NAT原理与配置
? 把我整理的NAT放在這兒,希望對熱愛網(wǎng)絡(luò)的人有所幫助,歡迎留言討論。不過沒有貼圖,太麻煩了,大家原諒下^o^如果引用當(dāng)然不要忘了出現(xiàn)我的blog地址哦!
? ? NAT中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”,它是一個IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn),允許一個整體機構(gòu)以一個公用IP(Internet Protocol)地址出現(xiàn)在Internet上。顧名思義,它是一種把內(nèi)部私有網(wǎng)絡(luò)地址(IP地址)翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。
? ? ?出現(xiàn)的目的:NAT 為了解決 IPv4 地址耗費問題的臨時性解決方案。
NAT設(shè)備的工作方式:
? ? ?NAT設(shè)備維護(hù)一個狀態(tài)表,用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設(shè)備中都被翻譯成正確的IP地址,發(fā)往下一級,這意味著給處理器帶來了一定的負(fù)擔(dān)。但對于一般的網(wǎng)絡(luò)來說,這種負(fù)擔(dān)是微不足道的。
? ? ?在運行NAT的路由器中,當(dāng)數(shù)據(jù)包被傳送時,NAT可以轉(zhuǎn)換數(shù)據(jù)包的IP地址和TCP/UDP數(shù)據(jù)包的端口號。設(shè)置NAT功能的路由器至少要有一個Inside(內(nèi)部)端口和一個Outside(外部)端口。內(nèi)部端口連接內(nèi)網(wǎng)的用戶,外部端口一般連接到Internet。當(dāng)IP數(shù)據(jù)包離開內(nèi)部網(wǎng)絡(luò)時,NAT負(fù)責(zé)將內(nèi)網(wǎng)IP源地址(通常是專用地址)轉(zhuǎn)換為合法的公共IP地址。當(dāng)IP數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)時,NAT將合法的公共IP目的地址轉(zhuǎn)換為內(nèi)網(wǎng)的IP源地址。
? ? ?NAT有三種類型:靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)。
? ? 靜態(tài)NAT
? ? ?靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種,內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。
? ? ?這種方法主要用在內(nèi)部網(wǎng)絡(luò)中有對外提供服務(wù)的服務(wù)器,如WEB、MAIL服務(wù)器時。這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換,以便外部用戶可以使用這些服務(wù)。該方法的缺點是需要獨占寶貴的合法IP地址。即,如果某個合法IP地址已經(jīng)被NAT靜態(tài)地址轉(zhuǎn)換定義,即使該地址當(dāng)前沒有被使用,也不能被用作其它的地址轉(zhuǎn)換。
? ? 動態(tài)地址NAT
? ? ?動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。
? ? ?動態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,主要應(yīng)用于撥號,對于頻繁的遠(yuǎn)程聯(lián)接也可以采用動態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
? ? 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT
? ? ?NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。
? ? ?網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中,它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面。
? ? ?優(yōu)點:在Internet中使用NAPT時,所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用,通過從ISP處申請的一個IP地址,將多個連接通過NAPT接入Internet。對于只申請到少量IP地址甚至只有一個合法IP地址,卻經(jīng)常有很多用戶同時要求上網(wǎng)的情況,這種轉(zhuǎn)換方式非常有用。
? ? ?上面的優(yōu)點雖然這樣會導(dǎo)致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點,用NAPT還是很值得的。
NAPT與動態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。
Cisco路由器配置3中NAT的主要命令:
? ? ?靜態(tài)NAT:
? ? ?1、指定NAT內(nèi)部接口
? ? ?在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat inside
? ? ?2、指定NAT外部接口
? ? ?在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat outside
? ? ?3、在內(nèi)部本地地址與內(nèi)部全局地址之間建立靜態(tài)地址轉(zhuǎn)換關(guān)系:
? ? ?ip nat insde source static 內(nèi)部本地地址 內(nèi)部全局地址
? ? ?動態(tài)地址NAT:
? ? ?1、指定NAT內(nèi)部接口
? ? ?在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat inside
? ? ?2、指定NAT外部接口
? ? ?在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat outside
? ? ?3、在全局配置模式下,定義一個標(biāo)準(zhǔn)的access-list規(guī)則,聲明允許哪些內(nèi)部本地地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換:
? ? ?access-list list-number permit 源地址 通配符
? ? ?其中,list-number為1-99之間的一個任意整數(shù)。
? ? ?4、在全局配置模式下,定義內(nèi)部全局地址池:
? ? ?ip nat pool 地址池名 ?起始IP地址 ?終止IP地址 ?netmask ?子網(wǎng)掩碼
? ? ?其中,地址池名可以任意設(shè)定,但最好有一定的說明意義。
? ? ?5、在全局配置模式下,定義符合先前定義的access-list規(guī)則的IP數(shù)據(jù)包與先前定義的地址池中的IP地址進(jìn)行轉(zhuǎn)換:
? ? ?ip nat inside source list list-number pool 內(nèi)部全局地址池名
? ? ?網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT:
? ? ?1、指定NAT內(nèi)部接口
? ? ?在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat inside
? ? ?2、指定NAT外部接口
? ? ?在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat outside
? ? ?3、在全局配置模式下,定義內(nèi)部全局地址池:
? ? ?ip nat pool ?地址池名 ?起始IP地址 ?終止IP地址 ?netmask ?子網(wǎng)掩碼
? ? ?其中,地址池名可以任意設(shè)定,但最好有一定的說明意義。
? ? ?4、在全局配置模式下,定義一個標(biāo)準(zhǔn)的access-list規(guī)則,聲明允許哪些內(nèi)部本地地址可以進(jìn)行復(fù)用地址轉(zhuǎn)換:
? ? ?access-list list-number permit 源地址 通配符
? ? ?其中,list-number為1-99之間的一個任意整數(shù)。
? ? ?5、在全局配置模式下,定義符合先前定義的access-list規(guī)則的IP數(shù)據(jù)包與先前定義的地址池中的IP地址進(jìn)行復(fù)用地址轉(zhuǎn)換:
? ? ?ip nat inside source list list-number pool 內(nèi)部全局地址池名 overload
---------------------------------------------------------------
本文轉(zhuǎn)自 xkdcc 51CTO博客,原文鏈接:http://blog.51cto.com/brantc/116668,如需轉(zhuǎn)載請自行聯(lián)系原作者 《新程序員》:云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作,文字、視頻、音頻交互閱讀
? ? NAT中文意思是“網(wǎng)絡(luò)地址轉(zhuǎn)換”,它是一個IETF(Internet Engineering Task Force, Internet工程任務(wù)組)標(biāo)準(zhǔn),允許一個整體機構(gòu)以一個公用IP(Internet Protocol)地址出現(xiàn)在Internet上。顧名思義,它是一種把內(nèi)部私有網(wǎng)絡(luò)地址(IP地址)翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。
? ? ?出現(xiàn)的目的:NAT 為了解決 IPv4 地址耗費問題的臨時性解決方案。
NAT設(shè)備的工作方式:
? ? ?NAT設(shè)備維護(hù)一個狀態(tài)表,用來把非法的IP地址映射到合法的IP地址上去。每個包在NAT設(shè)備中都被翻譯成正確的IP地址,發(fā)往下一級,這意味著給處理器帶來了一定的負(fù)擔(dān)。但對于一般的網(wǎng)絡(luò)來說,這種負(fù)擔(dān)是微不足道的。
? ? ?在運行NAT的路由器中,當(dāng)數(shù)據(jù)包被傳送時,NAT可以轉(zhuǎn)換數(shù)據(jù)包的IP地址和TCP/UDP數(shù)據(jù)包的端口號。設(shè)置NAT功能的路由器至少要有一個Inside(內(nèi)部)端口和一個Outside(外部)端口。內(nèi)部端口連接內(nèi)網(wǎng)的用戶,外部端口一般連接到Internet。當(dāng)IP數(shù)據(jù)包離開內(nèi)部網(wǎng)絡(luò)時,NAT負(fù)責(zé)將內(nèi)網(wǎng)IP源地址(通常是專用地址)轉(zhuǎn)換為合法的公共IP地址。當(dāng)IP數(shù)據(jù)包進(jìn)入內(nèi)網(wǎng)時,NAT將合法的公共IP目的地址轉(zhuǎn)換為內(nèi)網(wǎng)的IP源地址。
? ? ?NAT有三種類型:靜態(tài)NAT(Static NAT)、動態(tài)地址NAT(Pooled NAT)、網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Port-Level NAT)。
? ? 靜態(tài)NAT
? ? ?靜態(tài)NAT設(shè)置起來最為簡單和最容易實現(xiàn)的一種,內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映射成外部網(wǎng)絡(luò)中的某個合法的地址。
? ? ?這種方法主要用在內(nèi)部網(wǎng)絡(luò)中有對外提供服務(wù)的服務(wù)器,如WEB、MAIL服務(wù)器時。這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換,以便外部用戶可以使用這些服務(wù)。該方法的缺點是需要獨占寶貴的合法IP地址。即,如果某個合法IP地址已經(jīng)被NAT靜態(tài)地址轉(zhuǎn)換定義,即使該地址當(dāng)前沒有被使用,也不能被用作其它的地址轉(zhuǎn)換。
? ? 動態(tài)地址NAT
? ? ?動態(tài)地址NAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。
? ? ?動態(tài)地址NAT只是轉(zhuǎn)換IP地址,它為每一個內(nèi)部的IP地址分配一個臨時的外部IP地址,主要應(yīng)用于撥號,對于頻繁的遠(yuǎn)程聯(lián)接也可以采用動態(tài)NAT。當(dāng)遠(yuǎn)程用戶聯(lián)接上之后,動態(tài)地址NAT就會分配給他一個IP地址,用戶斷開時,這個IP地址就會被釋放而留待以后使用。
? ? 網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT
? ? ?NAPT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。
? ? ?網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT(Network Address Port Translation)是人們比較熟悉的一種轉(zhuǎn)換方式。NAPT普遍應(yīng)用于接入設(shè)備中,它可以將中小型的網(wǎng)絡(luò)隱藏在一個合法的IP地址后面。
? ? ?優(yōu)點:在Internet中使用NAPT時,所有不同的信息流看起來好像來源于同一個IP地址。這個優(yōu)點在小型辦公室內(nèi)非常實用,通過從ISP處申請的一個IP地址,將多個連接通過NAPT接入Internet。對于只申請到少量IP地址甚至只有一個合法IP地址,卻經(jīng)常有很多用戶同時要求上網(wǎng)的情況,這種轉(zhuǎn)換方式非常有用。
? ? ?上面的優(yōu)點雖然這樣會導(dǎo)致信道的一定擁塞,但考慮到節(jié)省的ISP上網(wǎng)費用和易管理的特點,用NAPT還是很值得的。
NAPT與動態(tài)地址NAT不同,它將內(nèi)部連接映射到外部網(wǎng)絡(luò)中的一個單獨的IP地址上,同時在該地址上加上一個由NAT設(shè)備選定的TCP端口號。
Cisco路由器配置3中NAT的主要命令:
? ? ?靜態(tài)NAT:
? ? ?1、指定NAT內(nèi)部接口
? ? ?在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat inside
? ? ?2、指定NAT外部接口
? ? ?在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat outside
? ? ?3、在內(nèi)部本地地址與內(nèi)部全局地址之間建立靜態(tài)地址轉(zhuǎn)換關(guān)系:
? ? ?ip nat insde source static 內(nèi)部本地地址 內(nèi)部全局地址
? ? ?動態(tài)地址NAT:
? ? ?1、指定NAT內(nèi)部接口
? ? ?在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat inside
? ? ?2、指定NAT外部接口
? ? ?在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat outside
? ? ?3、在全局配置模式下,定義一個標(biāo)準(zhǔn)的access-list規(guī)則,聲明允許哪些內(nèi)部本地地址可以進(jìn)行動態(tài)地址轉(zhuǎn)換:
? ? ?access-list list-number permit 源地址 通配符
? ? ?其中,list-number為1-99之間的一個任意整數(shù)。
? ? ?4、在全局配置模式下,定義內(nèi)部全局地址池:
? ? ?ip nat pool 地址池名 ?起始IP地址 ?終止IP地址 ?netmask ?子網(wǎng)掩碼
? ? ?其中,地址池名可以任意設(shè)定,但最好有一定的說明意義。
? ? ?5、在全局配置模式下,定義符合先前定義的access-list規(guī)則的IP數(shù)據(jù)包與先前定義的地址池中的IP地址進(jìn)行轉(zhuǎn)換:
? ? ?ip nat inside source list list-number pool 內(nèi)部全局地址池名
? ? ?網(wǎng)絡(luò)地址端口轉(zhuǎn)換NAPT:
? ? ?1、指定NAT內(nèi)部接口
? ? ?在內(nèi)網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat inside
? ? ?2、指定NAT外部接口
? ? ?在外網(wǎng)相應(yīng)接口的接口配置模式下執(zhí)行:ip nat outside
? ? ?3、在全局配置模式下,定義內(nèi)部全局地址池:
? ? ?ip nat pool ?地址池名 ?起始IP地址 ?終止IP地址 ?netmask ?子網(wǎng)掩碼
? ? ?其中,地址池名可以任意設(shè)定,但最好有一定的說明意義。
? ? ?4、在全局配置模式下,定義一個標(biāo)準(zhǔn)的access-list規(guī)則,聲明允許哪些內(nèi)部本地地址可以進(jìn)行復(fù)用地址轉(zhuǎn)換:
? ? ?access-list list-number permit 源地址 通配符
? ? ?其中,list-number為1-99之間的一個任意整數(shù)。
? ? ?5、在全局配置模式下,定義符合先前定義的access-list規(guī)則的IP數(shù)據(jù)包與先前定義的地址池中的IP地址進(jìn)行復(fù)用地址轉(zhuǎn)換:
? ? ?ip nat inside source list list-number pool 內(nèi)部全局地址池名 overload
---------------------------------------------------------------
本文轉(zhuǎn)自 xkdcc 51CTO博客,原文鏈接:http://blog.51cto.com/brantc/116668,如需轉(zhuǎn)載請自行聯(lián)系原作者 《新程序員》:云原生和全面數(shù)字化實踐50位技術(shù)專家共同創(chuàng)作,文字、視頻、音頻交互閱讀
總結(jié)
- 上一篇: 写给MongoDB开发者的50条建议Ti
- 下一篇: PHP-sftp文件上传