NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。

    (1)NAT简介:

    在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,不仅完美地解决了公网lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

在学习配置NAT之前,需要明确两种概念:

内部本地地址:需要访问Internet网络的内网IP地址(私有IP地址),是计算机在内网中的身份标识。内网地址(池)往往使用ACL(Access List)技术指定。

内部全局地址:NAT转换中对应的公网IP地址,是内网中计算机在Internet环境中的外部身份标识。

由于内网中的计算机IP地址是私有IP地址,不能直接用于Internet,故NAT服务相当于给予内网计算机能用于Internet的公网IP地址身份,实现内网计算机与Internet的通信。

NAT类型:

静态NAT(Static Nat)

内部本地地址和内部全局地址是一对一的关系,公网可通过全局地址直接访问对应的内网主机,这种方式主要用于配置内网服务器。

动态NAT(Dynamic Nat)

内部本地地址池对应一个内部全局地址池,本地地址和全局地址之间是多对多的关系(微观上看是一对一的关系)。由于内网IP和公网IP之间的对应不固定,故外网不能访问内网主机。

端口多路复用(Port address Translation,PAT)

也称为NPAT(Network Port address Translation),所有内部本地地址共享同一个内部全局地址,即本地地址和全局地址之间是多对一的关系,内网主机依靠端口来区分,由于端口是随机的,故外网不能直接访问内网,这对内网起到一定保护作用,但可访问内网中绑定固定端口的某台主机或服务器。

(2)静态NAT的配置:

静态NAT将一个特定的内部本地地址(Inside Local Address)静态地映射到一个内部全局地址(Inside Global Address),这意味着静态NAT中每一个被映射的内部本地地址,一定对应着一个固定而且唯一的内部全局地址。这种方式不但可以让内网设备访问外网,而且还可以让外网直接访问内网设备。

常用的静态NAT配置命令:

示例一:配置静态NAT

步骤一:配置各接口ip地址:

RA:

en

conf t

host RA

int f0/

ip add 192.168.0.254 255.255.255.0

no shut

int s0//

ip add 200.200.10.1 255.255.255.0

no shut

bandwidth

end

RB:

en

conf t

host RB

int s0//

clock rate

bandwidth

ip add 200.200.10.2 255.255.255.0

no shut

int s0//

ip add 200.200.20.2 255.255.255.0

bandwidth

no shut

end

RC:

en

conf t

host RC

int f0/

ip add 100.100.10.254 255.255.255.0

no shut

int s0//

ip add 200.200.20.1 255.255.255.0

clock rate

bandwidth

no shut

步骤二:配置静态路由:

RA:
ip route 200.200.10.0 255.255.255.0 200.200.20.2
ip route 100.100.10.0 255.255.255.0 200.200.10.2
RB:
ip route 100.100.10.0 255.255.255.0 200.200.20.1
ip route 192.168.0.0 255.255.255.0 200.200.10.1

RC:
ip route 200.200.20.0 255.255.255.0 200.200.10.2
ip route 192.168.0.0 255.255.255.0 200.200.10.2

步骤三:配置NAT:

RA:

en

conf t

ip nat inside source static 192.168.0.1 200.200.10.3

int f0/

ip nat inside

int s0//

ip nat outside

end

RC:

en

conf t

ip nat inside source static 100.100.10.1 200.200.20.3

int f0/

ip nat inside

int s0//

ip nat outside

end

测试:

    (3)动态NAT的配置:

动态NAT又称为动态地址翻译(Dynamic Address Translation),它是将内部本地地址与内部全局地址作一对一的替换。

内部全局地址以地址池的形式供选择,内部本地地址只要符合访问外网的条件,在做地址转换时,就从地址池中动态地选取最小的还没分配的内部全局地址来替换,其转换步骤如下:

()根据可用的内部全局地址范围,建立地址池。

()利用ACL,定义允许访问外网的内部地址范围。

()定义内部地址与地址池之间的转换关系。

()定义内网端口和外网端口。

常用的动态NAT配置命令:

    示例二:配置动态NAT:

步骤一:配置ip地址和路由:

RA:

en

conf t

host RA

int f0/

ip add 192.168.1.254 255.255.255.0

no shut

int s0//

clock rate

bandwidth

ip add 220.220.10.1 255.255.255.0

no shut

exit

ip route 172.16.1.0 255.255.255.0 220.220.10.11

end

RB:

en

conf t

host RB

int f0/

ip add 172.16.1.254 255.255.255.0

no shut

int s0//

bandwidth

ip add 220.220.10.11 255.255.255.0

no shut

exit

ip route 192.168.1.0 255.255.255.0 220.220.10.11

end

步骤二:配置动态NAT:

RA:

en

conf t

ip nat pool p1 220.220.10.2 220.220.10.10 netmask 225.255.255.0

access-list  permit ip 192.168.1.0 0.0.0.255 any

int f0/

ip nat inside

int s0//

ip nat outside

end

RB:

en

conf t

ip nat pool p1 220.220.10.12 220.220.10.20 netmask 225.255.255.0

access-list  permit ip 172.16.1.0 0.0.0.255 any

int f0/

ip nat inside

int s0//

ip nat outside

end

  配置结果:

IP地址转换结果:

问题:如果路由器两边同时配置NAT网络地址转换会出现在串行链路一直循环寻路,找不到目标IP地址。

    (4)NPAT的配置:

NPAT可以用于地址伪装(Address Masquerading),它可以让多个内网设备使用一个IP地址同时访问外网。

 NPAT的转换步骤如下:

()利用ACL,定义允许访问外网的内部IP地址范围。

()为外网IP地址定义一个地址池名。

()将地址池赋予在第()步中定义的内部IP地址范围,并标明为overload(超载,即PAT)方式。

()定义内网端口和外网端口。

常用的NPAT配置命令:

    示例三:配置NPAT超载:

  

步骤一:配置接口ip和路由(省略)

步骤二:配置NPAT

RA:(用地址池)

en

conf t

access-list  permit ip 192.168.1.0 0.0.0.255 any

ip nat pool p1 200.200.10.2 200.200.10.2 netmask 255.255.255.0

ip nat inside source list  pool p1 overload

int f0/

ip nat inside

int f0/

ip nat outside

end

RA:(用接口)

en

conf t

access-list  permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list  interface f0/ overload

int f0/

ip nat inside

int f0/

ip nat outside

end

配置结果:

NAT转换的详细信息:

  (5)验证NAT和NPAT的配置:

配置完NAT和NPAT后,可以使用表 8.4中的命令来测试它是否正常工作:

实验文档下载地址:http://files.cnblogs.com/files/MenAngel/NetBlog10.zip

CCNA网络工程师学习进程(10)NAT的配置的更多相关文章

  1. CCNA网络工程师学习进程(1)网络的基本概述

        在互联网快速发展的今天,了解互联网成为一项必须的技能,因此在学习编程之余学习如何配置网络还是很有必要的. 本系列博客计划分为三个部分,包括思科CCNA.CCNP和华为的网络工程师认证有关的知识 ...

  2. CCNA网络工程师学习进程(6)vlan相关协议的配置与路由器简单配置介绍

        前面已经介绍了大部分与vlan技术相关的交换机的协议的配置,更深层次的还有STP协议和以太网端口聚合技术,接着还会简单介绍一下路由器的基本应用.     (1)STP(Spanning-tre ...

  3. CCNA网络工程师学习进程(3)常规网络设计模型与基本的网络协议

        本节介绍分层的网络设计模型与基本的网络协议,包括ARP协议,ICMP协议和IP协议.     (1)三层网络架构: 一个好的园区网设计应该是一个分层的设计.一般分为接入层.汇聚层(分布层).核 ...

  4. CCNA网络工程师学习进程(5)路由器和交换机的登录安全配置和vlan划分

        本节详细介绍路由器和交换机的登录安全配置以及VLAN划分的原理.     (1)登录安全配置: 路由器登录有两种验证方式:有本地验证方式和远程验证方式.本地登录验证方式可以配置用户名和密码也可 ...

  5. CCNA网络工程师学习进程(7)路由器的路由配置

        前面一节已经介绍了路由器的端口配置,接着我们介绍路由器的路由配置:静态路由.默认路由和浮动路由的配置:动态路由协议的配置,包括RIP.IGRP.EIGRP和OSPF.     (1)路由器的基 ...

  6. CCNA网络工程师学习进程(8)访问控制列表ACL

    前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access C ...

  7. CCNA网络工程师学习进程(9)GNS3的安装与配置

        本节将简单介绍一下网络设备模拟软件GNS3的配置和使用方法.     (1)GNS3概述: GNS3是一款具有图形化界面可以运行在多平台(包括Windows, Linux, and MacOS ...

  8. CCNA网络工程师学习进程(2)基本的网络设备

      在组网技术中用到的设备有中继器(Repeater).集线器(Hub).网桥(Bridge).交换机(Switch).路由器(Router).分别工作在OSI参考模型中的物理层.数据链路层和网络层. ...

  9. CCNA网络工程师学习进程(4)网络设备的基本配置和详细介绍

        网络设备(路由器.交换机和防火墙等)与计算机一样需要操作系统.网络设备采用专用的操作系统,统称为IOS(Internetwork Operating System,网络操作系统).     ( ...

随机推荐

  1. 面试之MySQL基本命令

    既然要操作数据库就从数据库链接写起,包括建库.建表.增删该查字段及约束,删库,删表的数据,以下主要是对我以往面试的总结,欢迎补充! 一.数据库连接 1.连接本机(p和密码123456之间无空格) my ...

  2. WPScan初体验

    近日在朋友圈看某位dalao在Ubuntu上安装WPScan花了一个小时,于是洒家随手在Kali Linux上输入了wpscan,发现Kali里面已经装好了.于是决定玩两把WPScan. WordPr ...

  3. 如何创建DLL文件

    动态链接库(DLL)是从C语言函数库和Pascal库单元的概念发展而来的.所有的C语言标准库函数都存放在某一函数库中.在链接应用程序的过程中,链接器从库文件中拷贝程序调用的函数代码,并把这些函数代码添 ...

  4. 用js实现文字提示层 ---总结

    文字提示层在项目中应该是比较常见的,我工作中项目中就用到了,原理是一样,只不过形式不一样,今天通过看视频学习,学会了,总结下: 首先,页面效果如下:  需求: 当鼠标移入到红色字体是,提示框会显示在下 ...

  5. WDCP下安装PHPWind

    创建整站跟新建站点的区别是创建整站会一并生成ftp跟mysql数据库 这边只要填写一个域名(如果你有域名就填写下域名 如果你没有域名 或者跟我一样到这步去申请域名的可以填写ECS公网ip否则无法访问新 ...

  6. 在 Windows 上测试 Redis Cluster的集群填坑笔记

    redis 集群实现的原理请参考http://www.tuicool.com/articles/VvIZje       集群环境至少需要3个节点.推荐使用6个节点配置,即3个主节点,3个从节点. 新 ...

  7. Java显式锁学习总结之二:使用AbstractQueuedSynchronizer构建同步组件

    Jdk1.5中包含了并发大神Doug Lea写的并发工具包java.util.concurrent,这个工具包中包含了显示锁和其他的实用同步组件.Doug Lea在构建锁和组件的时候,大多是以队列同步 ...

  8. 第十四篇 SQL游标、函数的使用方法

         游标的的使用有日常的开发和维护的过程不使用的并不多,但是碰到一些棘手的问题的时候,游标时常是个非常好的帮手,下面就说下游标的使用方法,方法自己以后查阅,和加深一些印象,下面以一个存储过程为例 ...

  9. Oracle Jdbc驱动下载及安装本地maven仓库

    由于二进制许可 binary license的限制,oracle jdbc驱动不能通过共有仓库来获取,所以你可以下载下来添加到自己的本地仓库或私有仓库中. 添加到本地仓库步骤如下: 下载Oracle ...

  10. AJAX遮罩实例

    function transferip() { var site_list=$("textarea[name='Oldsite']").val(); var ip_list=$(& ...