NAT命令手册

NAT命令手册
目录
1简介 (3)
1.1NAT概述 (3)
1.2NAT实现的功能 (3)
1.2.1静态NAT (3)
1.2.2动态源NAT (3)
1.2.3动态目的NAT (4)
1.2.4ALG (4)
2配置NAT (7)
3典型配置 (12)
1 简介
1.1 NAT 概述
NAT （Network Address Translation ，网络地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。

在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。

这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IPv4地址空间的枯竭。

NAT 负责把内部主机的数据包的源地址(私有IP 地址)按照一定的规则翻译成合法的、唯一的公网IP 地址，源数据包的端口转换成NAT 的一个端口，目的IP 地址和端口不变，最终数据包经过路由器发送到目的地址。

同时，NAT 也负责把外部主机返回的数据包的目的地址和端口转换成内网的私有地址和端口，源地址和端口不变。

这种变换的本质是在NAT 内部维护着一张转换表，负责由内到外和由外到内的IP 地址与端口的转换。

1.2 NAT 实现的功能 1.
2.1 静态NAT
设备将网络的将一个内部地址L 映射到一个外部地址G 上。

从内部网络发送以L 为源的数据包的源地址会被替换成地址G 。

同时，从外部发往内部网络的目的地址为G 的数据包的目的地址会被替换成L 。

这样内部主机就可以伪装成G 与外部网络通信。

A
B
L->G
L<-G
10.10.10.2
192.168.2.100
图1、静态NAT 示意图
1.2.2 动态源NAT
将内部网络访问外部网络数据包的源地址L 替换成设定好的全局地址G 。

使内部网络主机可以用这个全局地址G 访问外部网络 ，但外部主机无法用G 地址访问内部主机L 。

A
L->G
L<-G
10.10.10.2
192.168.2.100
B
图2、动态NAT 示意图
1.2.3 动态目的NAT
将外部主机访问设定好的全局地址G 的数据包的目的地址替换成内部主机的地址L ，也就是常见的虚拟服务器，可对转换业务进行端口映射。

这样外部主机可以访问内部的主机，但内部主机无法主动访问外部主机。

当配置的地址池中包含一个以上的地址时，外部主机对内部的访问会在这几个地址中做负载均衡。

G
A->B
A<-B
10.10.10.2
192.168.2.100
L
图3、动态目的NAT 示意图NAT ALG
1.2.4 ALG
在应用层协议中，有很多协议都包含多通道的信息，比如多媒体协议（H.323、SIP 等）、FTP 、RTSP 等。

这种多通道的应用需要首先在控制通道中对后续数据通道的地址和端口进行协商，然后根据协商结果创建多个数据通道连接。

在NAT 的实际应用
过程中，NAT仅对网络层报文的报文头进行IP地址的识别和转换，对于应用层协议协商过程中报文载荷携带的地址信息则无法进行识别和转换，因此在有NAT处理的组网方案中，NAT利用ALG技术可以对多通道协议进行应用层的报文信息的解析和地址转换，保证应用层上通信的正确性。

以FTP为例：
如图所示，私网侧的主机要访问公网的FTP服务器。

NAT设备上配置了私网地址192.168.0.10到公网地址50.10.10.10的映射，实现地址的NAT转换，以支持私网主机对公网的访问。

在该组网中，如果没有ALG对报文载荷的处理，私网主机发送的Port 报文到达服务器端后，服务器无法识别该报文载荷中的私网地址，也就无法建立正确的数据连接。

下面是应用了ALG的FTP连接建立过程。

(1) 首先，私网主机和公网 FTP 服务器之间通过 TCP 三次握手成功建立控制连接。

(2) 控制连接建立后，私网主机向 FTP服务器发送 Port报文，报文中携带私网主机指定的数据连接的目的地址和端口，用于通知服务器使用该地址和端口和自己进
行数据连接。

(3) Port 报文在经过支持 ALG 特性的 NAT 设备时，报文载荷中的私网地址和端口会被转换成对应的公网地址和端口。

即，设备将收到的 Port 报文载荷中的私网地址 192.168.0.10 转换成公网地址 50.10.10.10，端口 1024 转换成5000。

(4) 公网的 FTP服务器收到 Port报文后，解析其内容，并向私网主机发起数据连接，该数据连接的目的地址为 50.10.10.10，端口为 5000。

由于该目的地址是一个公网地址，因此后续的数据连接就能够成功建立，从而实现私网主机对公网服务器的访问。

2配置NAT
3典型配置
如下图所示，一个公司利用设备的NAT功能连接到Internet。

该公司能够通过设备的以太口访问Internet，公司内部对外提供两台WWW服务器、一台FTP和一台SMTP服务。

公司内部网址为10.110.0.0/16。

其中，内部FTP服务器地址为10.110.10.1，内部WWW服务器1的IP地址为10.110.10.2，内部WWW服务器2的IP地址为10.110.10.3，内部SMTP服务器IP地址为10.110.10.4，要求对外提供统一的服务IP。

通过配置NAT特性，满足如下要求：
•内部网络中IP地址为10.110.10.0/24的用户可以访问Internet，其它网段的用户则不能访问Internet。

•外部的PC可以访问内部的服务器。

·
•公司具有202.38.160.100/24至 202.38.160.105/24六个合法的IP地址。

选用202.38.160.100作为公司对外的IP地址，WWW服务器2采用8080端口。

组网图
配置说明：
interface eth0
ip address 202.38.160.100/24 \\外网地址
access http
access https
access ping
interface vlan10
ip address 10.110.0.1/16 \\内网网关接口
access http
access ping
!
address internet \\允许上网网段对象
range-address 10.110.10.5 10.110.10.254
address serverpub \\内部服务器映射外网地址对象host-address 202.38.160.100
!
service web2 \\web2服务器对外端口对象tcp dest 8080
!
ip NAT pool pub 202.38.160.101 202.38.160.105 \\NAT转换后地址池设置ip NAT pool ftp 10.110.10.1 10.110.10.1
ip NAT pool web1 10.110.10.2 10.110.10.2
ip NAT pool web2 10.110.10.3 10.110.10.3
ip NAT pool smtp 10.110.10.4 10.110.10.4
!
ip NAT source eth0 internet any any pub 1 \\只允许internet网段进行NAT转换与外网通信
ip NAT destiNATion eth0 any serverpub http web1 2 \\外网用户以不同业务方式访问serverpub，映射为不同内部服务器
ip NAT destiNATion eth0 any serverpub http web2 3
ip NAT destiNATion eth0 any serverpub ftp ftp 4
ip NAT destiNATion eth0 any serverpub smtp smtp 5。