浅谈网络地址转换(NAT)

随着网络的发展,公网IP地址的需求与日俱增。为了缓解公网IP地址的不足,并且保护公司内部服务器的私网地址,可以使用NAT(网络地址转换)技术将私网地址转化成公网地址,以缓解IP地址的不足,并且隐藏内部服务器的私网地址。
NAT通过将内部服务器的私网IP地址转换成全球唯一的公网IP地址,是内部网络可以连接到互联网等外部网络上。
NAT的实现方式有三种:
静态NAT(static translation)
动态转换(dynamic translation)
PAT(port-base address translation,基于端口的地址转换)
其中常用到的是静态转换和PAT,动态转换不太实用。因为动态转换的话,我们拥有的公网IP地址要和局域网要上网的ip地址一样多。这是不现实的。所以这里就不说动态ip了。
静态转换是一对一(一个公网IP地址对应一个私网IP地址)、一对多(一个公网IP地址对应多个私网IP地址)的转换,主要是用于我们内部需要让外网客户访问的服务器会做静态转换,简单的静态转换只能一对一,可以通过NAT端口映射来实现一对多的转换。
一对一转换的实现过程如下:
Router(config)#ip nat inside source static 192.168.1.1 20.0.0.2 #将内网ip地址192.168.1.1在与外网通信时转换为20.0.0.2

Router(config)#in f0/0 #进入内部网络的接口
Router(config-if)#ip nat inside #在内部网络的端口启用NAT
Router(config-if)#in f0/1 #进入连接外部网络的端口
Router(config-if)#ip nat outside #在连接外部网络的端口启动NAT(注意:和在内部网络的接口启用NAT的命令字有差别

经过以上配置,静态转换(一对一)就生效了。

接下来我们使用NAT端口映射,实现静态转换的一对多转换(跟一对一的转换差别不大,只是多定义了下端口号)。命令如下:

Router(config)#ip nat inside source static tcp 192.168.1.1 80 20.0.0.2 80 extendable #将内网ip地址为192.168.1.1的web服务器在与外网通信时转换为20.0.0.2

Router(config)#ip nat inside source static tcp 192.168.1.2 25 20.0.0.2 25 extendable #将内网ip地址为192.168.1.2的SMTP服务器在与外网通信时转换为20.0.0.2

以上两条配置成功后(同样需要分别在内部端口和外部端口启动NAT),当外网用户访问web服务器时,路由器会对应NAT转换条目,并查看端口号,然后把数据包传送给192.168.1.1的web服务器;当外网用户访问SMTP服务器时,路由器同样会查看NAT转换条目,并查看端口号,然后把数据包传送给192.168.1.2的SMTP服务器。这样就实现了基于NAT端口映射的一对多的静态转换。(当然,若有两台服务器都是相同服务的话,就不太适用了,如果更改服务默认的端口号,就会不利于用户的访问了。)

PAT

PAT可以实现一对多(一个公网IP地址对应多个私网IP地址)、直接复用路由器外部接口地址,两种实现方式。

一对多的实现命令如下(需要借助ACL控制列表):

Router(config)#access-list 1 permit 192.168.1.0 0.0.0.255 #定义ACL控制列表,允许192.168.1.0/24网段的流量通过。

Router(config)#ip nat pool 123 20.0.0.2 20.0.0.2 netmask 255.0.0.0 #定义合法的公网IP地址池,其中“123”为地址池的名字。可以自行定义。第一段ip为起始ip地址,第二段ip地址为结束ip地址,因为只用一个公网IP,所以起始和结束相同

Router(config)#ip nat inside source list 1 pool 123 overload #overload是启用端口复用方式,这条命令实现的是:以端口复用方式,将ACL 1 中的局部地址转换为123地址池中定义的全局IP地址。

接下来分别在内部端口和外部端口启用NAT即可生效。

直接复用路由器外部接口地址的实现过程如下:

Router(config)#access-list 2 permit 192.168.2.0 0.0.0.255 #定义ACL控制列表,允许192.168.2.0/24网段的流量通过

由于直接使用外部接口地址,因此不用定义IP地址池。

Router(config)#ip nat inside source list 2 in f0/1 overload #在全局配置模式,设置复用动态IP地址转换,在内部的ACL 2 的地址与路由器上与外网连接的接口合法公网IP地址之间建立地址转换。

以上就是几种常用的地址转换方式。在配置完成后可以在特权模式下执行:Router#debug ip nat命令后,让内网和外网通信,来查看调试信息,以便验证地址转换是否达到了我们所要实现的要求,若要关闭此功能,输入Router#no debug ip nat 即可。也可执行Router#show ip nat translations来查看转换条目;执行:Router#clear ip nat translations *删除除静态转换条目以外的所有条目。

NAT的故障排查思路

若遇到NAT故障,基本上可以归于两类:配置错误和没有正确理解NAT的工作方式。
一般可以通过Router#i show run来查看配置,以便检查以下几个方面是否存在问题:
1、是否设置了ACL,阻塞了进行过NAT或没有进行过NAT的流量;
2、定义需要进行NAT的ACL是,漏掉了需要进行地址转换的网络;
3、在NAT语句中漏掉了overload关键字。为了建立PAT,在NAT配置命令的最后,必须使用overload关键字,漏掉这个关键字,将会导致无法进行PAT,最终将会导致只有数目有限的主机可以访问公用网或互联网,而不是期望中的所有主机。
4、不对称路由导致NAT失败,就是在外部端口(outside)和内部端口(inside)配置反了;
5、NAT地址池和静态NAT表项中有重叠地址。要确保NAT地址池中的IP地址也不能用于静态NAT,这很重要。

原文地址:https://blog.51cto.com/14227204/2393138

时间: 2024-10-08 14:48:46

浅谈网络地址转换(NAT)的相关文章

网络地址转换NAT

一.网络地址转换NAT: 在专用网内部的一些主机本来已经分配到了本地IP地址,但现在想和Internet上的主机进行通信,最简单的办法就是再申请一些全球的IP地址,但是全球的IPv4的地址已经不多了,所以采用了一种方法是网络地址转换. 在专用网连接到Internet的路由器上安装NAT软件,把装有NAT软件的路由器叫做NAT路由器,它至少有一个有效的外部全球IP地址,才能和Internet连接.所有使用本地地址的主机和Internet进行通信时,都要在NAT路由器上经本地地址转换成全球的IP地址

第11章 拾遗1:网络地址转换(NAT)和端口映射

1. 网络地址转换(NAT) 1.1 NAT的应用场景 (1)应用场景:允许将私有IP地址映射到公网地址,以减缓IP地址空间的消耗 ①需要连接Internet,但主机没有公网IP地址 ②更换了一个新的ISP,需要重新组织网络时,可使用NAT转换 ③需要合并两个具有相同网络地址的内网 (2)NAT的优缺点 优点 缺点 ①节约合法的公网IP地址 ②减少地址重叠现象 ③增加连接Internet的灵活性 ④增加内网的安全性 ①地址转换产生交换延迟,也就是消耗路由器性能. ②无法进行端到端的IP跟踪 ③某

2016.7.9 计算机网络复习要点第四章之虚拟专用网VPN和网络地址转换NAT

1.虚拟专用网VPN (1)一个机构内,对于那些仅在本机构内部使用的计算机就可以由本季候自行分配其IP地址,让这些计算机使用仅在本机构有效的IP地址(本地地址),不需要申请全球唯一的IP地址(全球地址): (2)专用地址:这些地址只能用于一个机构的内部通信,而不能用于和因特网上的主机通信,换言之,专用地址只能用作本地地址而不能用作全球地址: (3)在因特网中的路由器,对目的地址是专用地址的数据报一律不转发: (4)三个专用地址: **10.0.0.0到10.255.255.255(或10.0.0

Ubuntu搭建ssh连接(连接方式:桥接网卡、网络地址转换(NAT))

操作系统:Ubuntu Server 16.04.2 SSH软件:Putty(远程连接工具,视本机操作系统选择对应版本的putty) ----------------------------------网络连接方式:桥接网卡----------------------------------- 第一步: 1)安装openssh-server,命令如下: sudo apt install openssh-server 因为我本机已经安装过openssh-server,所以截图与首次安装截图不一致(

Packet Tracer 5.2实验(十四) 网络地址转换NAT配置

Packet Tracer 5.2实验(十四) 网络地址转换NAT配置 一.实验目标 理解NAT网络地址转换的原理及功能: 掌握静态NAT的配置,实现局域网访问互联网: 二.实验背景 公司欲发布WWW服务,现要求将内网Web服务器IP地址映射为全局IP地址,实现外部网络可访问公司内部Web服务器. 三.技术原理 网络地址转换NAT(Network Address Translation),被广泛应用于各种类型Internet接入方式和各种类型的网络中.原因很简单,NAT不仅完美解决了IP地址不足

代理服务器和网络地址转换NAT

一.代理服务器 1.代理服务器的基本概念 代理服务器是网络信息的中转站,简单来说就是个人网络和因特网服务商之间的代理机构,它负责转发合法的网络信息,并对转发进行控制和登记. 在使用网络浏览器浏览网络信息的时候,如果使用代理服务器,浏览器就不是直接到web服务器中取回网页,而是向代理服务器发出请求,由代理服务器取回浏览器所需要的信息. 目前使用的因特网是一个典型的客户机/服务器结构,当用户的本地机与因特网连接时通过本地机的客户程序如浏览器或者软件下载工具发出请求,远端的服务器会在接收到请求之后提供

网络地址转换(NAT)

网络地址转换(NAT)NAT属接入广域网(WAN)技术,是一种将私有(保留)地址转化为公有(合法)IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中.原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的×××,隐藏并保护网络内部的计算机.基本网络地址转换(Basic NAT)是一种将一组 IP地址映射到另一组 IP 地址的技术,这对终端用户来说是透明的.网络地址端口转换(NAPT)是一种将群体网络地址及其对应 TCP/UDP

网络地址转换NAT概念

网络地址转换NAT NAT的作用:增加IPv4的地址数量,解决私网地址不能上网的问题. NAT的概念:通过将内部网络的私网IP地址翻译成全球唯一的公网IP地址. 原理 原理:就是将内部本地转换为内部全局的地址,即将私网地址转换为公网地址去上网. NAT术语:内部本地(局部) 在内部网络中分配给主机使用的私有ip地址内部全局 该地址通常是从全球统一可寻址的地址空间中分配的,一般由互联网服务同上(ISP)提供外部全局 外部网络上的主机分配的ip地址.该地址也是从全球统一可寻址的地址空间中分配的外部本

linux 网络地址转换NAT

网络地址转换NATNAT的作用:增加IPv4的地址数量,解决私网地址不能上网的问题. NAT的概念:通过将内部网络的私网IP地址翻译成全球唯一的公网IP地址. 原理 原理:就是将内部本地转换为内部全局的地址,即将私网地址转换为公网地址去上网. NAT术语:内部本地(局部) 在内部网络中分配给主机使用的私有ip地址内部全局 该地址通常是从全球统一可寻址的地址空间中分配的,一般由互联网服务同上(ISP)提供外部全局 外部网络上的主机分配的ip地址.该地址也是从全球统一可寻址的地址空间中分配的外部本地