NAT类型总结课件资料.pdf

NAT类型整理总结（以思科为例） 本文例子： 公网地址段： /24 内网地址段： /24 一、静态转换 IP 地址的对应关系是一对一，且是不变的，借助静态转换能实现外部网络对内部网络 中某些指定的访问， 一个内网 IP 固定对应一个公网 IP ，常用于内网服务器允许公网访问 的情况。 出接口配置 ip nat outside 入接口配置 ip nat inside 全局： ip nat inside source static 二、动态转换 IP 地址的对应关系是 N对 N，且随机、不确定的，所有被授权访问的内网 IP 可随机转 换为任何指定的合法的公网 IP 地址。 公网 IP 地址池有几个 IP ，那么同一时间就只能有几 台电脑可以访问公网，其他主机要上网必须等临时映射关系结束才能使用被释放的公网 IP 进行转换。 一般用于公网 IP 地址充足，同时访问 Internet 的内网主机数少于公网地址池 IP 个数时使用。 出接口配置 ip nat outside 入接口配置 ip nat inside 全局： access-list 1 permit 全局： ip nat pool NatTest netmask ( 定义地址池 IP 范围) 全局： ip nat inside source list 1 pool NatTest 三、端口多路复用 PAT （常用） IP 地址的对应关系是多对一，通过改变外出数据包的源 IP 地址和源端口并进行端口 转换，多台内网主机可共享一个公网 IP 地址实现互联网的访问 ，以随机分配的端口号区分。 常用于只有一个公网 IP 的情况，配置时注意后缀 overload 关键字不能缺少。 出接口配置 ip nat outside 入接口配置 ip nat inside 全局： access-list 1 permit 全局： ip nat inside source list 1 interface g0/0/1 overload （公网出接口） 四、动态 + 端口多路复用 （常用） IP 地址的对应关系是 N对 M，与 PAT类似，区别在于该类型有多个公网 IP ，内网主机 随机选择其中一个公网 IP ，且每个公网 IP 允许多台内网主机同时使用 ，以随机分配的端 口号区分。常用于有多个公网 IP 或双出口的情况。 出接口配置 ip nat outside 入接口配置 ip nat inside 全局： access-list 1 permit 全局： ip nat pool NatTest prefix-length 24 全局： ip nat inside source list 1 pool NatTest overload （公网地址池） 五、区域无关 NAT 这个类型用得很少，相关资料也不多，以下介绍是从某博客复制过来的： Domainless NAT 就是说不再区分 inside 和 outside ，只是单纯地做 NAT，没有用所谓 的平衡点， 进而两个方向 NAT的处理 HOOK点也不再基于平衡点对称， 所有的 NAT操作全部 在 PREROUTING上做，它用一个叫做 NATVirtual Interface （NVI）的虚拟接口来实现，通 过路由的方式将带有 ipnat enable 配置的接口进来的包全部导入这个虚拟接口 NVI0 中。 然后用数据包的源地址和目标地址分别查询 SNAT表和 DNAT表，根据结果进行 NAT操作， 随后进入真正的路由查询， 可见，不管方向，不管路由，只要数据包进入了一块带有