网络技术:NAT 网络地址转换

NAT

网络地址转换(NAT)技术的理论部分可以看博客——网络层——NAT。NAT 的功能大致为:在局域网中组织会为内部主机分配私有地址,当内部主机发送数据包到外部网络时私有地址就会自动转换为公有 IP 地址,公有 IP 地址返回的流量的目的地址也会自动转换为内部私有地址。NAT 通常工作在末节网络的边界。

在 NAT 术语中,NAT 转换后的地址称之为全局地址,NAT 转换前的地址为本地地址内部本地地址是需要进行 NAT 转换的主机的私有地址,外部本地地址是与 ISP 相连的路由器接口的地址,这会是个公有地址。进行 NAT 转换时,内部本地地址将会转换为内部全局地址,外部全局地址会成为目的地址。

地址类型 含义
内部本地地址 转换前的内部源地址
外部本地地址 转换后的目标地址
内部全局地址 转换后的源地址
外部全局地址 转换前的外部目标地址

NAT 的优缺点

优点

  1. 允许内网使用私有地址,从而节省了 ISP 分配的公网地址;
  2. 增强了与公有网络连接的灵活性;
  3. 在内网使用私有地址,可以让公有地址的更换提供方便;
  4. 隐藏内网的 IP 地址的细节。

缺点

  1. NAT 转换有一定的时间开销,会使性能下降;
  2. 基于端到端的功能可能无法实现;
  3. 由于更改了 IP 地址,端到端的 IP 地址因此无法追踪;
  4. 修改了报头的值,导致数据包的完整性检查失败;
  5. TCP 连接可能因此中断。

NAT 的类型

静态 NAT

静态 NAT 实现本地地址和全局地址的一对一映射,这些映射由网络管理员进行配置。当配置静态 NAT 的设备向互联网发送流量时,内部本地地址会被转换为已配置的内部全局地址,内部全局地址是共有的 IPv4 地址。很显然,静态 NAT 并不能节省共有 IP 地址的使用。
例如有如图所示拓扑,可用的公网地址有 170.168.2.2、170.168.2.3、170.168.2.4,则 NAT 转换表可能是:

内部本地 IP 地址 内部全局 IP 地址
192.168.1.21 170.168.2.2
192.168.1.22 170.168.2.3
192.168.1.23 170.168.2.4

例如主机 192.168.1.21 向外部网络发送分组,则配置了 NAT 的路由器发现分组的源 IP 地址是内部本地 IP 地址,则就将该地址转换为内部全局 IP 地址并记录在 NAT 表中,例如这里转换为 170.168.2.2。转换后分组会被转发到外部接口,当路由器收到外部主机返回的分组时,路由器会根据 NAT 表把内部全局 IP 地址转换回内部本地 IP 地址。

动态 NAT

动态 NAT 实现本地地址和全局地址之间的多对多映射,将使用公有地址池,以先到先得的原则分配地址的使用。当配置了动态 NAT 的内部设备访问外部网络时,动态 NAT 会分配 NAT 地址池中可用的 IPv4 地址。动态 NAT 的转换也会受到 IP 地址池的 IP 地址数量限制,例如内部网络有 50 个使用私有地址的设备,IP 地址池有 5 个公有地址,则只能将这 50 个私有地址映射到这 5 个公有地址上。

PAT

端口地址转换 PAT实现本地地址和全局地址之间的多对一映射,地址将通过端口号进行重载。由于端口号可以是 0 ~ 65536,所以一个公有 IP 地址可以重载 65536 次。内部本地地址进行转换时,PAT 会将唯一的源端口号添加到内部全局地址上。端口号会用来区分流量,当目的主机返回响应时,端口号会决定路由器将数据包转发到哪个设备上。
在实际情况下端口号可能会被其他会话或者应用占用,此时如果使用的端口号已经被使用了,则 PAT 会从端口号组中分配一个可用的端口号。如果已经没有可用的端口号了,PAT 会进入下一个公网地址进行转换,并且重新分配端口号。
例如有如图所示拓扑,可用的公网地址只有 170.168.2.2,则 NAT 转换表可能是:

内部本地 IP 地址 内部全局 IP 地址
192.168.1.21:12000 170.168.2.2:12000
192.168.1.22:12000 170.168.2.3:12001
192.168.1.23:24000 170.168.2.4:12002

PAT 可以使用端口号对一个公网地址进行重载,例如主机 192.168.1.21 向外部网络发送分组,则配置了 NAT 的路由器发现分组的源 IP 地址是内部本地 IP 地址,则就将该地址转换为内部全局 IP 地址并加上一个可用的端口号记录在 NAT 表中,例如这里转换为 170.168.2.2:12000。当路由器收到外部主机返回的分组时,路由器会根据 NAT 表,根据端口号把内部全局 IP 地址转换回内部本地 IP 地址。

配置静态 NAT

静态 NAT 的配置比较简单,因为只需要将一个内部地址映射到一个外部地址就行。在配置模式使用的命令如下,local-ip 表示进行 NAT 转换的内部地址,global-ip 表示进行 NAT 转换的外部地址,这样就可以建立起地址的映射关系。

Router(config)# ip nat inside source static local-ip global-ip

接着需要将接口配置为相对于 NAT 的内部接口和外部接口,内部接口使用如下命令在接口配置模式下定义:

Router(config-if)# ip nat inside

外部接口使用如下命令在接口配置模式下定义:

Router(config-if)# ip nat outside

配置动态 NAT

动态 NAT 的配置需要先定义用于转换的地址池,并且为这个地址池命名,使用的命令如下。“pool-name” 是地址池名,“start-ip” 是第一个可用 ip,“end-ip” 是最后一个可用的 ip,这 2 个参数将表示 ip 地址的范围。netmask 关键字指示哪些地址位属于网络位。

Router(config)# ip nat pool pool-name start-ip end-ip {netmask netmask | prefix-length prefix-length}

接着需要定义一个 ACL 把需要进行 NAT 转换的流量筛选出来,使用命令如下,使用命名 ACL 也可以:

Router(config)# access-list access-list-number permit source [ source-wildcard ]

接下来要将 ACL 和 NAT 地址池进行绑定,使用的命令如下:

Router(config)# ip nat inside source list access-list-number pool pool-name

最后接着需要将接口配置为相对于 NAT 的内部接口和外部接口,内部接口使用如下命令定义:

Router(config-if)# ip nat inside

外部接口使用如下命令定义:

Router(config-if)# ip nat outside

配置 PAT

实验拓扑

思科 11.2.3.7 Lab 配置 NAT 地址池过载和 PAT 的实验拓扑如下。

地址分配表:

设备 接口 IP 地址 子网掩码 默认网关
Gateway G0/1 192.168.1.1 255.255.255.0 N/A
S0/0/1 209.165.201.18 255.255.255.252 N/A
ISP S0/0/0 (DCE) 209.165.201.17 255.255.255.252 N/A
Lo0 192.31.7.1 255.255.255.255 N/A
PC-A NIC 192.168.1.20 255.255.255.0 192.168.1.1
PC-B NIC 192.168.1.21 255.255.255.0 192.168.1.1
PC-C NIC 192.168.1.22 255.255.255.0 192.168.1.1

配置并检验 NAT 地址池过载

配置 NAT 地址池过载

配置网关路由器,将来自 192.168.1.0/24 网络的 IP 地址转换为 209.165.200.224/29 范围内的六个可用地址中的一个。
首先定义与 LAN 私有 IP 地址相匹配的访问控制列表,由于要对 G0/1 接口的网段 192.168.1.0/24 做 NAT,因此定义 ACL 1 用来允许对 192.168.1.0/24 的流量能够被转换。标准 ACL 筛选流量的作用也可以从此处体现。

Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

定义可用的公有 IP 地址池,和动态 NAT 一样,使用的命令为 “ip nat pool pool-name start-ip end-ip { netmask netmask | prefix-length prefix-length }”。“pool-name” 是地址池名,“start-ip” 是第一个可用 ip,“end-ip” 是最后一个可用的 ip,这 2 个参数将表示 ip 地址的范围。netmask 关键字指示哪些地址位属于网络位。

Gateway(config)# ip nat pool public_access 209.165.200.225  209.165.200.230 netmask 255.255.255.248

定义从内部源列表到外部地址池的 NAT,使用 “ip nat inside source list access-list-number pool pool-name overload” 命令绑定 ACL 和地址池。注意到示例命令后面跟了个关键字 overload,该关键字表示过载,用于配置 PAT。

Gateway(config)# ip nat inside source list 1 pool public_access overload

指定接口,对接口使用 “ip nat inside” 配置内部接口,“ip nat outside” 命令配置外部接口。

Gateway(config)# interface g0/1
Gateway(config-if)# ip nat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ip nat outside

检验 NAT 地址池过载

每台 PC 对 192.31.7.1 地址执行 ping 操作后,显示网关路由器上的 NAT 统计数据。

Gateway# show ip nat statistics

该命令可以显示总转换数,NAT 配置参数、地址池地址数量和已分配地址数量。

显示网关路由器上的 NAT。

Gateway# show ip nat translations

该命令可以显示活动的 NAT 转换。

命令列出了 3 个内部本地 IP 地址,分别是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 个内部全局 IP 地址 209.165.200.225。

删除 NAT 配置

删除可用公有 IP 地址池。

Gateway(config)# no ip nat pool public_access 209.165.200.225 209.165.200.230 netmask 255.255.255.248

删除从内部源列表到外部地址池的 NAT 转换

Gateway(config)# no ip nat inside source list 1 pool public_access overload

接口定义外部地址配置并检验 PAT

使用接口定义外部地址

首先定义与 LAN 私有 IP 地址相匹配的访问控制列表,ACL 1 用来允许对 192.168.1.0/24 进行转换。标准 ACL 筛选流量的作用也可以从此处体现。

Gateway(config)# access-list 1 permit 192.168.1.0 0.0.0.255

指定接口,对接口使用 ip nat inside 和 ip nat outside 命令。

Gateway(config)# interface g0/1
Gateway(config-if)# ip nat inside
Gateway(config-if)# interface s0/0/1
Gateway(config-if)# ip nat outside

使用接口而不是地址池来定义外部地址,进而配置 PAT,将源列表与外部接口相关联。

Gateway(config)# ip nat inside source list 1 interface serial 0/0/1 overload

检验 PAT

每台 PC 对 192.31.7.1 地址执行 ping 操作后,显示网关路由器上的 NAT 统计数据。

Gateway# show ip nat statistics


显示网关路由器上的 NAT。

Gateway# show ip nat translations


命令列出了 3 个内部本地 IP 地址,分别是 192.168.1.20、192.168.1.21、192.168.1.22,列出了 1 个内部全局 IP 地址 209.165.201.18。

参考资料

《思科网络技术学院教程(第6版):路由和交换基础》,[加] Bob Vachon,[美] Allan Johnson 著,思科系统公司 译,人民邮电出版社
《CCNA 学习指南(第 7 版)》,[美] Todd Lammle 著,袁国忠 徐宏 译,人民邮电出版社

posted @ 2020-12-17 23:24  乌漆WhiteMoon  阅读(966)  评论(0编辑  收藏  举报