|
NAT學習筆記
2010-4-7 來源:本站原創(chuàng) 作者:佚名
Nat英文全稱是 NETWORK ADDRESS TRANSLATION, 中文意思是網(wǎng)絡(luò)地址轉(zhuǎn)換����。是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)����。 Nat轉(zhuǎn)換包括多種不同類型,可用于多種目的�。
1,靜態(tài)Nat
按照一一對應(yīng)的方式將每個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址����,這種方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設(shè)備需要能夠被外部網(wǎng)絡(luò)訪問到時。 配置步驟: 1)在路由器上配置路由選擇和IP地址�����;2)至少指定一個內(nèi)部接口和一個外部接口���。方法是進入接口配置模式下����,執(zhí)行命令
IP Nat INSIDE | OUTSIDE�。指定內(nèi)部地址和外部地址目的是讓路由器知道哪個是內(nèi)部網(wǎng)絡(luò),哪個是外部網(wǎng)絡(luò),以便進行相應(yīng)地址轉(zhuǎn)換����。
3)使用全局命令 IP Nat INSIDE SOURCE STATIC LOcaL-IP GLOBAL-IP,配置靜態(tài)轉(zhuǎn)換條目����。 配置實例: Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip add 10.1.1.10 255.255.255.0
Router(config-if)#ip Nat inside
Router(config-if)#int s 0/0
Router(config-if)#ip add 192.16.2.1 255.255.255.0
Router(config-if)#ip Nat outside
Router(config)#ip Nat inside source static 10.1.1.5 192.16.2.5 2,靜態(tài)端口地址轉(zhuǎn)換NAPT 和靜態(tài)NAT轉(zhuǎn)換一樣����,靜態(tài)NAPT也通常用于將內(nèi)部主機發(fā)布到外部網(wǎng)絡(luò)。但是靜態(tài)NAPT與靜態(tài)Nat不同�����,靜態(tài)NAPT允許
將內(nèi)部網(wǎng)絡(luò)的多個服務(wù)(一臺主機或多臺主機上的服務(wù)�����,如ftp����、http服務(wù))發(fā)布到同一個地址上,并用不同的端口來區(qū)別不同的內(nèi)部服務(wù)��。 配置步驟: 1)在路由器上配置路由選擇和IP地址;2)至少指定一個內(nèi)部接口和一個外部接口��。方法是進入接口配置模式下���,執(zhí)行命令
IP Nat INSIDE | OUTSIDE����。指定內(nèi)部地址和外部地址目的是讓路由器知道哪個是內(nèi)部網(wǎng)絡(luò)���,哪個是外部網(wǎng)絡(luò),以便進行相應(yīng)地址轉(zhuǎn)換��。
3)使用全局命令 IP Nat INSIDE SOURCE STATIC TCP | UDP LOCAL-IP LOCAL-PORT GLOBAL-IP LOcaL-PORT��,配置靜態(tài)NAPT轉(zhuǎn)換條目����。
配置實例:
Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip add 10.1.1.10 255.255.255.0
Router(config-if)#ip Nat inside
Router(config-if)#int s 0/0
Router(config-if)#ip add 192.16.2.1 255.255.255.0
Router(config-if)#ip Nat outside
Router(config)#ip Nat inside source static tcp 10.1.1.5 80 192.16.2.5 80
Router(config)#ip Nat inside source static tcp 10.1.1.6 21 192.16.2.5 21
Router(config)#ip Nat inside source static tcp 10.1.1.6 20 192.16.2.5 20 3,動態(tài)Nat 將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址(地址池)中的一個IP地址。 配置步驟: 配置步驟:1)在路由器上配置路由選擇和IP地址���;2)至少指定一個內(nèi)部接口和一個外部接口��。方法是進入接口配置模式下�����,執(zhí)行命令
IP Nat INSIDE | OUTSIDE���。僅當報文從內(nèi)部接口轉(zhuǎn)發(fā)到外部接口時���,才轉(zhuǎn)換其源地址。
3)使用命令 access-list access-list-number permit|deny 定義IP訪問控制列表�,以明確哪些報文將被進行Nat轉(zhuǎn)換,這里可以標準訪問控制列 表或擴展訪問控制列表��。4)使用命令ip Nat pool pool-name start-ip end-ip netmask netmask定義一個地址池����,用于轉(zhuǎn)換地址。5)使用命令 ip Nat insde source list access-list-number pool pool-name將符合訪問控制列表條件的內(nèi)部本地地址轉(zhuǎn)換到地址池中內(nèi)部全局地址�����。 配置實例:
Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip add 10.1.1.10 255.255.255.0
Router(config-if)#ip Nat inside
Router(config-if)#int s 0/0
Router(config-if)#ip add 192.16.2.1 255.255.255.0
Router(config-if)#ip Nat outside Router(config)#access-list 10 permit 10.1.1.0 0.0.0.255 Router(config)#ip Nat pool 5ijsj 192.16.2.1 192.16.2.254 netmask 255.255.255.0 Router(config)#ip Nat inside source list 10 pool 5ijsj 注意:地址池定義���、訪問控制列表和地址池幫定后���,想刪除地址池�����、和幫定關(guān)系�,無法刪除�。
提醒%Dynamic mapping in use, cannot remove
%Pool 5ijsj in use, cannot destroy 如果想刪除,首先必須在特權(quán)視圖下clear ip nat translation *����, 然后在內(nèi)接口或外接口視圖下no ip nat inside 或no ip Nat outside;
接著��,刪除訪問控制列表�����,再去刪除幫定關(guān)系����,最后才能清除地址池�。
4,動態(tài)NAPT
動態(tài)NAPT是動態(tài)NAT的一種實現(xiàn)形式,NAPT利用不同的端口號將多個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址����,NAPT也稱為PAT或端口復用Nat����。 配置步驟: 配置步驟:1)在路由器上配置路由選擇和IP地址�;2)至少指定一個內(nèi)部接口和一個外部接口。方法是進入接口配置模式下���,執(zhí)行命令
IP Nat INSIDE | OUTSIDE�。僅當報文從內(nèi)部接口轉(zhuǎn)發(fā)到外部接口時���,才轉(zhuǎn)換其源地址�。
3)使用命令 access-list access-list-number permit|deny 定義IP訪問控制列表���,以明確哪些報文將被進行Nat轉(zhuǎn)換�����,這里可以標準訪問控制列 表或擴展訪問控制列表���。4)使用命令ip Nat pool pool-name start-ip end-ip netmask netmask定義一個地址池,用于轉(zhuǎn)換地址���。5)使用命令 ip Nat insde source list access-list-number pool pool-name overload將符合訪問控制列表條件的內(nèi)部本地地址轉(zhuǎn)換到地址池中內(nèi)部全局地 址���。在配置NAPT轉(zhuǎn)換中��,必須使用overload關(guān)鍵字����,這樣路由器才會將源端口也進行轉(zhuǎn)換�����,已達到地址超載的目的���。如果不指定overload�,路由器 將執(zhí)行動態(tài)Nat轉(zhuǎn)換�。 配置實例:
Router#conf t
Router(config)#int fa 0/0
Router(config-if)#ip add 10.1.1.10 255.255.255.0
Router(config-if)#ip Nat inside
Router(config-if)#int s 0/0
Router(config-if)#ip add 192.16.2.1 255.255.255.0
Router(config-if)#ip Nat outside Router(config)#access-list 10 permit 10.1.1.0 0.0.0.255 Router(config)#ip Nat pool 5ijsj 192.16.2.1 192.16.2.1 netmask 255.255.255.0 Router(config)#ip Nat inside source list 10 pool 5ijsj overload 注意:
動態(tài)napt���,配置的訪問控制列表�����,permit通過的����,會在show Ip nat translations 顯示出來,如果是被禁止的�,雖然仍可以訪問(不是Nat訪問,而是路由訪問�����,在真實環(huán)境這種情況不可能存在了�����,如果真的要禁止出去���,還的使用ACL啦)����,但是在show Ip Nat translations 不會顯示出來該主機IP����。 驗證和診斷Nat的轉(zhuǎn)換 show ip Nat translations ,顯示活動的轉(zhuǎn)換條目����;
show ip Nat statistics 顯示轉(zhuǎn)換的統(tǒng)計信息;
debug ip Nat 對轉(zhuǎn)換操作進行調(diào)試����;
clear ip Nat translation 清除所有的轉(zhuǎn)換條目����;
clear ip nat statistics 清除Nat統(tǒng)計信息�。 ⊙該文章轉(zhuǎn)自[大賽人網(wǎng)站(技能大賽技術(shù)資源網(wǎng))-DaisaiRen.com] 原文鏈接:http://www./Article/wlsb/ruijie/1266.html
|
