nat命令手册参考.docVIP

NAT命令手册 目 录 1 简介 2 1.1 NAT概述 3 1.2 NAT实现的功能 3 1.2.1 静态NAT 3 1.2.2 动态源NAT 3 1.2.3 动态目的NAT 4 1.2.4 ALG 4 2 配置NAT 7 3 典型配置 12 简介 NAT概述 NAT（Network Address Translation，网络地址转换）是将IP数据报报头中的IP地址转换为另一个IP地址的过程。在实际应用中，NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式，将有助于减缓可用IPv4地址空间的枯竭。 NAT负责把内部主机的数据包的源地址(私有IP地址)按照一定的规则翻译成合法的、唯一的公网IP地址，源数据包的端口转换成NAT的一个端口，目的IP地址和端口不变，最终数据包经过路由器发送到目的地址。同时，NAT也负责把外部主机返回的数据包的目的地址和端口转换成内网的私有地址和端口，源地址和端口不变。这种变换的本质是在NAT内部维护着一张转换表，负责由内到外和由外到内的IP地址与端口的转换。 NAT实现的功能 静态NAT 设备将网络的将一个内部地址L映射到一个外部地址G上。从内部网络发送以L为源的数据包的源地址会被替换成地址G。同时，从外部发往内部网络的目的地址为G的数据包的目的地址会被替换成L。这样内部主机就可以伪装成G与外部网络通信。 图1、静态NAT示意图 动态源NAT 将内部网络访问外部网络数据包的源地址L替换成设定好的全局地址G。使内部网络主机可以用这个全局地址G访问外部网络 ，但外部主机无法用G地址访问内部主机L。 图2、动态NAT示意图 动态目的NAT 将外部主机访问设定好的全局地址G的数据包的目的地址替换成内部主机的地址L，也就是常见的虚拟服务器，可对转换业务进行端口映射。这样外部主机可以访问内部的主机，但内部主机无法主动访问外部主机。当配置的地址池中包含一个以上的地址时，外部主机对内部的访问会在这几个地址中做负载均衡。 图3、动态目的NAT示意图NAT ALG ALG 在应用层协议中，有很多协议都包含多通道的信息，比如多媒体协议（H.323、SIP等）、FTP、RTSP等。这种多通道的应用需要首先在控制通道中对后续数据通道的地址和端口进行协商，然后根据协商结果创建多个数据通道连接。在NAT的实际应用过程中，NAT仅对网络层报文的报文头进行IP地址的识别和转换，对于应用层协议协商过程中报文载荷携带的地址信息则无法进行识别和转换，因此在有NAT处理的组网方案中，NAT利用ALG技术可以对多通道协议进行应用层的报文信息的解析和地址转换，保证应用层上通信的正确性。 以FTP为例： 如图所示，私网侧的主机要访问公网的FTP服务器。NAT设备上配置了私网地址0到公网地址0的映射，实现地址的NAT转换，以支持私网主机对公网的访问。在该组网中，如果没有ALG对报文载荷的处理，私网主机发送的Port报文到达服务器端后，服务器无法识别该报文载荷中的私网地址，也就无法建立正确的数据连接。下面是应用了ALG的FTP连接建立过程。 (1) 首先，私网主机和公网 FTP 服务器之间通过 TCP 三次握手成功建立控制连接。 (2) 控制连接建立后，私网主机向 FTP服务器发送 Port报文，报文中携带私网主机指定的数据连接的目的地址和端口，用于通知服务器使用该地址和端口和自己进行数据连接。 (3) Port 报文在经过支持 ALG 特性的 NAT 设备时，报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。即，设备将收到的 Port 报文载荷中的 私网地址 0 转换成公网地址 0，端口 1024 转换成5000。 (4) 公网的 FTP服务器收到 Port报文后，解析其内容，并向私网主机发起数据连接，该数据连接的目的地址为 0，端口为 5000。由于该目的地址是一个公网地址，因此后续的数据连接就能够成功建立，从而实现私网主机对公网服务器的访问。  配置NAT 命令 ip NAT pool NAME STARTIP ENDIP [rotary] 使用模式 配置模式(config)# 功能 建立NAT地址池 参数解释 NAME：地址池名称，长度不能大于64位 STARTIP：地址池起始或结束地址。 ENDIP：地址池结束地址，要求起始地址不能大于结束地址 Rotary：启用轮询方式分配地址。默认是根据数据包源和目的地址的哈希获取。启用轮询方式后，从起始地址开始到结束地址依次分配地址，达到地址后在从起始地址重新分配。 命令 no ip NAT pool NAME