NAT(Network Address Translation,网络地址转换)是将IP 数据包头中的IP 地址转换为另一个IP 地址的过程。

    (1)NAT简介:

    在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,不仅完美地解决了公网lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。

在学习配置NAT之前,需要明确两种概念:

内部本地地址:需要访问Internet网络的内网IP地址(私有IP地址),是计算机在内网中的身份标识。内网地址(池)往往使用ACL(Access List)技术指定。

内部全局地址:NAT转换中对应的公网IP地址,是内网中计算机在Internet环境中的外部身份标识。

由于内网中的计算机IP地址是私有IP地址,不能直接用于Internet,故NAT服务相当于给予内网计算机能用于Internet的公网IP地址身份,实现内网计算机与Internet的通信。

NAT类型:

静态NAT(Static Nat)

内部本地地址和内部全局地址是一对一的关系,公网可通过全局地址直接访问对应的内网主机,这种方式主要用于配置内网服务器。

动态NAT(Dynamic Nat)

内部本地地址池对应一个内部全局地址池,本地地址和全局地址之间是多对多的关系(微观上看是一对一的关系)。由于内网IP和公网IP之间的对应不固定,故外网不能访问内网主机。

端口多路复用(Port address Translation,PAT)

也称为NPAT(Network Port address Translation),所有内部本地地址共享同一个内部全局地址,即本地地址和全局地址之间是多对一的关系,内网主机依靠端口来区分,由于端口是随机的,故外网不能直接访问内网,这对内网起到一定保护作用,但可访问内网中绑定固定端口的某台主机或服务器。

(2)静态NAT的配置:

静态NAT将一个特定的内部本地地址(Inside Local Address)静态地映射到一个内部全局地址(Inside Global Address),这意味着静态NAT中每一个被映射的内部本地地址,一定对应着一个固定而且唯一的内部全局地址。这种方式不但可以让内网设备访问外网,而且还可以让外网直接访问内网设备。

常用的静态NAT配置命令:

示例一:配置静态NAT

步骤一:配置各接口ip地址:

RA:

en

conf t

host RA

int f0/

ip add 192.168.0.254 255.255.255.0

no shut

int s0//

ip add 200.200.10.1 255.255.255.0

no shut

bandwidth

end

RB:

en

conf t

host RB

int s0//

clock rate

bandwidth

ip add 200.200.10.2 255.255.255.0

no shut

int s0//

ip add 200.200.20.2 255.255.255.0

bandwidth

no shut

end

RC:

en

conf t

host RC

int f0/

ip add 100.100.10.254 255.255.255.0

no shut

int s0//

ip add 200.200.20.1 255.255.255.0

clock rate

bandwidth

no shut

步骤二:配置静态路由:

RA:
ip route 200.200.10.0 255.255.255.0 200.200.20.2
ip route 100.100.10.0 255.255.255.0 200.200.10.2
RB:
ip route 100.100.10.0 255.255.255.0 200.200.20.1
ip route 192.168.0.0 255.255.255.0 200.200.10.1

RC:
ip route 200.200.20.0 255.255.255.0 200.200.10.2
ip route 192.168.0.0 255.255.255.0 200.200.10.2

步骤三:配置NAT:

RA:

en

conf t

ip nat inside source static 192.168.0.1 200.200.10.3

int f0/

ip nat inside

int s0//

ip nat outside

end

RC:

en

conf t

ip nat inside source static 100.100.10.1 200.200.20.3

int f0/

ip nat inside

int s0//

ip nat outside

end

测试:

    (3)动态NAT的配置:

动态NAT又称为动态地址翻译(Dynamic Address Translation),它是将内部本地地址与内部全局地址作一对一的替换。

内部全局地址以地址池的形式供选择,内部本地地址只要符合访问外网的条件,在做地址转换时,就从地址池中动态地选取最小的还没分配的内部全局地址来替换,其转换步骤如下:

()根据可用的内部全局地址范围,建立地址池。

()利用ACL,定义允许访问外网的内部地址范围。

()定义内部地址与地址池之间的转换关系。

()定义内网端口和外网端口。

常用的动态NAT配置命令:

    示例二:配置动态NAT:

步骤一:配置ip地址和路由:

RA:

en

conf t

host RA

int f0/

ip add 192.168.1.254 255.255.255.0

no shut

int s0//

clock rate

bandwidth

ip add 220.220.10.1 255.255.255.0

no shut

exit

ip route 172.16.1.0 255.255.255.0 220.220.10.11

end

RB:

en

conf t

host RB

int f0/

ip add 172.16.1.254 255.255.255.0

no shut

int s0//

bandwidth

ip add 220.220.10.11 255.255.255.0

no shut

exit

ip route 192.168.1.0 255.255.255.0 220.220.10.11

end

步骤二:配置动态NAT:

RA:

en

conf t

ip nat pool p1 220.220.10.2 220.220.10.10 netmask 225.255.255.0

access-list  permit ip 192.168.1.0 0.0.0.255 any

int f0/

ip nat inside

int s0//

ip nat outside

end

RB:

en

conf t

ip nat pool p1 220.220.10.12 220.220.10.20 netmask 225.255.255.0

access-list  permit ip 172.16.1.0 0.0.0.255 any

int f0/

ip nat inside

int s0//

ip nat outside

end

  配置结果:

IP地址转换结果:

问题:如果路由器两边同时配置NAT网络地址转换会出现在串行链路一直循环寻路,找不到目标IP地址。

    (4)NPAT的配置:

NPAT可以用于地址伪装(Address Masquerading),它可以让多个内网设备使用一个IP地址同时访问外网。

 NPAT的转换步骤如下:

()利用ACL,定义允许访问外网的内部IP地址范围。

()为外网IP地址定义一个地址池名。

()将地址池赋予在第()步中定义的内部IP地址范围,并标明为overload(超载,即PAT)方式。

()定义内网端口和外网端口。

常用的NPAT配置命令:

    示例三:配置NPAT超载:

  

步骤一:配置接口ip和路由(省略)

步骤二:配置NPAT

RA:(用地址池)

en

conf t

access-list  permit ip 192.168.1.0 0.0.0.255 any

ip nat pool p1 200.200.10.2 200.200.10.2 netmask 255.255.255.0

ip nat inside source list  pool p1 overload

int f0/

ip nat inside

int f0/

ip nat outside

end

RA:(用接口)

en

conf t

access-list  permit ip 192.168.1.0 0.0.0.255 any

ip nat inside source list  interface f0/ overload

int f0/

ip nat inside

int f0/

ip nat outside

end

配置结果:

NAT转换的详细信息:

  (5)验证NAT和NPAT的配置:

配置完NAT和NPAT后,可以使用表 8.4中的命令来测试它是否正常工作:

实验文档下载地址:http://files.cnblogs.com/files/MenAngel/NetBlog10.zip

CCNA网络工程师学习进程(10)NAT的配置的更多相关文章

  1. CCNA网络工程师学习进程(1)网络的基本概述

        在互联网快速发展的今天,了解互联网成为一项必须的技能,因此在学习编程之余学习如何配置网络还是很有必要的. 本系列博客计划分为三个部分,包括思科CCNA.CCNP和华为的网络工程师认证有关的知识 ...

  2. CCNA网络工程师学习进程(6)vlan相关协议的配置与路由器简单配置介绍

        前面已经介绍了大部分与vlan技术相关的交换机的协议的配置,更深层次的还有STP协议和以太网端口聚合技术,接着还会简单介绍一下路由器的基本应用.     (1)STP(Spanning-tre ...

  3. CCNA网络工程师学习进程(3)常规网络设计模型与基本的网络协议

        本节介绍分层的网络设计模型与基本的网络协议,包括ARP协议,ICMP协议和IP协议.     (1)三层网络架构: 一个好的园区网设计应该是一个分层的设计.一般分为接入层.汇聚层(分布层).核 ...

  4. CCNA网络工程师学习进程(5)路由器和交换机的登录安全配置和vlan划分

        本节详细介绍路由器和交换机的登录安全配置以及VLAN划分的原理.     (1)登录安全配置: 路由器登录有两种验证方式:有本地验证方式和远程验证方式.本地登录验证方式可以配置用户名和密码也可 ...

  5. CCNA网络工程师学习进程(7)路由器的路由配置

        前面一节已经介绍了路由器的端口配置,接着我们介绍路由器的路由配置:静态路由.默认路由和浮动路由的配置:动态路由协议的配置,包括RIP.IGRP.EIGRP和OSPF.     (1)路由器的基 ...

  6. CCNA网络工程师学习进程(8)访问控制列表ACL

    前面几节我们介绍了路由器的路由配置,接下来几节我们将介绍路由器的高级配置应用,包括ACL.NAT.DHCP.PPP.VPN和远程连接等的配置.     (1)ACL概述:   ACL(Access C ...

  7. CCNA网络工程师学习进程(9)GNS3的安装与配置

        本节将简单介绍一下网络设备模拟软件GNS3的配置和使用方法.     (1)GNS3概述: GNS3是一款具有图形化界面可以运行在多平台(包括Windows, Linux, and MacOS ...

  8. CCNA网络工程师学习进程(2)基本的网络设备

      在组网技术中用到的设备有中继器(Repeater).集线器(Hub).网桥(Bridge).交换机(Switch).路由器(Router).分别工作在OSI参考模型中的物理层.数据链路层和网络层. ...

  9. CCNA网络工程师学习进程(4)网络设备的基本配置和详细介绍

        网络设备(路由器.交换机和防火墙等)与计算机一样需要操作系统.网络设备采用专用的操作系统,统称为IOS(Internetwork Operating System,网络操作系统).     ( ...

随机推荐

  1. Unsupported major.minor version 52.0错误解决 Ubuntu JDK8 安装配置

    Unsupported major.minor version 52.0错误一般是因为应用程序需要JDK8而ubuntu默认的是jdk7,所以需要切换到jdk8才能解决这个问题. 本文使用PPA方式安 ...

  2. 解析.NET对象的跨应用程序域访问(下篇)

    转眼就到了元宵节,匆匆忙忙的脚步是我们在为生活奋斗的写照,新的一年,我们应该努力让自己有不一样的生活和追求.生命不息,奋斗不止.在上篇博文中主要介绍了.NET的AppDomain的相关信息,在本篇博文 ...

  3. iis7.0 ExtensionlessUrlHandler-Integrated-4.0解决方法

    IIS7.0上部署网站,打开后500错误: 处理程序“ExtensionlessUrlHandler-Integrated-4.0” 在其模块列表中有一个错误模块“ManagedPipelineHan ...

  4. React-intl 实现多语言

    前言 React 做国际化,我推荐使用 React-intl , 这个库提供了 React 组件和Api两种方式来格式化日期,数字和字符串等.知道这个库了,那让我们开始使用它 组件用法 为了和Reac ...

  5. 在javascript中关于变量与函数的提升

    在javascript中关于变量与函数的提升 一.简介 在javascript中声明变量与函数的执行步骤: 1.先预解析变量或函数声明代码,会把用var声明的变量或者函数声明的代码块进行提升操作 2. ...

  6. 前端安全(XSS、CSRF防御)

    一.网络安全          OWASP:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project)        OWASP是一个开源的 ...

  7. 利用Eclipse的JPA自动生成注解实体

    新公司用的SSH(springmvc)框架,看代码的时候,发现没有hbm.xml文件,全部使用的注解形式.在一次闲聊的时候问同事,这么多entity  写起来不麻烦么.同事说根据数据库自动生成的.于是 ...

  8. 关于RunLoop

    首先我们要先认识一下这个RunLoop; NSRunLoop是Cocoa框架中的类,与之的Core Fundation 中CFRunLoopRef类. 这两者的区别是,前者不是线程安全的,而后者是线程 ...

  9. PHP工厂模式

    class yunsuan { public $a; public $b; function suan() { echo "对两个数进行运算"; } } class jia ext ...

  10. Ghostscript.Net Pdf 转 Image

    需求: 项目中需要实现PPT转Image的功能,之前项目中用的是使用Office COM组件实现的功能,通过.NET与Office COM组件的互操作(Interop)来操作Office文档 但是在生 ...