī)發(fā)送的數(shù)據(jù)包時(shí)，其源IP地址（SA）就是“外部全局地址”，目的IP地址（DA）就是“內(nèi)部全局地址”。相當(dāng)于由內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包時(shí)數(shù)據(jù)包中的源IP地址（SA）和目的IP地址（DA）的互換。而當(dāng)數(shù)據(jù)包被路由器轉(zhuǎn)發(fā)到本地網(wǎng)絡(luò)時(shí)，源IP地址（SA）被轉(zhuǎn)變?yōu)椤巴獠勘镜氐刂贰?#xff0c;目的IP地址（DA）被轉(zhuǎn)變?yōu)椤皟?nèi)部本地地址”，也相當(dāng)于由內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送數(shù)據(jù)包時(shí)數(shù)據(jù)包中的源IP地址（SA）和目的IP地址（DA）的互換。如圖6-9下部分?jǐn)?shù)據(jù)包IP地址轉(zhuǎn)換示意圖

?

NAT基本IP地址轉(zhuǎn)換原理

以上是從總體上介紹NAT的IP地址轉(zhuǎn)換原理的，實(shí)際NAT應(yīng)用有時(shí)并不需要對(duì)源IP地址和IP地址進(jìn)行全面替換，僅需要對(duì)源IP地址或者僅需要對(duì)目的IP地址進(jìn)行轉(zhuǎn)換即可達(dá)到所需的目的。下面予以介紹。

?

內(nèi)部地址NAT轉(zhuǎn)換原理

? ? ? ? 多數(shù)情況下使用NAT的目的就是為了使內(nèi)部網(wǎng)絡(luò)中的多個(gè)用戶能使用一個(gè)注冊(cè)IP地址訪問外部網(wǎng)絡(luò)，所以僅需要配置內(nèi)部地址NAT轉(zhuǎn)換。即通過ip nat inside source命令實(shí)現(xiàn)“內(nèi)部本地地址”到“內(nèi)部全局地址”之間的轉(zhuǎn)換（既可以采用靜態(tài)NAT方式實(shí)現(xiàn)，也可以采取動(dòng)態(tài)NAT方式實(shí)現(xiàn)），只需要定義內(nèi)部本地址與內(nèi)部本局地址的映射。

?

一個(gè)簡(jiǎn)單的 NAT 轉(zhuǎn)換示例

這是一個(gè)簡(jiǎn)單的NAT轉(zhuǎn)換示例。要實(shí)現(xiàn)以下目的：當(dāng)NAT路由器的內(nèi)部網(wǎng)絡(luò)s0接口上接收到一個(gè)源地址為內(nèi)部本地地址10.10.10.1，目的IP地址為外部本地地址171.16.68.1的數(shù)據(jù)包時(shí)，在轉(zhuǎn)發(fā)到s1接口時(shí)，原來數(shù)據(jù)包源地址的內(nèi)部本地地址10.10.10.1被轉(zhuǎn)換成內(nèi)部全局地址171.16.68.5，但目的地址不變，然后繼續(xù)發(fā)送。在這個(gè)過程中，所進(jìn)行的只是數(shù)據(jù)包中源IP地址的轉(zhuǎn)換，由內(nèi)部本地地址向內(nèi)部全局地址轉(zhuǎn)換，且只是內(nèi)部地址之間的轉(zhuǎn)換。

? ? ? ? 相反，當(dāng)在NAT路由器的外部網(wǎng)絡(luò)接口s1上接收源地址為172.16.68.1外部本地地址，目的地址為內(nèi)部全局地址172.16.68.5的外部服務(wù)器響應(yīng)數(shù)據(jù)包時(shí)，目的地址將被轉(zhuǎn)換成10.10.10.1這個(gè)內(nèi)部本地地址，然后繼續(xù)發(fā)送。在這個(gè)過程中，所進(jìn)行的只是數(shù)據(jù)包中目的IP地址的轉(zhuǎn)換，由內(nèi)部全局地址向內(nèi)部本地地址轉(zhuǎn)換，也只是內(nèi)部地址之間的轉(zhuǎn)換。

下面僅以靜態(tài)NAT轉(zhuǎn)換方式為例介紹內(nèi)部地址轉(zhuǎn)換的配置步驟，詳細(xì)的NAT配置方法將在本章后面具體介紹。

（1）使用“ip nat inside source static”全局配置命令啟用基于內(nèi)部源IP地址的靜態(tài)NAT IP地址轉(zhuǎn)換。也就是定義內(nèi)部本地地址和內(nèi)部全局地址，使它們之間形成一一對(duì)應(yīng)的映射關(guān)系。

Router(config)#ip nat inside source static 10.10.10.1 171.16.68.5 !--- 在內(nèi)部本地地址10.10.10.1與內(nèi)部全局地址171.16.68.5之間建立靜態(tài)NAT映射關(guān)系，!--- 使內(nèi)部網(wǎng)絡(luò)主機(jī)知道要以171.16.68.5這個(gè)地址到達(dá)外部網(wǎng)絡(luò)主機(jī)

（2）使用以下兩條語句配置路由器的s0為NAT的內(nèi)部網(wǎng)絡(luò)接口。

Router(config)#interface s0 !--- 進(jìn)入s0串口配置模式 Router(config-if)#ip nat inside !--- 把s0串口指定為內(nèi)部網(wǎng)絡(luò)接口

（3）使用以下兩條語句配置路由器的s1為NAT的外部網(wǎng)絡(luò)接口。

Router(config)#interface s1 !--- 進(jìn)入s1串口配置模式 Router(config-if)#ip nat outside !--- 把s1串口指定為外部網(wǎng)絡(luò)接口

（4）使用show ip nat translations特權(quán)模式命令驗(yàn)證上述進(jìn)行的路由器NAT配置。輸出信息中顯示以上配置的NAT條目配置為：內(nèi)部本地地址為10.10.10.1，內(nèi)部全局地址為171.16.68.5。這與上面的配置是一致的，證明配置是成功的。

Router#show ip nat translations !--- 在特權(quán)模式下顯示當(dāng)前路由器NAT配置Pro Inside global Inside local Outside local Outside global --- 171.16.68.5 10.10.10.1 --- ---

此時(shí)如果對(duì)外部網(wǎng)絡(luò)目的主機(jī)進(jìn)行ping操作，就會(huì)有數(shù)據(jù)包從內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)。然后再在路由器特權(quán)模式下執(zhí)行“show ip nat translations”命令，顯示的NAT信息如下。多了一條icmp協(xié)議類型數(shù)據(jù)包（執(zhí)行ping操作后加的）顯示，但因?yàn)榇藭r(shí)沒有配置外部網(wǎng)絡(luò)的本地地址和全局地址，所以顯示的外部本地地址和外部全局地址都是一樣的，都是ping操作目的主機(jī)地址171.16.68.1。

Router#show ip nat translationsPro Inside global Inside local Outside local Outside global icmp 171.16.68.5:15 10.10.10.1:15 171.16.68.1:15 171.16.68.1:15 --- 171.16.68.5 10.10.10.1 --- ---

通過以上配置后，從內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)包只是源地址（SA）將在經(jīng)過路由器后進(jìn)行轉(zhuǎn)換（由內(nèi)部本地地址10.10.10.1轉(zhuǎn)換成內(nèi)部全局地址171.16.68.5），但目標(biāo)地址（DA）不變，但從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的應(yīng)答數(shù)據(jù)包的源地址沒有改變，只是經(jīng)過路由器后的數(shù)據(jù)包目的地址發(fā)生了轉(zhuǎn)換（由內(nèi)部全局地址172.16.68.5轉(zhuǎn)換成內(nèi)部本地地址10.10.10.1），但源地址（SA）不變。因?yàn)榇藭r(shí)還沒有為NAT路由器配置外部網(wǎng)絡(luò)的本地地址和全局地址轉(zhuǎn)換。
此時(shí)，數(shù)據(jù)包在內(nèi)、外部網(wǎng)絡(luò)中的源地址、目的地址的轉(zhuǎn)換方式參如圖

【經(jīng)驗(yàn)之談】在內(nèi)部地址的NAT轉(zhuǎn)換中，無論數(shù)據(jù)包來自哪里，數(shù)據(jù)包中地址變化的只是內(nèi)部地址之間的轉(zhuǎn)換。但要注意，地址變化所對(duì)應(yīng)的是源地址，還是目的地址是要看數(shù)據(jù)包是來自內(nèi)部網(wǎng)絡(luò)，還是來自外部網(wǎng)絡(luò)：如果是來自內(nèi)部網(wǎng)絡(luò)，轉(zhuǎn)換是源地址；如果是來自外部網(wǎng)絡(luò)，轉(zhuǎn)換的是目的地址。

?

外部地址NAT轉(zhuǎn)換原理

當(dāng)公司服務(wù)器位于內(nèi)部網(wǎng)絡(luò)，使用內(nèi)部網(wǎng)絡(luò)私有IP地址，為了方便外部網(wǎng)絡(luò)用戶對(duì)內(nèi)部網(wǎng)絡(luò)服務(wù)器進(jìn)行訪問，則需要使用ip nat outside source命令配置“外部全局地址”與“外部本地地址”之間的轉(zhuǎn)換（既可以采用靜態(tài)NAT方式實(shí)現(xiàn)，也可以采取動(dòng)態(tài)NAT方式實(shí)現(xiàn)）。外部地址NAT轉(zhuǎn)換與上節(jié)介紹的內(nèi)部地址NAT轉(zhuǎn)換是相反的，它僅需要定義外部地址（包括外部本地地址和外部全局地址）。

下面同樣以上面那個(gè)簡(jiǎn)單的NAT轉(zhuǎn)換示例進(jìn)行介紹。本示例要實(shí)現(xiàn)的目的是：當(dāng)NAT路由器外部網(wǎng)絡(luò)接口s1接收到來自外部網(wǎng)絡(luò)用戶發(fā)送的源IP地址為外部全局地址171.16.68.1，目的地址為外部本地地址10.10.10.1的數(shù)據(jù)包在被路由器轉(zhuǎn)發(fā)到s0接口時(shí)，數(shù)據(jù)包中的源IP地址轉(zhuǎn)變?yōu)橥獠勘镜氐刂?0.10.10.5（即由外部全局地址轉(zhuǎn)換成外部本地地址），目的IP地址不變，即也只是源IP地址的轉(zhuǎn)換；而由內(nèi)部網(wǎng)絡(luò)用戶發(fā)送的響應(yīng)數(shù)據(jù)包中，卻只是目的IP地址（即由外部本地地址轉(zhuǎn)換為外部全局地址）的轉(zhuǎn)換，源IP地址不變。
下面僅以靜態(tài)NAT轉(zhuǎn)換方式為例介紹外部地址NAT轉(zhuǎn)換的配置步驟，詳細(xì)的NAT配置方法將在本章后面具體介紹。

（1）使用ip nat outside source static全局配置命令啟用基于外部源IP地址的靜態(tài)NAT IP地址轉(zhuǎn)換。也就是定義外部全局地址和外部本地地址之間的映射關(guān)系。

Router(config)#ip nat outside source static 171.16.68.1 10.10.10.5 !--- 在外部全局地址171.16.68.1與外部本地地址10.10.10.5之間建立靜態(tài)NAT轉(zhuǎn)換關(guān)系，!--- 使外部網(wǎng)絡(luò)主機(jī)知道要以10.10.10.1這個(gè)地址到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)

（2）使用以下兩條語句配置路由器的s0作為NAT的內(nèi)部網(wǎng)絡(luò)接口。

Router(config)#interface s0 Router(config-if)#ip nat inside

（3）使用以下兩條語句配置路由器的s1作為NAT的外部網(wǎng)絡(luò)接口。

Router(config)#interface s1 Router(config-if)#ip nat outside

【注意】對(duì)于特定的NAT網(wǎng)絡(luò)來說，路由器上的內(nèi)、外部網(wǎng)絡(luò)接口是固定的，不會(huì)隨著通信方向的改變而改變。如在上節(jié)介紹的內(nèi)部地址的NAT轉(zhuǎn)換示例中，我們同樣是把s0接口作為內(nèi)部網(wǎng)絡(luò)接口，s1接口作為外部網(wǎng)絡(luò)接口。

（4）使用show ip nat translations特權(quán)模式命令驗(yàn)證上述進(jìn)行的路由器NAT配置。從中可以看出，此時(shí)NAT的外部本地地址為10.10.10.5，外部全局地址為171.16.68.1。這與上面的配置是一致的，證明配置是成功的。

Router#show ip nat translationsPro Inside global Inside local Outside local Outside global--- --- --- 10.10.10.5 171.16.68.1

同樣，如果此時(shí)執(zhí)行一個(gè)從外部網(wǎng)絡(luò)主機(jī)（171.16.68.1）到內(nèi)部網(wǎng)絡(luò)主機(jī)（10.10.10.1）的ping操作，然后再在路由器特權(quán)模式下執(zhí)行“show ip nat translations”命令，則顯示如下結(jié)果。因?yàn)榇藭r(shí)僅配置了外部本地地址和外部全局地址，所以結(jié)果中顯示的內(nèi)部本地地址和全局地址都是一樣的，都是ping操作目的主機(jī)地址10.10.10.1。

Router#show ip nat translationsPro Inside global Inside local Outside local Outside global--- --- --- 10.10.10.5 171.16.68.1 icmp 10.10.10.1:37 10.10.10.1:37 10.10.10.5:37 171.16.68.1:37

與上節(jié)介紹的僅配置內(nèi)部地址相反，此處從外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包的源IP地址（SA）將在經(jīng)過路由器后進(jìn)行轉(zhuǎn)換（由外部全局地址171.16.68.1轉(zhuǎn)換成外部本地地址10.10.10.5），但目標(biāo)地址（DA）不變；但從內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)的響應(yīng)數(shù)據(jù)包的源IP地址沒有改變，只是經(jīng)過路由器后的數(shù)據(jù)目的IP地址發(fā)生了改變（由外部本地地址10.10.10.5轉(zhuǎn)換成外部全局地址171.16.68.1）。因?yàn)榇藭r(shí)還沒有為NAT路由器配置內(nèi)部本地地址和內(nèi)部全局地址轉(zhuǎn)換。此時(shí)，數(shù)據(jù)包在內(nèi)、外部網(wǎng)絡(luò)中的源IP地址、目的IP地址的轉(zhuǎn)換方式如圖6-12所示。

【經(jīng)驗(yàn)之談】在僅進(jìn)行外部地址NAT轉(zhuǎn)換時(shí)，無論數(shù)據(jù)包來自哪里，數(shù)據(jù)包中地址變化的只是外部地址之間的轉(zhuǎn)換。同樣也需注意，地址變化所對(duì)應(yīng)的是源IP地址，還是目的IP地址是要看數(shù)據(jù)包是來自內(nèi)部網(wǎng)絡(luò)，還是來自外部網(wǎng)絡(luò)：如果來自內(nèi)部網(wǎng)絡(luò)，轉(zhuǎn)換是目的IP地址；如果來自外部網(wǎng)絡(luò)，轉(zhuǎn)換的是源IP地址。這與前面的內(nèi)部地址NAT轉(zhuǎn)換是對(duì)應(yīng)相反的。

外部地址NAT轉(zhuǎn)換示例

?

內(nèi)/外部地址NAT轉(zhuǎn)換原理

? ? ? ? 下面介紹同時(shí)進(jìn)行內(nèi)、外部地址NAT轉(zhuǎn)換原理及基本配置步驟。它需要同時(shí)使用ip nat inside source命令定義“內(nèi)部全局地址”與“內(nèi)部本地地址”之間的轉(zhuǎn)換，及使用ip nat outside source命令定義“外部全局地址”和“外部本地地址”之間的轉(zhuǎn)換（既可以采用靜態(tài)NAT方式實(shí)現(xiàn)，也可以采取動(dòng)態(tài)NAT方式實(shí)現(xiàn)）。這樣，無論數(shù)據(jù)包是從哪個(gè)方向發(fā)送的，數(shù)據(jù)包中的源地址和目的地址都將同時(shí)發(fā)生變化。主要應(yīng)用于重疊網(wǎng)絡(luò)（Overloading Network）中的NAT應(yīng)用中。具體配置方法將在本章6.6節(jié)介紹。
? ? ? ? 同樣以那個(gè)簡(jiǎn)單的NAT轉(zhuǎn)換示例的基本網(wǎng)絡(luò)結(jié)構(gòu)為例進(jìn)行介紹。在下面的示例中，通過配置可以實(shí)現(xiàn)：當(dāng)NAT路由器內(nèi)部網(wǎng)絡(luò)接口s0接收到來自內(nèi)部網(wǎng)絡(luò)，源IP地址為內(nèi)部本地地址10.10.10.1，目的IP地址為外部本地地址10.10.10.5的數(shù)據(jù)包，在轉(zhuǎn)發(fā)到s1接口前，將這個(gè)數(shù)據(jù)包中的源IP地址將轉(zhuǎn)換成內(nèi)部全局地址171.16.68.5，目的IP地址將被轉(zhuǎn)換成外部全局地址171.16.68.1。
? ? ? ? 當(dāng)NAT路由器外部接口s1接收到來自外部網(wǎng)絡(luò)，源IP地址為外部全局地址171.16.68.1，目的地址為內(nèi)部全局地址172.16.68.5的數(shù)據(jù)包時(shí)，將源IP地址轉(zhuǎn)換成外部本地地址10.10.10.5，將目的IP地址將被轉(zhuǎn)換成內(nèi)部本地址10.10.10.1。
? ? ? ? 下面僅以靜態(tài)NAT轉(zhuǎn)換方式（可以采用動(dòng)態(tài)NAT轉(zhuǎn)換方式）為例介紹內(nèi)、外部地址同時(shí)轉(zhuǎn)換的配置步驟，詳細(xì)的靜態(tài)，或者動(dòng)態(tài)NAT轉(zhuǎn)換配置方法將在本章后面具體介紹。

Router(config)#ip nat inside source static 10.10.10.1 171.16.68.5 !--- 在內(nèi)部本地地址10.10.10.1與內(nèi)部全局地址171.16.68.5之間建立靜態(tài)NAT映射關(guān)系， !--- 使內(nèi)部網(wǎng)絡(luò)主機(jī)知道要以171.16.68.5這個(gè)地址到達(dá)外部網(wǎng)絡(luò)主機(jī)Router(config)#ip nat outside source static 171.16.68.1 10.10.10.5 !--- 在外部全局地址171.16.68.1與外部本地地址10.10.10.5之間建立靜態(tài)NAT映射關(guān)系， !--- 使外部網(wǎng)絡(luò)主機(jī)知道要以10.10.10.5這個(gè)地址到達(dá)內(nèi)部網(wǎng)絡(luò)主機(jī)Router(config)#interface s 0 Router(config-if)#ip nat inside Router(config-if)#end Router(config)#interface s 1 Router(config-if)#ip nat outside Router(config-if)#end Router(config)# end Router#show ip nat translationsPro Inside global Inside local Outside local Outside global--- --- --- 10.10.10.5 171.16.68.1171.16.68.5 10.10.10.1 --- ---

同樣，如果此時(shí)分別執(zhí)行一個(gè)從內(nèi)部主機(jī)到外部主機(jī)，以及從外部主機(jī)到內(nèi)部主機(jī)的ping操作，然后再在路由器特權(quán)模式下執(zhí)行“show ip nat translations”命令，則顯示如下結(jié)果。因?yàn)榇藭r(shí)同時(shí)配置了內(nèi)、外部本地地址和全局地址，所以結(jié)果中顯示了兩條NAT配置項(xiàng)，分別顯示了與外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)中的本地地址和全局地址轉(zhuǎn)換對(duì)應(yīng)的ping操作icmp消息：與外部本地地址和全局地址對(duì)應(yīng)的Ping操作ICMP消息中顯示內(nèi)部網(wǎng)絡(luò)中的本地地址和全局地址是一樣的，而與內(nèi)部網(wǎng)絡(luò)本地地睛和全局地址對(duì)應(yīng)的Ping操作ICMP消息中顯示外部網(wǎng)絡(luò)中的本地地址和全局地址是一樣的，都是對(duì)應(yīng)的Ping操作目的主機(jī)地址。

Router#show ip nat translationsPro Inside global Inside local Outside local Outside global --- --- --- 10.10.10.5 171.16.68.1 icmp 10.10.10.1:4 10.10.10.1:4 10.10.10.5:4 171.16.68.1:4 icmp 171.16.68.5:39 10.10.10.1:39 171.16.68.1:39 171.16.68.1:39 --- 171.16.68.5 10.10.10.1 --- ---

經(jīng)過以上配置后，數(shù)據(jù)包發(fā)送（無論是從哪個(gè)方面發(fā)送的）時(shí)不僅源IP地址會(huì)發(fā)生變化，目標(biāo)IP地址也會(huì)同時(shí)發(fā)生變化，如圖6-13所示。
在由內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包中，源IP地址是由內(nèi)部本地地址（10.10.10.1）轉(zhuǎn)換成內(nèi)部全局地址（172.16.68.5），目的IP地址由外部本地地址（10.10.0.5）轉(zhuǎn)換成外部全局地址（171.16.68.1）；在由外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)包中，源IP地址是由外部全局地址（171.16.68.1）轉(zhuǎn)換成外部本地地址（10.10.0.5），目的IP地址由內(nèi)部全局地址（172.16.68.5）轉(zhuǎn)換成內(nèi)部本地地址（10.10.10.1）。兩個(gè)方向的數(shù)據(jù)包中的源IP地址和目的IP地址的轉(zhuǎn)換分別如圖6-14和圖6-15所示。

圖6-13 同時(shí)配置了內(nèi)、外部地址轉(zhuǎn)換后的NAT轉(zhuǎn)換示例

圖6-14?數(shù)據(jù)包從內(nèi)部網(wǎng)絡(luò)發(fā)到外部網(wǎng)絡(luò)時(shí)的地址轉(zhuǎn)換方式 圖6-15?數(shù)據(jù)包從外部網(wǎng)絡(luò)發(fā)到內(nèi)部網(wǎng)絡(luò)時(shí)的地址轉(zhuǎn)換方式

從圖6-14和圖6-15可以看出，圖6-14中的源IP地址轉(zhuǎn)換過程恰好是圖6-15中的目的地址轉(zhuǎn)換的反過程。同理，圖6-14中的目的IP地址轉(zhuǎn)換過程恰好是圖6-15中的源IP地址轉(zhuǎn)換的反過程。

? ? ? ? 另外，經(jīng)過細(xì)心分析我們可以發(fā)現(xiàn)，在由內(nèi)部網(wǎng)絡(luò)發(fā)往外部網(wǎng)絡(luò)的數(shù)據(jù)包中所進(jìn)行的地址轉(zhuǎn)換都是由本地地址轉(zhuǎn)換為全局地址，也就是都是由內(nèi)部網(wǎng)絡(luò)一側(cè)的地址向外部網(wǎng)絡(luò)一側(cè)的地址轉(zhuǎn)換；相反，在由外部網(wǎng)絡(luò)發(fā)往內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包中所進(jìn)行的地址轉(zhuǎn)換都是由全局地址轉(zhuǎn)換為本地地址，也就是都是由外部網(wǎng)絡(luò)一側(cè)的地址向內(nèi)部網(wǎng)絡(luò)一側(cè)的地址轉(zhuǎn)換。

NAT配置中的常用命令：?

ip nat {inside|outside}：接口配置命令。以在至少一個(gè)內(nèi)部和一個(gè)外部接口上啟用NAT。ip nat inside source static local-ip global-ip ：全局配置命令。在對(duì)內(nèi)部局部地址使用靜態(tài)地址轉(zhuǎn)換時(shí)，用該命令進(jìn)行地址定義。 access-list access-list-number {permit|deny} local-ip-address ：使用該命令為內(nèi)部網(wǎng)絡(luò)定義一個(gè)標(biāo)準(zhǔn)的IP訪問控制列表。 ip nat pool pool-name start-ip end-ip netmask netmask [type rotary] ：使用該命令為內(nèi)部網(wǎng)絡(luò)定義一個(gè)NAT地址池。 ip nat inside source list access-list-number pool pool-name [overload] ：使用該命令定義訪問控制列表與NAT內(nèi)部全局地址池之間的映射。 ip nat outside source list access-list-number pool pool-name [overload] ：使用該命令定義訪問控制列表與NAT外部局部地址池之間的映射。 ip nat inside destination list access-list-number pool pool-name ：使用該命令定義訪問控制列表與終端NAT地址池之間的映射。 show ip nat translations ： 顯示當(dāng)前存在的NAT轉(zhuǎn)換信息。 show ip nat statistics ： 查看NAT的統(tǒng)計(jì)信息。 show ip nat translations verbose ： 顯示當(dāng)前存在的NAT轉(zhuǎn)換的詳細(xì)信息。 debug ip nat ： 跟蹤NAT操作，顯示出每個(gè)被轉(zhuǎn)換的數(shù)據(jù)包。 Clear ip nat translations * : 刪除NAT映射表中的所有內(nèi)容.

?

?

三、基本配置

?

• 1、 靜態(tài)轉(zhuǎn)換：Router(config)#ip nat inside source static 內(nèi)部本地地址 內(nèi)部全局地址
• 2、 動(dòng)態(tài)轉(zhuǎn)換：
  ? ? ? ? Router(config)#ip nat pool 地址池 起始地址 最后地址 netmask 子網(wǎng)掩碼
  ? ? ? ? Router(config)#access-list 表號(hào) permit 網(wǎng)絡(luò)號(hào) 反掩碼
  ? ? ? ? Router(config)#ip nat inside source list 表號(hào) pool 地址池
• 3、 PAT：
  ? ? ? ? Router(config)#access-list 表號(hào) permit 網(wǎng)絡(luò)號(hào) 反掩碼
  ? ? ? ? Router(config)#ip nat inside source list 表號(hào) interface 外部接口

?

?

四、簡(jiǎn)單案例

?

如下圖所示，一個(gè)中小型企業(yè)網(wǎng)絡(luò)，使用一臺(tái)路由器和外部相連接，企業(yè)有 WWW 服務(wù)器和 FTP 服務(wù)器，用來提供給外部用戶訪問。企業(yè)內(nèi)部員工也需要和Internet 連接。如果企業(yè)能夠申請(qǐng)到多個(gè)公網(wǎng)地址（六個(gè)公網(wǎng)地址： 202.1.1.1-202.1.1.6）。

配置命令和命令解釋：

配置：根據(jù)企業(yè)目前需求，我們可以做如下配置：（假設(shè) ISP 端路由器使用 202.1.1.6） Router(config)#int e0 (1) Router(config-if)#ip add 10.1.1.254 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip add 202.1.1.1 255.255.255.248 Router(config-if)#ip nat outside Router(config)#ip nat inside source static 10.1.1.1 202.1.1.2 (2) Router(config)#ip nat inside source static 10.1.1.2 202.1.1.3 (3) Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 (4) Router(config)#ip nat inside source list 1 interface e1 overload (5) Router(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.6 (6)命令解釋： （1）：配置路由器接口 IP 地址及標(biāo)記 NAT 的內(nèi)部端口和外部端口 （2）：當(dāng)外部用戶訪問服務(wù)器 202.1.1.2，路由器使用靜態(tài) NAT 的方式轉(zhuǎn)到 10.1.1.1 （3）：當(dāng)外部用戶訪問服務(wù)器 202.1.1.3，路由器使用靜態(tài) NAT 的方式轉(zhuǎn)到 10.1.1.2 （4）：配置標(biāo)準(zhǔn)訪問控制列表，匹配內(nèi)部 10.1.1.0/24 網(wǎng)絡(luò)的主機(jī) （5）：配置 PAT，允許內(nèi)部 10.1.1.0/24 用戶能夠進(jìn)行 NAT 轉(zhuǎn)換 （6）：配置靜態(tài)路由，使經(jīng)過 NAT 轉(zhuǎn)換后的數(shù)據(jù)包能夠發(fā)送至 ISP注意事項(xiàng)：當(dāng)配置靜態(tài) NAT 后， NAT 轉(zhuǎn)換表中就會(huì)形成轉(zhuǎn)換條目。動(dòng)態(tài) NAT和 PAT 在配置映射后，在轉(zhuǎn)換表中并沒有形成條目。當(dāng)內(nèi)部符合訪問控制列表1 條件的數(shù)據(jù)包到達(dá)路由器后，觸發(fā)轉(zhuǎn)換條件，該數(shù)據(jù)包要求查找轉(zhuǎn)換表，如果轉(zhuǎn)換表中有轉(zhuǎn)換條目存在，使用該條目轉(zhuǎn)換，如果沒有轉(zhuǎn)換條目，則根據(jù)映射創(chuàng)建條目并轉(zhuǎn)換

?

?

NAT 技術(shù)二

?

一、 端口地址重定向：

?

如圖所示，該企業(yè)申請(qǐng) ADSL 上網(wǎng)，只獲得了一個(gè)公有合法 IP 地址。為了企業(yè)的應(yīng)用，可以使用端口地址重定向功能來完成。

配置命令和命令解釋

Router(config)#int e0 (1) Router(config-if)#ip add 10.1.1.254 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip add 202.1.1.1 255.255.255.252 Router(config-if)#ip nat outside Router(config)#ip nat inside source static tcp 10.1.1.1 80 202.1.1.1 80 (2) Router(config)#ip nat inside source static tcp 10.1.1.2 21 202.1.1.1 21 (3) Router(config)#ip nat inside source static tcp 10.1.1.2 20 202.1.1.1 20 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 (4) Router(config)#ip nat inside source list 1 interface e1 overload (5) Router(config)#ip route 0.0.0.0 0.0.0.0 202.1.1.2 (6)命令解釋： （1）：配置路由器接口 IP 地址及標(biāo)記 NAT 的內(nèi)部端口和外部端口 （2）：當(dāng)外部用戶訪問服務(wù)器 202.1.1.1:80，路由器使用靜態(tài) NAT 的方式轉(zhuǎn)到 10.1.1.1:80 （3）：當(dāng)外部用戶訪問服務(wù)器 202.1.1.1:21，路由器使用靜態(tài) NAT 的方式轉(zhuǎn)到 10.1.1.1:21（由于 FTP 問題較復(fù)雜，這兒僅以一種 FTP 的應(yīng)用為例） （4）：配置標(biāo)準(zhǔn)訪問控制列表，匹配內(nèi)部 10.1.1.0/24 網(wǎng)絡(luò)的主機(jī) （5）：配置 PAT，允許內(nèi)部 10.1.1.0/24 用戶能夠進(jìn)行 NAT 轉(zhuǎn)換 （6）：配置靜態(tài)路由，使經(jīng)過 NAT 轉(zhuǎn)換后的數(shù)據(jù)包能夠發(fā)送至 ISP

?

?

二、 地址交叉（地址重疊）：

?

如果兩個(gè)網(wǎng)絡(luò)當(dāng)前的網(wǎng)絡(luò)地址出現(xiàn)相同的情況，且目前又需要兩個(gè)網(wǎng)絡(luò)之間相互直接通訊。這種情況被稱之為地址重疊。如下圖所示：

這時(shí)候可能出現(xiàn)多種情況：兩個(gè)網(wǎng)絡(luò)中都有雙方需要訪問的服務(wù)器只有一方網(wǎng)絡(luò)中有雙方需要訪問的服務(wù)器（如上圖）

不同的網(wǎng)絡(luò)情況，配置時(shí)略有不同。概括起來講，解決這個(gè)問題有兩種方案：

1、 靜態(tài)轉(zhuǎn)換 Router(config)#ip nat inside source static network 10.1.1.0 192.168.1.0 /24 (1) Router(config)#ip nat outside source static network 10.1.1.0 192.168.2.0 /24 (2) Router(config)#ip route 0.0.0.0 0.0.0.0 e1 Router(config)#int e0 Router(config-if)#ip add 10.1.1.254 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip nat outside 注解： (1):把內(nèi)部網(wǎng)絡(luò) 10.1.1.0 轉(zhuǎn)換成 192.168.1.0，也就是說，對(duì)于外部網(wǎng)絡(luò)而言，內(nèi)部網(wǎng)絡(luò)的地址是 192.168.1.0/24 (2):把外部網(wǎng)絡(luò) 10.1.1.0 傳輸來的數(shù)據(jù)全部修改成 192.168.2.0網(wǎng)段，也就是說，對(duì)于內(nèi)部網(wǎng)絡(luò)而言，外部真實(shí) 10.1.1.0 網(wǎng)絡(luò)被認(rèn)為是 192.168.2.0 網(wǎng)絡(luò)。2、 動(dòng)態(tài)轉(zhuǎn)換 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255 Router(config)#ip nat pool in-pool 192.168.1.1 192.168.1.254 netmask 255.255.255.0 Router(config)#ip nat poolout-pool 192.168.2.1 192.168.2.254 netmask 255.255.255.0 Router(config)#ip nat inside list 1 pool in-pool Router(config)#ip nat outside list 1 pool out-pool Router(config)#ip route 0.0.0.0 0.0.0.0 e1 Router(config)#int e0 Router(config-if)#ip add 10.1.1.254 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip nat outside 該配置所得到的效果靜態(tài)轉(zhuǎn)換一樣。在此不再多說。

?

?

三、 負(fù)載分擔(dān)（流量分配）：

?

隨著企業(yè)的發(fā)展，企業(yè)的 WWW 服務(wù)器訪問的用戶越來越多，一臺(tái)服務(wù)器已經(jīng)不能滿足當(dāng)前的需要，更換一臺(tái)高端服務(wù)器價(jià)格不菲，這時(shí)候可以使用 NAT 的流量分擔(dān)功能。來解決企業(yè)當(dāng)前的問題。如圖所示：兩臺(tái) Web服務(wù)器承擔(dān)著相當(dāng)?shù)?WWW 服務(wù)功能。對(duì)于外部用戶而言，他們只知道該企業(yè)的 WWW 地址是 200.1.1.1

配置命令和命令解釋

基本配置如下： Router(config)#ip nat pool wwwserver 10.1.1.1 10.1.1.2 prefix-length 24 type rotary Router(config)#access-list 1 permit 200.1.1.1 0.0.0.0 Router(config)#ip nat inside destination list 1 pool wwwserver Router(config)#int e0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip nat outside第一條命令是用來建立一個(gè)內(nèi)部服務(wù)器的地址池，一定要注意后面的 type rotary，該參數(shù)用來分配流量。 Access-list 用來指定虛擬服務(wù)器地址。第三條命用來定義轉(zhuǎn)換關(guān)系。最后在兩個(gè)接口上調(diào)用 NAT 轉(zhuǎn)換表。注意，使用這種方法時(shí)，并不是最好的解決方案，相同的場(chǎng)景，以后會(huì)介紹更好的解決方案。

?

?

四、 控制 NAT 轉(zhuǎn)換表大小：

?

1、 設(shè)置連接最大數(shù)量：該命令用來限制動(dòng)態(tài)產(chǎn)生的轉(zhuǎn)換表的條目
? ? ? ? Router(config)#ip nat translation max-entries 最大數(shù)目
2、 設(shè)置超時(shí)值：動(dòng)態(tài)產(chǎn)生的 NAT 轉(zhuǎn)換條目，根據(jù)不同的服務(wù)有不同的超時(shí)值。
? ? ? ? Router(config)#ip nat translation 協(xié)議時(shí)間 超時(shí)值

?

?

NAT 技術(shù)三

?

在上面 NAT 介紹中，提供了 NAT 的負(fù)載均衡的配置。但是，那種簡(jiǎn)單的負(fù)載均衡有較多的局限性：

• 1、 不檢查內(nèi)部服務(wù)器的狀態(tài)，可能會(huì)造成路由黑洞。
• 2、 不能靈活調(diào)整服務(wù)器的負(fù)載

為了解決這些問題，開始提出新的技術(shù)，引入了服務(wù)器負(fù)載平衡（Server Load Balancing）技術(shù)。該技術(shù)提供兩種工作模式：定向模式 和 分派模式。

?

?

一、定向模式：

在定向模式中，給服務(wù)器指定一個(gè) IP 地址，真實(shí)的服務(wù)器不知道這個(gè)地址。在數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的時(shí)候，需修改數(shù)據(jù)包中的 IP 地址，并重新進(jìn)行 CRC 計(jì)算，再進(jìn)行數(shù)據(jù)包的轉(zhuǎn)發(fā)。

具體配置如下：

Router(config)#ip slb serverfarm Web_server (1) Router(config-slb-sfarm)#nat server (2) Router(config-slb-sfarm)#real 10.1.1.1 (3) Router(config-slb-real)#weight 10 (4) Router(config-slb-real)#faildetect numconns 8 numclients 3 (5) Router(config-slb-real)#retry 60 (6) Router(config-slb-real)#maxconns 2000 (7) Router(config-slb-real)#inservice (8) Router(config-slb-real)#exit Router(config-slb-sfarm)#real 10.1.1.2 (9) Router(config-slb-real)#weight 15 Router(config-slb-real)#faildetect numconns 8 numclients 3 Router(config-slb-real)#retry 60 Router(config-slb-real)#maxconns 3000 Router(config-slb-real)#inservice Router(config-slb-real)#exit Router(config)#ip slb vserver Out_server (10) Router(config-slb-vserver)#serverfarm Web_server (11) Router(config-slb-vserver)#virtual 200.1.1.1 tcp 80 (12) Router(config-slb-vserver)#delay 10 (13) Router(config-slb-vserver)#idle 1200 (14) Router(config-slb-vserver)#inservice (15)命令詳解： （1） 建立一個(gè)真實(shí)服務(wù)器群組，群組名 Web_server （2） 該群組使用定向模式提供服務(wù)。默認(rèn)情況下真實(shí)服務(wù)器群組使用分派模式（如下一個(gè)圖例配置情況就是分派模式。 （3） 真實(shí)服務(wù)器的 IP 地址從（4） --（8）是配置真實(shí)服務(wù)器的一些連接特性 （4） 權(quán)重 10。該命令的意思是： 10.1.1.1 服務(wù)器我承擔(dān)的流量為 10/（10+15）。15 為另一臺(tái)服務(wù)器的權(quán)重 （5） 在認(rèn)定該服務(wù)器失效前，路由器給服務(wù)器所發(fā)送的最多連接失敗數(shù) （6） 指定在服務(wù)器失效后，路由器多長(zhǎng)時(shí)間檢測(cè)一次服務(wù)器 （7） 該服務(wù)器最大連接數(shù)。這個(gè)參數(shù)設(shè)定是根據(jù)服務(wù)器的性能決定的 （8） 在這個(gè)群組中啟用該服務(wù)器 （9） 建立群組中的另一臺(tái)真實(shí)服務(wù)器 （10） 建立虛擬服務(wù)器，指定虛擬服務(wù)器名 Out_server （11） 指定哪個(gè)服務(wù)器群組處理該虛擬服務(wù)器的流量 （12） 配置虛擬服務(wù)器地址及其協(xié)議和端口號(hào) （13） 連接終止后路由器上保持該 SLB 表項(xiàng)的時(shí)間 （14） 空閑超時(shí)值 （15） 啟用虛擬服務(wù)器

?

?

二、分派模式：

處于分派模式時(shí)，真實(shí)的服務(wù)器上配置兩個(gè)地址：一個(gè)是自已的地址，一個(gè)是虛擬 IP 地址。當(dāng)路由器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的時(shí)候，不需要對(duì)數(shù)據(jù)包的 IP 地址轉(zhuǎn)換，直接把數(shù)據(jù)包分發(fā)。注意，在分派模式的時(shí)候，中間的交換機(jī)必須是二層交換機(jī)。

具體配置如下：

Router(config)#ip slb serverfarm Web_server Router(config-slb-sfarm)#real 10.1.1.1 Router(config-slb-real)#weight 10 Router(config-slb-real)#inservice Router(config-slb-real)#exit Router(config-slb-sfarm)#real 10.1.1.2 Router(config-slb-real)#weight 15 Router(config-slb-real)#inservice Router(config-slb-real)#exit Router(config)#ip slb vserver Out_server Router(config-slb-vserver)#serverfarm Web_server Router(config-slb-vserver)#virtual 200.1.1.1 tcp 80 Router(config-slb-vserver)#inservice 分派模式的配置和定向模式很多都是相同的。分派模式中只少了一條命令： Router(config-slb-sfarm)#nat server

?

?

NAT 技術(shù)四

?

一、使用 ACL 控制轉(zhuǎn)換

如下圖所示：網(wǎng)絡(luò)A和網(wǎng)絡(luò)B都連接到Internet。由于業(yè)務(wù)需要，兩個(gè)網(wǎng)絡(luò)需要相互訪問，因而在路由器A和路由器B之間建立了IPsec VPN。當(dāng)網(wǎng)絡(luò)A和網(wǎng)絡(luò)B之間互訪時(shí)，則不必做NAT轉(zhuǎn)換。

?

路由器A配置如下：

Router(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (1) Router(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any Router(config)#ip nat inside source list 100 interface e1 overload (2) Router(config)#int e0 Router(config-if)#ip add 192.168.10.1 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip add 202.1.1.1 255.255.255.252（外部接口地址） Router(config-if)#ip nat outside命令詳解： （1） 訪問控制列表 100 是用來匹配出進(jìn)行 NAT 轉(zhuǎn)換的數(shù)據(jù)包，第一個(gè)條目中從 192.168.10.0 到 192.168.20.0 的數(shù)據(jù)包不需要進(jìn)行轉(zhuǎn)換，到其它網(wǎng)絡(luò)的數(shù) 據(jù)包需要轉(zhuǎn)換（關(guān)于 VPN 內(nèi)容，以后有機(jī)會(huì)再說）。 （2） 符合訪問控制列表的流量進(jìn)行 PAT 轉(zhuǎn)換如果該單位能申請(qǐng)到較多的 IP 地址，路由器 A 的配置可能如下： Router(config)#access-list 100 deny ip 192.168.10.0 0.0.0.255 192.168.20.0 0.0.0.255 (1) Router(config)#access-list 100 permit ip 192.168.10.0 0.0.0.255 any Router(config)#ip nat pool Real_add 202.1.1.2 202.1.1.200 netmask 255.255.255.0 (2) Router(config)#ip nat inside source list 100 pool Real_add (3) Router(config)#int e0 Router(config-if)#ip add 192.168.10.1 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip add 202.1.1.1 255.255.255.252（外部接口地址） Router(config-if)#ip nat outside命令詳解： （1） 匹配需要進(jìn)行轉(zhuǎn)換的流量 （2） 配置可以用來轉(zhuǎn)換的地址池 （3） 進(jìn)行 NAT 轉(zhuǎn)換配置，符合訪問控制列的的流量使用地址池中的地址進(jìn)行轉(zhuǎn)換。這時(shí)候使用訪問控制列表來進(jìn)行 NAT 轉(zhuǎn)換的時(shí)候， NAT 轉(zhuǎn)換表中形的條目是這樣的： Pro Inside global Inside local Outside local Outside global --- 202.1.1.1 192.168.10.10 ---- ---- 也就是說，當(dāng)使用訪問控制列表來進(jìn)行 NAT 轉(zhuǎn)換時(shí)，不能形成一個(gè)完整的條目。 這在某些應(yīng)用中會(huì)產(chǎn)生問題，所以需要其它的技術(shù)，來形成一個(gè)完整的 NAT 轉(zhuǎn) 換條目

?

?

二、使用路由圖控制轉(zhuǎn)換

如圖所示，企業(yè)為了優(yōu)化網(wǎng)絡(luò)訪問，申請(qǐng)了兩個(gè)ISP的寬帶線路?？梢蕴岣邇?nèi)部用戶訪問Inbernet的速度。對(duì)于這個(gè)企業(yè)的需求，對(duì)網(wǎng)絡(luò)的優(yōu)化方案如下：
1) 當(dāng)內(nèi)部用戶所需要的資源在ISP1時(shí)，需要從E1端口進(jìn)行通訊；當(dāng)內(nèi)部用戶所需要的資源在ISP2時(shí)，需要從E0端口通訊。
2) 不同ISP網(wǎng)絡(luò)上所來的訪問，需要從各自的線路返回。

?

在這種拓?fù)渲?#xff0c;如果使用 ACL 來控制 NAT 的轉(zhuǎn)換，就會(huì)出現(xiàn)問題，比如說我們作了如下配置：（假設(shè)從 ISP1 的網(wǎng)絡(luò)為 100.1.1.0/24，從 ISP2 的網(wǎng)絡(luò)地址為 200.1.1.0/24）

NAT 部分：

Router(config)#ip nat pool isp1 100.1.1.2 100.1.1.254 prefix-length 24 Router(config)#ip nat pool isp2 200.1.1.2 200.1.1.254 prefix-length 24 Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255 Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255 Router(config)#ip nat inside source list 100 pool isp1 Router(config)#ip nat inside source list 101 pool isp2 Router(config)#int e0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip nat outside Router(config)#int e2 Router(config-if)#ip nat outside如果內(nèi)部一臺(tái)主機(jī) 10.1.1.10 對(duì)外部進(jìn)行一次 telnet 訪問后， NAT 轉(zhuǎn)換表中形的條目如下： Pro Inside global Inside local Outside local Outside global tcp 100.1.1.10:57767 10.1.1.1:57767 100.1.1.3:23 1 00.1.1.3:23 --- 100.1.1.10 10.1.1.1 --- --- 如果該主機(jī)現(xiàn)在想訪問 ISP2 的一個(gè)資源， NAT 表中會(huì)出現(xiàn)如下情況： Pro Inside global Inside local Outside local Outside global tcp 100.1.1.10:24597 10.1.1.1:24597 200.1.1.3:23 20 0.1.1.3:23 tcp 100.1.1.10:26160 10.1.1.1:26160 100.1.1.3:23 10 0.1.1.3:23 --- 100.1.1.10 10.1.1.1 --- --- 注意：這時(shí)候外出的數(shù)據(jù)包中的源 IP 地址是 ISP1 的地址。因而返回的數(shù)據(jù)包 會(huì)從 ISP2 轉(zhuǎn)到 ISP1 網(wǎng)絡(luò)，再回到企業(yè)內(nèi)部。所以在這種情況下，不能使用 ACL 來進(jìn)行 NAT 的過濾。 可使用路由圖來形成轉(zhuǎn)換的配置如下： Router(config)#ip nat pool isp1 100.1.1.10 100.1.1.100 prefix-length 24 Router(config)#ip nat pool isp2 200.1.1.10 200.1.1.100 prefix-length 24 Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 100.1.1.0 0.0.0.255 Router(config)#access-list 101 permit ip 10.1.1.0 0.0.0.255 200.1.1.0 0.0.0.255 Router(config)#route-map isp1-map permit 10 (1) Router(config-route-map)#match ip address 100 (2) Router(config)#route-map isp2-map permit 10 (3) Router(config-route-map)#match ip address 101 Router(config)#ip nat inside source route-map isp1-map pool isp1（4） Router(config)#ip nat inside source route-map isp2-map pool isp2 Router(config)#int e0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip nat outside Router(config)#int e2 Router(config-if)#ip nat outside 命令詳解： （1） 建立 ISP1 的路由圖 （2） 符合訪問控制列表的流量適用于路由圖 （3） 建立 ISP2 的路由圖 （4） 調(diào)用路由圖，建立 NAT 的轉(zhuǎn)換映射 這種配置時(shí)，內(nèi)部用戶訪問外部的時(shí)候，就形成了完整的 NAT 轉(zhuǎn)換表。才能達(dá)到優(yōu)化網(wǎng)絡(luò)的目的。 Pro Inside global Inside local Outside local Outside global tcp 100.1.1.10:11787 10.1.1.1:11787 100.1.1.3:23 10 0.1.1.3:23 tcp 200.1.1.10:14877 10.1.1.1:14877 200.1.1.3:23 20 0.1.1.3:23

?

?

NAT 技術(shù)五

?

冗余鏈路是很多網(wǎng)絡(luò)所關(guān)注的問題， Cisco 公司的 NAT 技術(shù)提供在兩種情況下的冗余：

• 1、 在小型網(wǎng)絡(luò)中使用的冗余技術(shù)，靜態(tài) NAT 和 HSRP 協(xié)議配合使用
• 2、 在大中型網(wǎng)絡(luò)中使用的冗余技術(shù)，有狀態(tài)的切換。

?

一、HSRP 和 靜態(tài)NAT：

用來提供網(wǎng)絡(luò)訪問服務(wù)的冗余鏈路。

?

配置如下：

路由器A： Router(config)#int e0 Router(config-if)#ip add 10.1.1.10 255.255.255.0 Router(config-if)#no ip redirects Router(config-if)#ip nat inside Router(config-if)#standby 1 ip 10.1.1.254 Router(config-if)#standby 1 priority 120 Router(config-if)#standby 1 preempt Router(config-if)#standby 1 name NAT Router(config-if)#standby 1 track e1 50 Router(config)#int e1 Router(config-if)#ip add 100.1.1.1 255.255.255.0 Router(config-if)#ip nat outside Router(config)#ip nat inside source static 10.1.1.1 100.1.1.3 reduandancy NAT Router(config)#ip nat inside source static 10.1.1.2 100.1.1.4 reduandancy NAT 路由器B： Router(config)#int e0 Router(config-if)#ip add 10.1.1.11 255.255.255.0 Router(config-if)#no ip redirects Router(config-if)#ip nat inside Router(config-if)#standby 1 ip 10.1.1.254 Router(config-if)#standby 1 preempt Router(config-if)#standby 1 name NATGROUP Router(config)#int e1 Router(config-if)#ip add 100.1.1.2 255.255.255.0 Router(config-if)#ip nat outside Router(config)#ip nat inside source static 10.1.1.1 100.1.1.3 reduandancy NATGROUP Router(config)#ip nat inside source static 10.1.1.2 100.1.1.4 reduandancy NATGROUP 命令詳解： 常用于小型網(wǎng)絡(luò)，只能為靜態(tài)NAT提供轉(zhuǎn)換

?

?

二、有狀態(tài)的地址切換：

?

有狀態(tài)的地址切換，當(dāng)流量從一臺(tái)路由器上通過時(shí)，另一臺(tái)路由器能夠獲得相同的NAT轉(zhuǎn)換表，故稱為有狀態(tài)的地址切換。

1. 使用HSRP的有狀態(tài)切換：

?

配置命令：

路由器A： Router(config)#int e0 Router(config-if)#ip add 10.1.1.10 255.255.255.0 Router(config-if)#no ip redirects Router(config-if)#ip nat inside Router(config-if)#standby 1 ip 10.1.1.254 Router(config-if)#standby 1 priority 120 Router(config-if)#standby 1 preempt Router(config-if)#standby 1 name SNAT Router(config-if)#standby 1 track e1 50 Router(config)#int e1 Router(config-if)#ip add 100.1.1.1 255.255.255.0 Router(config-if)#ip nat outside Router(config)#ip nat stateful id 1 Router(config-snat)#redundancy SNAT Router(config-snat-red)#mapping-id 100 Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.254 prefix-length 24 Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping-id 100 overload Router(config)#route-map SNAT-MAP permit 10 Router(config-route-map)#match ip address 100 Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any路由器B： Router(config)#int e0 Router(config-if)#ip add 10.1.1.11 255.255.255.0 Router(config-if)#no ip redirects Router(config-if)#ip nat inside Router(config-if)#standby 1 ip 10.1.1.254 Router(config-if)#standby 1 preempt Router(config-if)#standby 1 name SNAT Router(config)#int e1 Router(config-if)#ip add 100.1.1.2 255.255.255.0 Router(config-if)#ip nat outside Router(config)#ip nat inside source static 10.1.1.1 100.1.1.3 reduandancy NATGROUP Router(config)#ip nat inside source static 10.1.1.2 100.1.1.4 reduandancy NATGROUP Router(config)#ip nat stateful id 2 Router(config-snat)#redundancy SNAT Router(config-snat-red)#mapping-id 100 Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.254 prefix-length 24 Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping-id 100 overload Router(config)#route-map SNAT-MAP permit 10 Router(config-route-map)#match ip address 100 Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any 命令詳解： 這種有狀態(tài)的HSRP的SNAT，可以為兩種類型的轉(zhuǎn)換：NAT和PAT提供冗余。

?

2、 不使用 HSRP 的狀態(tài)切換：

?

配置命令：

路由器A： Router(config)#int e0 Router(config-if)#ip add 10.1.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip add 100.1.1.1 255.255.255.0 Router(config-if)#ip nat outside Router(config)#int e2 Router(config-if)#ip add 192.168.1.254 255.255.255.0 Router(config)#ip nat stateful id 1 Router(config-ipnat-snat)#primary 192.168.1.254 Router(config-ipnat-snat-red)#peer 192.168.1.253 Router(config-ipnat-snat-red)#mapping-id 100 Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.100 prefix-length 24 Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping 100 overload Router(config)#route-map SNAT-MAP permit 10 Router(config-route-map)#match ip addredd 100 Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any路由器B： Router(config)#int e0 Router(config-if)#ip add 10.1.1.1 255.255.255.0 Router(config-if)#ip nat inside Router(config)#int e1 Router(config-if)#ip add 100.1.1.1 255.255.255.0 Router(config-if)#ip nat outside Router(config)#int e2 Router(config-if)#ip add 192.168.1.254 255.255.255.0 Router(config)#ip nat stateful id 2 Router(config-ipnat-snat)#primary 192.168.1.254 Router(config-ipnat-snat-red)#peer 192.168.1.253 Router(config-ipnat-snat-red)#mapping-id 100 Router(config)#ip nat pool SNAT-POOL 100.1.1.10 100.1.1.100 prefix-length 24 Router(config)#ip nat inside source route-map SNAT-MAP pool SNAT-POOL mapping 100 overload Router(config)#route-map SNAT-MAP permit 10 Router(config-route-map)#match ip addredd 100 Router(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 any 命令詳解： 這種有狀態(tài)的SNAT，可以為大型網(wǎng)絡(luò)提供轉(zhuǎn)換

?

?

?

?

?

總結(jié)

以上是生活随笔為你收集整理的NAT 详解的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。