NAT功能
NAT不仅能解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。
1.宽带分享:这是 NAT 主机的最大功能。解决IP4地址短缺的问题。
2.安全防护:NAT 之内的 PC 联机到 Internet 上面时,他所显示的 IP 是 NAT 主机的公共 IP,所以 Client 端的 PC 当然就具有一定程度的安全了,外界在进行 portscan(端口扫描) 的时候,就侦测不到源Client 端的 PC 。
NAT实现方式
有三种,即
1.静态转换Static Nat (静态ip 静态端口)
2.动态(源地址)转换Dynamic Nat
3.动态(目的地址)转换Dynamic Nat
4..端口多路复用OverLoad(PAT)
这些东西还是放在前面讲吧,看不懂,记不住无所谓,底层的原理
Inside 内部
Outside 外部
四个概念:
Inside local 内部本地地址(内部主机的实际地址,一般为私有地址)
Inside global 内部全局地址(内部主机经NAT转换后去往外部的地址,是ISP分配的合法IP地址)
Outside local 外部本地地址(外部主机由NAT设备转换后的地址,一般为私有地址,内部主机访问该外部主机时,
认为它是一个内部的主机而非外部主机)
Outside global 外部全局地址(外部主机的真实地址,互联网上的合法IP地址)
数据包只有在 outside 接口和 inside 接口之间路由时,并且符合
一定规则的,才会进行NAT转换。
所以实现NAT的路由器必须配置至少一个 outside 接口和一个 inside 接口,也可配置多个
内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。
外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口
ip nat inside source
ip nat inside destination (很多路由设备没有此选项)
都是内部地址转换
ip nat inside source 即是IL->IG (由内部发起的流量)
ip nat inside destination 即是IG->IL (由外部发起的流量)
撇开流量的发起方不说,达到的效果是一样的(都是IL与IG之间转换),即NAT Translation表的IL和IG项都一样。但是对于ip nat inside destination 需要注意
①只有TCP流量才会转换,ping 流量是不会触发NAT的Destination转换的!
②nat pool 一定要设置type为 rotary!!
cisco的NAT 命令汇总
ip nat inside source list 访问控制列表 (pool 池名 | interface 接口名) overload
ip nat inside source static 本地(ip | 端口) 外部(ip|端口)
ip nat outside source
pool
一.静态转换
1.静态IP转换
是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
. 将网络的一个内部地址L映射到一个外部地址G上。从内部网络发送以L为源的数据包的源地址会被替换成地址G。
同时,从外部发往内部网络的目的地址为G的数据包的目的地址会被替换成L
。这样内部主机就可以伪装成G与外部网络通信
语法:
ip nat inside source static 内部本地地址 内部全局地址
ip nat inside source static 10.0.0.1 222.2.2.1 // 配置静态NAT
ip nat inside source static 10.0.0.2 222.2.2.2
ip nat inside source static 10.0.0.3 222.2.2.3
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
实例:先设置好ACL语言,再设置NAT转换(使用上述代码)
2.静态端口转换
ip nat inside source static tcp/udp 内部本地地址 端口 内部全局地址 端口
ip nat inside source static tcp 10.0.0.1 80 222.2.2.1 80
ip nat inside source static tcp 10.0.0.2 24 222.2.2.1 24
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
二.动态(源地址)转换
将内部网络访问外部网络数据包的源地址L替换成设定好的全局地址G。使内部网络主机可以用这个全局地址G访问外部网络 ,但外部主机无法用G地址访问内部主机L
1.定义要转换的内部设备
这里使用 acl 访问控制列表
access-list 1 permit host 10.0.0.1
access-list 1 permit host 10.0.0.2
2.定义内部全局IP地址池
ip nat pool 池名 开始地址 结束地址 netmask 子网掩码
ip nat pool nat-pool 222.2.2.1 222.2.2.1 netmask 255.255.255.0
3.为内部本地调用转换地址池
ip nat inside source list acl语句 pool 池名
(这里也可以将池名换为路由器接口,所有动态转换使用此接口ip)
ip nat inside source list 1 pool nat-pool //使用地址池
ip nat inside source list <number> interface <interface> //使用路由器接口
4.定义内部外部端口
interface f0/0
ip nat inside // 设置该端口为内部端口
interface f0/1
ip nat outside // 设置该端口为外部端口
三.端口映射(pat)
1.定义要转换的内部设备
这里使用 acl 访问控制列表
access-list 1 permit host 10.0.0.1
access-list 1 permit host 10.0.0.2
2.定义内部全局IP地址池
ip nat pool 池名 开始地址 结束地址 netmask 子网掩码
ip nat pool nat-pool 222.2.2.1 222.2.2.1 netmask 255.255.255.0
3.为内部本地调用转换地址池
ip nat inside source list acl语句 pool 池名
overload
ip nat inside source list 1 pool nat-pool overload
四,动态(目的地址)转换
前面的几种情况都是对数据包的源地址进行 转换,下面来说下 对目的地址 转换
将外部主机访问设定好的全局地址G的数据包的目的地址替换成内部主机的地址L,也就是常见的虚拟服务器,
可对转换业务进行端口映射。这样外部主机可以访问内部的主机,但内部主机无法主动访问外部主机。
当配置的地址池中包含一个以上的地址时,外部主机对内部的访问会在这几个地址中做负载均衡
语法:
ip nat inside destination list 访问控制列表编号 pool 池名
NAT内部目标地址转换可用于实现TCP负载均衡,你可以用一台虚拟主机代替
多台实际主机接收用户的TCP请求,由NAT把这些请求轮流映射到各个实际主机上,
达到负载分流的目的。
配置TCP负载均衡时,访问控制列表定义的是虚拟主机的地址,IP地址池中定义的是各台实际主机的地址
范例:
ip nat pool np 192.168.1.1 192.168.1.3 netmask 255.255.255.0 // 内网地址
access-list 1 permit 60.8.1.1 0.0.0.0 //外网地址
ip nat inside destination list 1 pool np //内外网地址进行映射
查询:
show ip nat statistics
查看NAT统计数据和规则,包括inside和outside接口
show ip nat translations
查看生效的NAT设置
清除所有动态NAT配置 clear ip nat translation *
清除单个动态NAT配置: clear ip nat translation <global-ip>
清除特定NAT配置:
clear ip nat translation <global-ip> <local-ip> <protocol> <global-port> <local-port>
debug: debug ip nat [<list>] [detailed]
一些高级配置:
1.更灵活的地址池的配置:
ip nat pool <name> { netmask <mask> | prefix-length <length> } [ type { rotary } ]
这样可以允许定义不连续地址池,接下来定义地址空间: address <start> <end>
例子:
Router(config)#ip nat pool fred prefix-length 24
Router(config-ipnat-pool)#address 171.69.233.225 171.69.233.226
Router(config-ipnat-pool)#address 171.69.233.228 171.69.233.238
这样就定义了一个171.69.233.225-226和and 171.69.233.228-238的地址池
2.翻译为接口地址:
ip nat inside source list <number> interface <interface> overload
如果接口shut或者接口没有设置IP地址的话,NAT不会生效
3.映射某个服务到某个主机上(比如邮件服务):
ip nat inside source static { tcp | udp } <localaddr> <localport> <globaladdr> <globalport>
更高级扩展:
4.对route map的支持:
(route map和ACL很类似,它可以用于路由的再发布和策略路由,还经常使用在BGP中)
ip nat inside source route-map <name> pool <name>
例子:
ip nat pool provider1-space 171.69.232.1 171.69.232.254 prefix-length 24
ip nat pool provider2-space 131.108.43.1 131.108.43.254 prefix-length 24
ip nat inside source route-map provider1-map pool provider1-space
ip nat inside source route-map provider2-map pool provider2-space
interface Serial0/0
ip nat outside
interface Serial0/1
ip nat outside
interface Fddi1/0
ip nat inside
route-map provider1-map permit 10
match ip address 1
match interface Serial0/0
route-map provider2-map permit 10
match ip address 1
match interface Serial0/1