網管員技巧:單物理接口NAT的總結

2019-11-04 20:11:16

字體：大中小

來源：轉載

供稿：網友

　　要想正確地理解單物理接口NAT，需要正確地理解NAT條件和處理順序。以下配置引用了壇子里的內容，對被引用內容的原作者表示感謝。

一：從inside到outside的NAT

1.有inside和outside接口

2.inside接口接收到NAT“感愛好的包”（由ACL定義）

3.檢查是否有經過outside接口到外網的路由（先策略路由后常規路由）。

4.執行NAT，源地址被NAT轉換。

5.被轉換的包經outside接口轉發出去。

二：從outside到inside的NAT

1.NAT表中是否有相應的NAT紀錄

2.執行NAT，目的地址被轉換

3.執行路由（先策略路由后常規路由）

4.被轉換的包經inside接口轉發出去。

三：配置實例1分析：

特點是: loopback0做outside接口

interface Loopback0

ip address 172.16.2.254 255.255.255.252

ip nat outside

!

interface Ethernet0

ip address 192.168.0.1 255.255.255.248 sec

ip address 172.16.1.254 255.255.255.0

ip nat inside

ip policy route-map nat

!

ip nat pool pool1 192.168.0.2 192.168.0.3 PRefix-length 29

ip nat inside source list 10 pool pool1 overload

ip classless

ip route 0.0.0.0 0.0.0.0 192.168.0.6

ip route 172.16.1.0 255.255.255.0 Ethernet0

access-list 10 permit 172.16.1.0 0.0.0.255

access-list 101 permit ip 172.16.1.0 0.0.0.255 any

access-list 101 permit ip any 192.168.0.0 0.0.0.7

!

route-map nat permit 10

match ip address 101

set interface loopback0

(一)：源地址=172.16.1.0/24的包到達E0接口時：

1.E0接口是inside接口

2.包是NAT感愛好的包(ACL 10定義)

3.檢查路由，先執行策略路由nat，有set interface loopback0,即有經outside接口loopback0到達外網的路由，因此滿足NAT執行的條件

4.執行NAT，源=172.16.1.0/24被轉換為=192.168.0.2~3(地址池pool1定義)。

5.從outside接口loopback0轉發出去。

6.loopback0是邏輯環路接口，因此應用ip route 0.0.0.0 0.0.0.0 192.168.0.6，192.168.0.6是ISP端地址。

7.被轉換的包就經E0接口轉發到ISP路由器。

(二)：返回包（目的地址=192.168.0.2~3）到達E0接口時

1.返回包不是NAT感愛好的包，因此按常規包處理

2.執行策略路由nat，set interface loopback0,即路由到outside接口。

3.NAT有相應的NAT紀錄，

4.執行NAT,目的地址192.168.0.2~3被轉換為172.16.1.0/24

5.執行路由，loopback0接口上無策略路由，因此執行常規路由。

6.被轉換的包經E0接口轉發出去。

四：配置2實例

特點是：loopback0做inside接口。

interface Loopback0

ip address 172.16.1.1 255.255.255.248

ip nat inside

ip policy route-map rm_nat

!

interface FastEthernet0/0

ip address 172.16.0.1 255.255.255.0 secondary

ip address 192.168.0.1 255.255.255.252

ip nat outside

ip policy route-map no_route

!

ip nat pool st_pool 61.233.13.193 61.233.13.198 netmask 255.255.255.248

ip nat inside source list 10 pool st_pool

ip classless

ip route 0.0.0.0 0.0.0.0 Loopback0

access-list 10 permit 172.16.0.0 0.0.0.255

access-list 101 permit ip any any

access-list 102 permit ip 172.16.0.0 0.0.0.255 any

route-map no_route permit 10

match ip address 102

set interface Loopback0

!

route-map rm_nat permit 10

match ip address 101

set ip next-hop 192.168.0.2

該實例的主要區別是采用了2個策略路由，其目的都是實現使包到達inside接口或outside接口，且滿足NAT轉換的路由條件。

需要注重的是：NAT地址池的地址不必非要與ISP端路由器地址同一網段，可以是公網IP，也可以是私網地址。只要ISP能區分就行。且ISP必須有到達NAT地址池的路由（靜態或動態都行）。

對于NAT路由器來說，只需要有“ip route 0.0.0.0 0.0.0.0 ISP端IP地址”這條命令即可。

上一篇：網上鄰居的基礎：詳解NETBIOS

下一篇：交換機及路由器如何更加安全六大法則