NAT技术实现方法

whut2405

                 NAT技术实现方法
               
NAT（Network Address Translation)

·NAT核心思想：将私网地址转换成公网地址，从而连接到公共网络。
NAT technology enables private IP networks that use nonregistered IP addresses to connect to a public network.

·私网地址范围：
　10.0.0.0 - 10.255.255.255
  172.16.0.0 - 172.31.255.255
  192.168.0.0 - 192.168.255.255

·NAT常用于下述情形：
　1.没有足够的公网连接到Internet
  2.当更换ISP需要重新编址
　3.合并两个使用重叠地址空间的内部网络
　4.使用单个IP地址支持基本的负载分担

·优点：
　1.节省了公网IP地址
　2.能够处理编址方案重叠的情况
　3.网络发生改变时不需要重新编址
　4.隐藏了真正的IP地址

·缺点：
　1.NAT引起数据交互的延迟
　2.导致无法进行端到端的IP跟踪
　3.某些应用程序不支持NAT
　4.需要消耗额外的CPU和内存

·内部本地地址--分配给内部网络中的主机的IP地址，通常是私有地址。
·内部全局地址--合法的IP地址，通常由ISP提供，全局唯一的。
·外部全局地址--外部网络中的主机的IP地址，来自全局可路由的地址空间。
·外部本地地址--在内部网络中看到的外部主机的IP地址，通常是私有地址。

NAT的三种实现技术：

·使用NAT做地址转换时，可以静态的，也可以是动态的
　1、静态：内部地址被预选映射到指定的外部地址，内部地址和外部地址是一一对应的。
　2、动态：内部地址可以使用地址池中的外部地址。多个内部地址共享几个外部地址。
　（内部＝私网）　（外部＝公网）
　3、PAT（Port Add translation)：多个内部地址共享一个外部地址，通过
端口号多路复用。

＜静态内部源地址转换＞



1）配置IP地址，并将R2模拟成PC机，设置好默认网关，做为内部服务器使用
R2(config)#no ip routing
R2(config)#ip default-gateway 12.1.1.1

2）在R1上定义NAT的内口/外口
interface Ethernet0/0
ip address 12.1.1.1 255.255.255.0
ip nat inside

interface Serial0/1
ip address 202.100.1.1 255.255.255.0
ip nat outside

3）地址转换（将私网地址转换成已经购买的公网IP地址）
R1(config)#ip nat inside source static 12.1.1.1   202.100.1.1
　
R1#show ip nat translations （查看NAT转换表项）
R1#show ip nat statistics （查看NAT的统计信息）

R1#debug ip nat （查看NAT转换信息）


＜动态内部源地址转换＞

1）在R2上建立多个secondary地址
interface e0/0
  ip address 12.1.1.2 255.255.255.0
  ip address 12.1.1.3 255.255.255.0 secondary
  ip address 12.1.1.4 255.255.255.0 secondary
  
2）在R1上定义NAT的外口/内口
interface Ethernet0/0
ip address 12.1.1.1 255.255.255.0
ip nat inside

interface Serial0/1
ip address 202.100.1.1 255.255.255.0
ip nat outside

3）定义要被转换的私网地址
R2(config)#access-list 1 permit 12.1.1.0 0.0.0.255

R2#show ip access-lists （查看访问控制列表）

4）定义地址池（已经购买的IP地址202.100.1.1-202.100.1.2)
ip nat pool IP-POOL 202.100.1.1 202.100.1.2 prefix-length 24
　　　　　　（名字）(起始IP）　（终结IP）　　　　　（掩码）

5）动态映射：
R3(config)#ip nat inside source list 1 pool IP-POOL [overload] 加这个参数可以实现复用


R1#clear ip nat translation * （清NAT转换表项）
　　（针对Static映射不起效）

ip nat translation timeout 30   定义NAT表中动态转换条目失效时间，默认是一天(24小时)。


＜PAT＞

1）在R2上建立多个secondary地址
interface e0/0
  ip address 12.1.1.2 255.255.255.0
  ip address 12.1.1.3 255.255.255.0 secondary
  ip address 12.1.1.4 255.255.255.0 secondary

2）在R1上定义NAT的外口/内口
interface Ethernet0/0
ip address 12.1.1.1 255.255.255.0
ip nat inside

interface Serial0/1
ip address 202.100.1.1 255.255.255.0
ip nat outside

3）定义可被转换的私网地址
R3(config)#access-list 1 permit 12.1.1.0 0.0.0.255

4）端口复用
ip nat inside source list 1 interface Serial0/1 overload
　　　　　　　　　　　(access-list) (出去的端口) (端口复用）


show ip nat [translations]在网关上看一些信息，端口号和IP地址的对应关系，本表项一分钟后就会删除



需求：R3想要访问私有网络中的WWW服务器

1）将R2模拟成WEB服务器。
　　
2）定义NAT的外口/内口

3）配置端口映射：

R1(config)#ip nat inside source static tcp 12.1.1.1 80 202.100.1.1 80 extendable
                             (inside local) (local port) (inside global) (global port任意指定）

测试：在R3上telnet  202.100.1.1 80端口

R1#show ip nat translations



本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/55752/showart_613259.html