解救NAT 網絡地址匱乏的靈方

2019-11-04 20:50:36

字體：大中小

來源：轉載

供稿：網友

　　為了解決ip地址日漸不足的問題，RFC1918為私有和內部使用的網絡留出了3個IP地址塊（Ａ類、Ｂ類和Ｃ類地址范圍各一段），在此范圍內的地址將不被Internet主干路由（如下表所示）。
　　
　　私有ＩＰ地址也有它的缺點，那就是使用私有IP地址的用戶將無法訪問Internet。這就需要使用到網絡地址轉換NAT(Network Address Translation），根據RFC1631的定義，這是將IP數據包包頭中一個地址轉換為另一個地址的過程，NAT讓使用私有IP地址的主機能夠訪問Internet。利用NAT轉換功能可以更有效地利用IP地址資源，進而解決IP地址短缺的問題。在將私有IP轉換為合法IP的動作中，通常由防火墻或路由器擔任IP轉換的功能。
　　
　　熟悉NAT
　　
　　NAT有三種類型：靜態NAT(Static NAT)、動態地址NAT(Pooled NAT)、地址復用（PAT）。
　　
　　靜態NAT設置起來最為簡單和輕易，內部網絡中的每個主機都被永久映射成外部網絡中的某個合法的地址。
　　
　　動態地址NAT則只是轉換IP地址，它為每一個內部的IP地址分配一個臨時的外部IP地址，主要應用于撥號，對于頻繁的遠程聯接也可以采用動態NAT。當遠程用戶聯接上之后，動態地址NAT就會分配給它一個IP地址，用戶斷開時，這個IP地址就會被釋放而留待以后使用。
　　
　　地址復用PAT（Port Address Translation）能使多個內部地址映射到同一個全球地址，也可稱作“多對一”NAT。通過使用PAT可以讓成百上千的私有地址節點使用一個全球地址訪問Internet。PAT普遍應用于接入設備中，它可以將中小型的網絡隱藏在一個合法的IP地址后面。PAT與動態地址NAT不同，它將內部連接映射到外部網絡中的一個單獨的IP地址上，同時在該地址上加上一個由NAT設備指定的TCP端口號。
　　
　　理論上NAT復用可以支持65000多個內部地址映射到同一個外部地址，但實際上在一臺Cisco NAT路由器上的每個全球地址只能有效支持大約4000個會話，其他廠商也很難超越這個數字。PAT經常與一個NAT池的動態映射一起使用，這樣，NAT設備可以先用一對一的動態映射，直到可用的地址幾乎被耗盡，然后NAT將復用剩余的地址。在Cisco路由器上，NAT將首先復用地址池中的第一個地址，直到達到能力極限，然后再移至第二個地址，依此類推。
　　
　　當然NAT也有其缺點：
　　
　　首先，很明顯，地址轉換的代價是功能的損失，非凡是對那些在ＩＰ包數據包中也包含ＩＰ地址信息的協議或者應用。路由器的CPU必須對每個數據包進行檢查，對需要改變地址信息的數據包進行操作，因此會加大運行負載。同時，路由器要使用NAT技術，必須處于處理機交換（PRocess Switching）的工作模式，也可能會降低運行性能。
　　
　　另一方面，NAT隱藏了端到端的IP地址，使得對數據包路徑的跟蹤變得比較困難。而且，正是由于這個原因，使得一些內嵌的IP地址在應用中會產生問題，比如ICMP、FTP、NBT、SNMP、DNS等。另外，假如使用IPSec進行加密，則只能把NAT放在受保護的VPN內部，或者使用具有NAT功能的IPSec設備，因為IPSec規定IP地址不能被改變，假如改變了IP地址，就會破壞VPN的功能。假如確實需要對已用IPSec加密的數據進行地址改變，那就應該考慮使用RSIP技術。
　　　解救NAT 網絡地址匱乏的靈方（圖一）

　　配置動態NAT　
　　
　　１. 在全局配置模式下，根據需要分配全球地址池。
　　
　　Router(config)#ip nat pool name start-ip end-ip{netmask netmaskprefix-length prefix-length}[rotary]
　　
　　２. 在全局設置模式下，定義一個標準的 access-List。
　　
　　Router(config)#Access-listaccess-list-number permit source[source-wildcard]
　　
　　３. 在全局設置模式下，建立動態的源地址轉換。
　　
　　Router(config)#ip nat inside source {list { access-list-numbername} pool name [overload]static local-ip global-ip}
　　
　　４. 在全局配置狀態下指定與網絡相連的端口。
　　
　　Router(config)#interface type number
　　
　　５. 連接到指定的接口。
　　
　　Router(config)#ip nat outside
　　解救NAT 網絡地址匱乏的靈方（圖二）

　　配置靜態NAT　
　　
　　1.在全局配置狀態下，在內部本地地址與外部合法地址之間建立靜態地址轉換。
　　
　　Router(config)#ip nat inside source static local-ip global-ip
　　
　　2.在端口配置狀態下，指定連接內部網絡的內部端口。
　　
　　Router(config-if)#ip nat inside
　　
　　3.在端口配置狀態下，指定連接外部網絡的外部端口（可以根據實際需要定義多個內部端口及多個外部端口）。
　　
　　Router(config-if)#ip nat outside
　　
　　4.ＰＡＴ（地址復用）
　　
　　關于地址復用可以用要害字“overload”來配置NAT復用：
　　
　　Router(config)#ip nat inside source list 24 pool natpool overload
　　
　　配置實例
　　
　　1.配置靜態NAT轉換
　　
　　(1)檢查IOS版本是否支持0子網，根據需要輸入命令“ip subnet-zero”。
　　
　　(2)按照下圖給定的網絡地址配置各個接口的地址。
　　
　　(3)為各接口分配自己在NAT中的角色：
　　
　　RTB(config)# ip nat inside source static 192.168.0.1 202.113.215.1 192.168.0.1
　　
　　RTB(config)# ip nat inside source static 192.168.0.2 202.113.215.1 192.168.0.2
　　
　　RTB(config)# int E0
　　
　　RTB(config-if)# ip nat inside
　　
　　RTB(config-if)# int E1
　　
　　RTB(config-if)# ip nat inside
　　
　　RTB(config-if)# int S0
　　
　　RTB(config-if)# ip nat outside
　　
　　2.配置動態NAT轉換
　　
　　(1)設置NAT池。
　　
　　RTB(config)# ip nat pool netpool 168.168.0.1 192.168.0.20 netmark 255.255.255.0
　　
　　(2)建立訪問控制列表。
　　
　　RTB(config)# access-list 1 permit 202.113.215.0 0.255.255.255
　　
　　(3)將訪問控制列表應用在NAT池中。
　　
　　RTB(config)# ip nat inside source list 1 pool netpool overload

上一篇：SNMPv3應用勢在必行

下一篇：使用EIGRP的監測和診斷命令