• 网络技术:NAT 网络地址转换


    NAT

    网络地址转换(NAT)技术的理论部分可以看博客——网络层——NAT。NAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在末节网络的边界。

    在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是与 ISP 相连的路由器接口的地址,这会是个公有地址。进行 NAT 转换时,内部本地地址将会转换为内部全局地址,外部全局地址会成为目的地址。

    地址类型 含义
    内部本地地址 转换前的内部源地址
    外部本地地址 转换后的目标地址
    内部全局地址 转换后的源地址
    外部全局地址 转换前的外部目标地址

    NAT 的优缺点

    优点

    1. 允许内网使用私有地址,从而节省了 ISP 分配的公网地址;
    2. 增强了与公有网络连接的灵活性;
    3. 在内网使用私有地址,可以让公有地址的更换提供方便;
    4. 隐藏内网的 IP 地址的细节。

    缺点

    1. NAT 转换有一定的时间开销,会使性能下降;
    2. 基于端到端的功能可能无法实现;
    3. 由于更改了 IP 地址,端到端的 IP 地址因此无法追踪;
    4. 修改了报头的值,导致数据包的完整性检查失败;
    5. TCP 连接可能因此中断。

    NAT 的类型

    静态 NAT

    静态 NAT 实现本地地址和全局地址的一对一映射,这些映射由网络管理员进行配置。当配置静态 NAT 的设备向互联网发送流量时,内部本地地址会被转换为已配置的内部全局地址,内部全局地址是共有的 IPv4 地址。很显然,静态 NAT 并不能节省共有 IP 地址的使用。
    例如有如图所示拓扑,可用的公网地址有 170.168.2.2、170.168.2.3、170.168.2.4,则 NAT 转换表可能是:

    内部本地 IP 地址 内部全局 IP 地址
    192.168.1.21 170.168.2.2
    192.168.1.22 170.168.2.3
    192.168.1.23 170.168.2.4

    例如主机 192.168.1.21 向外部网络发送分组,则配置了 NAT 的路由器发现分组的源 IP 地址是内部本地 IP 地址,则就将该地址转换为内部全局 IP 地址并记录在 NAT 表中,例如这里转换为 170.168.2.2。转换后分组会被转发到外部接口,当路由器收到外部主机返回的分组时,路由器会根据 NAT 表把内部全局 IP 地址转换回内部本地 IP 地址。

    动态 NAT

    动态 NAT 实现本地地址和全局地址之间的多对多映射,将使用公有地址池,以先到先得的原则分配地址的使用。当配置了动态 NAT 的内部设备访问外部网络时,动态 NAT 会分配 NAT 地址池中可用的 IPv4 地址。动态 NAT 的转换也会受到 IP 地址池的 IP 地址数量限制,例如内部网络有 50 个使用私有地址的设备,IP 地址池有 5 个公有地址,则只能将这 50 个私有地址映射到这 5 个公有地址上。

    PAT

    端口地址转换 PAT实现本地地址和全局地址之间的多对一映射,地址将通过端口号进行重载。由于端口号可以是 0 ~ 65536,所以一个公有 IP 地址可以重载 65536 次。内部本地地址进行转换时,PAT 会将唯一的源端口号添加到内部全局地址上。端口号会用来区分流量,当目的主机返回响应时,端口号会决定路由器将数据包转发到哪个设备上。
    在实际情况下端口号可能会被其他会话或者应用占用,此时如果使用的端口号已经被使用了,则 PAT 会从端口号组中分配一个可用的端口号。如果已经没有可用的端口号了,PAT 会进入下一个公网地址进行转换,并且重新分配端口号。
    例如有如图所示拓扑,可用的公网地址只有 170.168.2.2,则 NAT 转换表可能是:

    内部本地 IP 地址 内部全局 IP 地址
    192.168.1.21:12000 170.168.2.2:12000
    192.168.1.22:12000 170.168.2.3:12001
    192.168.1.23:24000 170.168.2.4:12002

    PAT 可以使用端口号对一个公网地址进行重载,例如主机 192.168.1.21 向外部网络发送分组,则配置了 NAT 的路由器发现分组的源 IP 地址是内部本地 IP 地址,则就将该地址转换为内部全局 IP 地址并加上一个可用的端口号记录在 NAT 表中,例如这里转换为 170.168.2.2:12000。当路由器收到外部主机返回的分组时,路由器会根据 NAT 表,根据端口号把内部全局 IP 地址转换回内部本地 IP 地址。

    配置静态 NAT

    静态 NAT 的配置比较简单,因为只需要将一个内部地址映射到一个外部地址就行。在配置模式使用的命令如下,local-ip 表示进行 NAT 转换的内部地址,global-ip 表示进行 NAT 转换的外部地址,这样就可以建立起地址的映射关系。

    Router(config)# ip nat inside source static local-ip global-ip
    

    接着需要将接口配置为相对于 NAT 的内部接口和外部接口,内部接口使用如下命令在接口配置模式下定义:

    Router(config-if)# ip nat inside
    

    外部接口使用如下命令在接口配置模式下定义:

    Router(config-if)# ip nat outside
    

    配置动态 NAT

    动态 NAT 的配置需要先定义用于转换的地址池,并且为这个地址池命名,使用的命令如下。“pool-name” 是地址池名,“start-ip” 是第一个可用 ip,“end-ip” 是最后一个可用的 ip,这 2 个参数将表示 ip 地址的范围。netmask 关键字指示哪些地址位属于网络位。

    Router(config)# ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length}
    

    接着需要定义一个 ACL 把需要进行 NAT 转换的流量筛选出来,使用命令如下,使用命名 ACL 也可以:

    Router(config)# access-list access-list-number permit source [ source-wildcard ]
    

    接下来要将 ACL 和 NAT 地址池进行绑定,使用的命令如下:

    Router(config)# ip nat inside source list access-list-number pool pool-name
    

    最后接着需要将接口配置为相对于 NAT 的内部接口和外部接口,内部接口使用如下命令定义:

    Router(config-if)# ip nat inside
    

    外部接口使用如下命令定义:

    Router(config-if)# ip nat outside
    

    配置 PAT

    实验拓扑

    思科 11.2.3.7 Lab 配置 NAT 地址池过载和 PAT 的实验拓扑如下。

    地址分配表:

    设备 接口 IP 地址 子网掩码 默认网关
    Gateway G0/1 192.168.1.1 255.255.255.0 N/A
    S0/0/1 209.165.201.18 255.255.255.252 N/A
    ISP S0/0/0 (DCE) 209.165.201.17 255.255.255.252 N/A
    Lo0 192.31.7.1 255.255.255.255 N/A
    PC-A NIC 192.168.1.20 255.255.255.0 192.168.1.1
    PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1
    PC-C NIC 192.168.1.22 255.255.255.0 192.168.1.1

    配置并检验 NAT 地址池过载

    配置 NAT 地址池过载

    配置网关路由器,将来自 192.168.1.0/24 网络的 IP 地址转换为 209.165.200.224/29 范围内的六个可用地址中的一个。
    首先定义与 LAN 私有 IP 地址相匹配的访问控制列表,由于要对 G0/1 接口的网段 192.168.1.0/24 做 NAT,因此定义 ACL 1 用来允许对 192.168.1.0/24 的流量能够被转换。标准 ACL 筛选流量的作用也可以从此处体现。

    Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255
    

    定义可用的公有 IP 地址池,和动态 NAT 一样,使用的命令为 “ip nat pool pool-name start-ip end-ip { netmask netmask | prefix-length prefix-length }”。“pool-name” 是地址池名,“start-ip” 是第一个可用 ip,“end-ip” 是最后一个可用的 ip,这 2 个参数将表示 ip 地址的范围。netmask 关键字指示哪些地址位属于网络位。

    Gateway(config)# ip nat pool public_access 209.165.200.225  209.165.200.230 netmask 255.255.255.248
    

    定义从内部源列表到外部地址池的 NAT,使用 “ip nat inside source list access-list-number pool pool-name overload” 命令绑定 ACL 和地址池。注意到示例命令后面跟了个关键字 overload,该关键字表示过载,用于配置 PAT。

    Gateway(config)# ip nat inside source list 1 pool public_access overload
    

    指定接口,对接口使用 “ip nat inside” 配置内部接口,“ip nat outside” 命令配置外部接口。

    Gateway(config)# interface g0/1
    Gateway(config-if)# ip nat inside
    Gateway(config-if)# interface s0/0/1
    Gateway(config-if)# ip nat outside
    

    检验 NAT 地址池过载

    每台 PC 对 192.31.7.1 地址执行 ping 操作后,显示网关路由器上的 NAT 统计数据。

    Gateway# show ip nat statistics
    

    该命令可以显示总转换数,NAT 配置参数、地址池地址数量和已分配地址数量。

    显示网关路由器上的 NAT。

    Gateway# show ip nat translations
    

    该命令可以显示活动的 NAT 转换。

    命令列出了 3 个内部本地 IP 地址,分别是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 个内部全局 IP 地址 209.165.200.225。

    删除 NAT 配置

    删除可用公有 IP 地址池。

    Gateway(config)# no ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248
    

    删除从内部源列表到外部地址池的 NAT 转换

    Gateway(config)# no ip nat inside source list 1 pool public_access overload
    

    接口定义外部地址配置并检验 PAT

    使用接口定义外部地址

    首先定义与 LAN 私有 IP 地址相匹配的访问控制列表,ACL 1 用来允许对 192.168.1.0/24 进行转换。标准 ACL 筛选流量的作用也可以从此处体现。

    Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255
    

    指定接口,对接口使用 ip nat inside 和 ip nat outside 命令。

    Gateway(config)# interface g0/1
    Gateway(config-if)# ip nat inside
    Gateway(config-if)# interface s0/0/1
    Gateway(config-if)# ip nat outside
    

    使用接口而不是地址池来定义外部地址,进而配置 PAT,将源列表与外部接口相关联。

    Gateway(config)# ip nat inside source list 1 interface serial 0/0/1 overload
    

    检验 PAT

    每台 PC 对 192.31.7.1 地址执行 ping 操作后,显示网关路由器上的 NAT 统计数据。

    Gateway# show ip nat statistics
    


    显示网关路由器上的 NAT。

    Gateway# show ip nat translations
    


    命令列出了 3 个内部本地 IP 地址,分别是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 个内部全局 IP 地址 209.165.201.18。

    参考资料

    《思科网络技术学院教程(第6版):路由和交换基础》,[加] Bob Vachon,[美] Allan Johnson 著,思科系统公司 译,人民邮电出版社
    《CCNA 学习指南(第 7 版)》,[美] Todd Lammle 著,袁国忠 徐宏 译,人民邮电出版社

  • 相关阅读:
    关于SQLServer数据库中字段值为NULL,取出来该字段放在DataTable中,判断datatable中该字段值是否为NULL的三种方法
    关于web程序中使用KindEditor向数据库插入带有格式的数据时出现的问题
    使用再生龙对ubuntu16.04系统完全备份与还原
    mysql数据库操作指令汇总
    ubuntu安装supervisor以及使用supervisor启动.net core进程
    c#小数取整
    nuget.server搭建及实际测试
    mysql主从同步+mycat读写分离+.NET程序连接mycat代理
    EasyNVR-流媒体服务详解
    Js实现子窗体给父窗体的元素赋值
  • 原文地址:https://www.cnblogs.com/linfangnan/p/14147619.html
Copyright © 2020-2023  润新知