NAT概述:網絡地址轉換(NAT)通過將內部網絡的私有ip地址翻譯成全球唯一的公網ip地址,使內部網絡可以連接到互聯網等外部網絡上,廣泛應用於各種類型的物聯網接入方式和各種類型的網絡中。
NAT將自動修改ip包頭中的源ip地址或目的ip地址,ip地址的校驗則在NAT處理過程中自動完成。
NAT的實現方式:
(1) 靜態轉換
(2) 動態轉換
(3) 端口多路複用
靜態轉換:靜態轉換就是將內部網絡的私有ip地址轉換爲公有合法的ip地址,ip地址的對應關係是一對一的,是不變的,即某個私有ip地址只有轉換爲某個固定的合法的外部ip地址。
動態轉換:動態轉換是指將內部網絡的私有地址轉換爲共有地址時,ip地址的對應關係是不確定的、隨機的,所有被授權訪問互聯網的私有地址可隨機轉換爲任何指定的合法的外部ip地址。
內部網絡同時訪問Internet的主機數要少於配置的合法地址集中的ip地址數,纔可以使用動態轉換。
端口多路複用:端口多路複用是改變外出數據包的源ip地址和源端口並進行端口轉換,即端口地址轉換採用端口多路複用方式。內部網絡的所有主機均可共享一個合法的外部ip地址實現互聯網的訪問。
內部局部地址:在內部網絡中分配給主機的私有ip地址。
內部全局地址:一個合法的ip地址(由NIC或者網絡服務提供商分配),它對外代表一個或多個內部局部ip地址。
外部全局地址:由其所有者給外部網絡上的主機分配的ip地址。
外部局部地址:外部主機表現在內部網絡的ip地址。
NAT 的優點:
(1) 節省公有合法ip地址
(2) 處理地址重疊
(3) 增強靈活性
(4) 安全性
NAT的缺點:
(1) 使延遲增大
(2) 增加了配置和排錯的複雜性
(3) 可能會使某些需要使用內嵌ip地址的應用不能正常工作。
靜態NAT的配置:
在內部局部地址和內部全局地址之間建立靜態地址轉換:
Router(config)#ip nat inside source static local-ip global-ip [extendable]
在內部和外部端口上啓用NAT
NAT端口映射:
Router(config)#ip nat inside source static protocol local-ip udp/tcp-port global-ip udp/tcp-port [extendable]
動態轉換的配置:
定義合法ip地址池:
Router(config)#ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length} [type rotary]
實現網絡地址轉換:
Router (config)#ip nat inside source list access-number pool pool-name [overload]
PAT的配置命令:
(1) 定義內部訪問列表:
(2) 定義合法的ip地址池
(3) 設置複用動態ip地址轉換:
Router(config)#ip nat inside source list access-list-number pool pool-name [overload]
(4)在內部和外部端口啓用NAT
查看NAT的統計信息:show ip nat statics
對NAT進行監控:show ip nat translations [verbose]
清除NAT轉換表中的所有動態條目:clear ip nat translation