cisco NAT網路地址轉換

阿新 • • 發佈：2018-10-31

NAT（Network Address Translation）網路地址轉換，NAT提供一個連線網際網路簡單的方式，將內部網路使用者的私網地址轉換成外部公網地址，並在NAT地址轉換表中記錄轉換項。當外部網路資料返回時，將根據NAT轉換表項，將目標IP地址替換成初始的內部使用者的IP地址，把資料包轉發給內部網路的連線。

NAT術語：

Inside local: Host on the inside network

轉換之前內部源地址，一般使用的是私有地址

Inside global: Usually assigned by an ISP and allows the customer outside access

轉換之後內部主機的地址。需要申請才取得的IP地址

Outside local :Host on the outside network（多數情況下）

轉換之前目標主機的地址，分配給位於外部網路上的主機的IP地址，該地址是從全域性可尋路徑的地址或網路空間中分配的。

Outside global: Host on the outside network

轉換之後目標主機的名字，大多數情況下，外部本地地址等於外部全域性地址。

拓撲：

圖片.png

R1：--作為出口閘道器

interface Ethernet0/0

ip address 201.100.98.1 255.255.255.248

interface Ethernet0/1

no ip address

interface Ethernet0/1.10

encapsulation dot1Q 10

ip address 192.168.1.254 255.255.255.0

interface Ethernet0/1.20

encapsulation dot1Q 20

ip address 192.168.2.254 255.255.255.0

R1#show run | s ip route

ip route 0.0.0.0 0.0.0.0 201.100.98.6

R1#

SW1：

Vlan 10

Vlan 20

interface Ethernet0/1

switchport trunk encapsulation dot1q

switchport mode trunk

duplex auto

interface Ethernet0/2

switchport access vlan 10

switchport mode access

duplex auto

spanning-tree portfast

interface Ethernet0/3

switchport access vlan 20

switchport mode access

duplex auto

spanning-tree portfast

R2：---模擬ISP裝置

interface Ethernet0/0

ip address 201.100.98.6 255.255.255.248

interface Ethernet0/1

ip address 172.16.1.254 255.255.255.0

VPC1> ip 192.168.1.1 255.255.255.0 192.168.1.254

Checking for duplicate address...

PC1 : 192.168.1.1 255.255.255.0 gateway 192.168.1.254

VPC2：

Router(config)#host VPC2

VPC2(config)#no ip routing

VPC2(config)#ip default-gateway 172.16.1.254

VPC2(config)#int e0/0

VPC2(config-if)#ip add 172.16.1.1 255.255.255.0

VPC2(config-if)#no shut

Server：

Server(config)#no ip routing

Server(config)#ip default-gateway 192.168.2.254

Server(config)#int e0/0

Server(config-if)#ip add 192.168.2.1 255.255.255.0

Server(config-if)#no shut

靜態NAT：

手動建立一個內部IP地址到一個外部IP地址的對映關係

----該方式經常用於企業網的內部裝置需要能夠被外部網路訪問到的場合

需求：

（1）內網所有PC及伺服器均能訪問外網。

R1：

ip nat inside source static 192.168.1.1 201.100.98.1

ip nat inside source static 192.168.2.1 201.100.98.2

interface Ethernet0/0

ip nat outside

interface Ethernet0/1.10

ip nat inside

interface Ethernet0/1.20

ip nat inside

檢視NAT：

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 201.100.98.1 192.168.1.1 --- ---

--- 201.100.98.2 192.168.2.1 --- ---

R1#

R1#show ip nat statistics

Total active translations: 2 (2 static, 0 dynamic; 0 extended)

Peak translations: 15, occurred 00:29:56 ago

Outside interfaces:

Ethernet0/0

Inside interfaces:

Ethernet0/1.10, Ethernet0/1.20

Hits: 110 Misses: 0

CEF Translated packets: 110, CEF Punted packets: 0

Expired translations: 51

Dynamic mappings:

Total doors: 0

Appl doors: 0

Normal doors: 0

Queued Packets: 0

此時在VPC1 ping VPC2

R1# debug ip nat

R1#

*Oct 27 04:30:30.055: NAT*: s=192.168.1.1->201.100.98.1, d=172.16.1.1 [59878]

*Oct 27 04:30:30.057: NAT*: s=172.16.1.1, d=201.100.98.1->192.168.1.1 [59878]

*Oct 27 04:30:31.058: NAT*: s=192.168.1.1->201.100.98.1, d=172.16.1.1 [59879]

*Oct 27 04:30:31.058: NAT*: s=172.16.1.1, d=201.100.98.1->192.168.1.1 [59879]

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 201.100.98.1:59113 192.168.1.1:59113 172.16.1.1:59113 172.16.1.1:59113

icmp 201.100.98.1:59369 192.168.1.1:59369 172.16.1.1:59369 172.16.1.1:59369

icmp 201.100.98.1:59625 192.168.1.1:59625 172.16.1.1:59625 172.16.1.1:59625

icmp 201.100.98.1:59881 192.168.1.1:59881 172.16.1.1:59881 172.16.1.1:59881

icmp 201.100.98.1:60137 192.168.1.1:60137 172.16.1.1:60137 172.16.1.1:60137

--- 201.100.98.1 192.168.1.1 --- ---

--- 201.100.98.2 192.168.2.1 --- ---

Server 訪問VPC2：

Server#ping 172.16.1.1

Type escape sequence to abort.

Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds:

!!!!!

Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

R1#

*Oct 27 04:31:56.025: NAT*: s=192.168.2.1->201.100.98.2, d=172.16.1.1 [10]

*Oct 27 04:31:56.025: NAT*: s=172.16.1.1, d=201.100.98.2->192.168.2.1 [10]

*Oct 27 04:31:56.026: NAT*: s=192.168.2.1->201.100.98.2, d=172.16.1.1 [11]

*Oct 27 04:31:56.026: NAT*: s=172.16.1.1, d=201.100.98.2->192.168.2.1 [11]

*Oct 27 04:31:56.026: NAT*: s=192.168.2.1->201.100.98.2, d=172.16.1.1 [12]

*Oct 27 04:31:56.027: NAT*: s=172.16.1.1, d=201.100.98.2->192.168.2.1 [12]

*Oct 27 04:31:56.027: NAT*: s=192.168.2.1->201.100.98.2, d=172.16.1.1 [13]

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 201.100.98.1 192.168.1.1 --- ---

icmp 201.100.98.2:2 192.168.2.1:2 172.16.1.1:2 172.16.1.1:2

icmp 201.100.98.2:3 192.168.2.1:3 172.16.1.1:3 172.16.1.1:3

--- 201.100.98.2 192.168.2.1 --- ---

思考：NAT 發生在路由之前還是之後？

處理被處理使用NAT的命令根據資訊包是否去從內部網路外部網路或從外部網路內部網路。內部到外部的轉換髮生在路由之後，外部到內部的轉換髮生在路由之前。

也就是內部到外部，先路由後轉換。外部到內部，先轉換後路由。

（2） 外網使用者能夠通過公網地址 201.100.98.3埠號8080訪問內網伺服器 192.168.2.1 的www服務。

Server(config)#ip http server

R1：

ip nat inside source static tcp 192.168.2.1 80 201.100.98.3 8080

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 201.100.98.1 192.168.1.1 --- ---

tcp 201.100.98.3:8080 192.168.2.1:80 --- ---

--- 201.100.98.2 192.168.2.1 --- ---

VPC2#telnet 201.100.98.3 8080

Trying 201.100.98.3, 8080 ... Open

get

HTTP/1.1 400 Bad Request

Date: Sat, 27 Oct 2018 04:56:23 GMT

Server: cisco-IOS

Accept-Ranges: none

400 Bad Request

[Connection to 201.100.98.3 closed by foreign host]

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

--- 201.100.98.1 192.168.1.1 --- ---

tcp 201.100.98.3:8080 192.168.2.1:80 172.16.1.1:64618 172.16.1.1:64618

tcp 201.100.98.3:8080 192.168.2.1:80 --- ---

--- 201.100.98.2 192.168.2.1 --- ---

動態NAT：

將一個內部IP地址轉換為一組外部IP地址（地址池）中的一個IP地址

----常用於整個公司公用多個公網IP地址訪問Internet時

R1：

access-list 10 permit 192.168.1.0 0.0.0.255

access-list 10 permit 192.168.2.0 0.0.0.255

ip nat pool NAT 201.100.98.1 201.100.98.5 netmask 255.255.255.248

ip nat inside source list 10 pool NAT

R1#show ip nat translations //

Pro Inside global Inside local Outside local Outside global

--- 201.100.98.1 192.168.1.1 --- ---

tcp 201.100.98.3:8080 192.168.2.1:80 --- ---

--- 201.100.98.2 192.168.2.1 --- ---

R1#show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 1 extended)

Peak translations: 15, occurred 02:35:19 ago

Outside interfaces:

Ethernet0/0

Inside interfaces:

Ethernet0/1.10, Ethernet0/1.20

Hits: 214 Misses: 0

CEF Translated packets: 214, CEF Punted packets: 0

Expired translations: 61

Dynamic mappings:

-- Inside Source

[Id: 1] access-list 10 pool NAT refcount 0

pool NAT: netmask 255.255.255.248

start 201.100.98.1 end 201.100.98.5

type generic, total addresses 5, allocated 0 (0%), misses 0

Total doors: 0

Appl doors: 0

Normal doors: 0

Queued Packets: 0

R1#

PAT：

動態NAT的一種特殊形式，利用不同埠號將多個內部IP地址轉換為一個外部IP地址，也稱為PAT、NAPT或埠複用NAT

----常用於整個公司公用1個公網IP地址訪問Internet時

複用內部的全域性地址

1.將一個內部全域性地址用於同時代表多個內部區域性地址

2.主要用IP地址和埠號的組合來唯一區分各個內部主機

配置NPAT轉換中，必須使用overload關鍵字，這樣路由器才會將源埠也進行轉換，已達到地址超載的目的。如果不指定overload關鍵字，路由器將執行動態NAT轉換

R1：

access-list 10 permit 192.168.1.0 0.0.0.255

ip nat inside source list 10 interface Ethernet0/0 overload

R1#show ip nat statistics

Total active translations: 1 (1 static, 0 dynamic; 1 extended)

Peak translations: 15, occurred 02:46:09 ago

Outside interfaces:

Ethernet0/0

Inside interfaces:

Ethernet0/1.10, Ethernet0/1.20

Hits: 234 Misses: 0

CEF Translated packets: 234, CEF Punted packets: 0

Expired translations: 67

Dynamic mappings:

-- Inside Source

[Id: 3] access-list 10 interface Ethernet0/0 refcount 0

Total doors: 0

Appl doors: 0

Normal doors: 0

Queued Packets: 0

R1#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 201.100.98.1:13578 192.168.1.1:13578 172.16.1.1:13578 172.16.1.1:13578

icmp 201.100.98.1:13834 192.168.1.1:13834 172.16.1.1:13834 172.16.1.1:13834

icmp 201.100.98.1:14090 192.168.1.1:14090 172.16.1.1:14090 172.16.1.1:14090

icmp 201.100.98.1:14346 192.168.1.1:14346 172.16.1.1:14346 172.16.1.1:14346

icmp 201.100.98.1:14602 192.168.1.1:14602 172.16.1.1:14602 172.16.1.1:14602

tcp 201.100.98.3:8080 192.168.2.1:80 --- ---

R1#show ip nat translations verbose

Pro Inside global Inside local Outside local Outside global

icmp 201.100.98.1:22030 192.168.1.1:22030 172.16.1.1:22030 172.16.1.1:22030

create 00:00:10, use 00:00:10 timeout:60000, left 00:00:49, Map-Id(In): 3,

flags:

extended, use_count: 0, entry-id: 84, lc_entries: 0

icmp 201.100.98.1:22286 192.168.1.1:22286 172.16.1.1:22286 172.16.1.1:22286

create 00:00:09, use 00:00:09 timeout:60000, left 00:00:50, Map-Id(In): 3,

flags:

從上面可以看出ICMP轉換條目的超時時間預設為1分鐘。

cisco NAT網路地址轉換

轉載：網路地址轉換NAT的原理及其作用

本文為轉載文章，原文地址網路地址轉換NAT的原理及其作用 1 概述 1.1 簡介 NAT英文全稱是“Network Address Translation”，中文意思是“網路地址轉換”，它是一個IETF(Internet Engineering Task Force, Internet工程任

網路地址轉換NAT原理及應用【轉】

（轉自：https://blog.csdn.net/xiaofei0859/article/details/6630467）這是做路由器的時候，學習網路地址轉換Network Address Translation後的一些理解整理，主要通過例項和圖表的方式展示了NAT的工作原

虛擬專用網VPN和網路地址轉換NAT

專用網之間的專用網路地址只能跟其他的專用網路地址互動，無法連線到公網，原因是：在網際網路中的所有路由器設定對目的地址是專用地址的資料舉報一律不進行轉發。專用網通過租用公用網並進行加密技術保護（確保資料傳輸安全）作為專用網之間的通訊載體

【轉載】網路地址轉換(NAT)和埠對映

網路地址轉換(NAT) 1.1 NAT的應用場景（1）應用場景：允許將私有IP地址對映到公網地址，以減緩IP地址空間的消耗 ①需要連線Internet，但主機沒有公網IP地址 ②更換了一個新的ISP，需要重新組織網路時，可使用NAT轉換 ③需要合併兩個具有

教程篇(6.0) 03. 網路地址轉換 (NAT) ❀ 飛塔 (Fortinet) 網路安全專家 NSE4

在本課中，你將學習如何配置網路地址轉換（NAT），並使用它為通過FortiGate的流量實現源NAT和目標NAT。在本次課程中，你將會探索以下主題： NAT介紹防火牆NAT策略中央NAT Session helpers 會話

Packet Tracer 思科模擬器入門教程之十七網路地址轉換NAT配置

實驗目標理解NAT網路地址轉換的原理及功能；掌握靜態NAT的配置，實現區域網訪問網際網路；實驗背景 &nb

網路地址轉換NAT概念

網路地址轉換NAT NAT的作用：增加IPv4的地址數量，解決私網地址不能上網的問題。 NAT的概念：通過將內部網路的私網IP地址翻譯成全球唯一的公網IP地址。原理原理：就是將內部本地轉換為內部全域性的地址，即將私網地址轉換為公網地址去上網。 NAT術語：內部本地(區域性) 在內部網路中分配給主

第11章拾遺1：網路地址轉換(NAT)和埠對映

1. 網路地址轉換(NAT) 1.1 NAT的應用場景（1）應用場景：允許將私有IP地址對映到公網地址，以減緩IP地址空間的消耗　　①需要連線Internet，但主機沒有公網IP地址　　②更換了一個新的ISP，需要重新組織網路時，可使用NAT轉換　　③需要合

linux 網路地址轉換NAT

網路地址轉換NATNAT的作用：增加IPv4的地址數量，解決私網地址不能上網的問題。 NAT的概念：通過將內部網路的私網IP地址翻譯成全球唯一的公網IP地址。原理原理：就是將內部本地轉換為內部全域性的地址，即將私網地址轉換為公網地址去上網。 NAT術語：內部本地(區域性) 在內部網路中分配給主機使

VMware虛擬機器三種網路模式詳解 NAT（地址轉換模式）

二、NAT（地址轉換模式）剛剛我們說到，如果你的網路ip資源緊缺，但是你又希望你的虛擬機器能夠聯網，這時候NAT模式是最好的選擇。NAT模式藉助虛擬NAT裝置和虛擬DHCP伺服器，使得虛擬機器可以聯網。其網路結構如下圖所示：在NAT模式中，主機網絡卡直接與虛擬NAT裝置相連，

網路地址轉換NAT原理及應用-連線跟蹤--埠轉換*******************

http://eqinping.blog.163.com/blog/static/28019142201331123427907/ 這是做路由器的時候，學習網路地址轉換Network Address Translation後的一些理解整理，主要通過例項和圖表的方式展示了N

淺談網路地址轉換(NAT)技術與內網、外網

前言　我們現在常使用的IP地址是IPv4地址，由四組0-255的十進位制數字組成，中間以小數點分隔。Internet上的每一臺主機或者路由器都至少有一個IP地址。IP地址(IPv4地址，下文IP地址預設指IPv4)的長度是32位，總數為2的32次方，大約43億個。　

通過隧道實現虛擬伺服器（VS/TUN）和通過網路地址轉換實現虛擬伺服器（VS/NAT）

一通過隧道實現虛擬伺服器（VS/TUN）：排程器把請求報文通過IP隧道（相當於ipip或ipsec）轉發至真實伺服器，而真實伺服器將響應處理後直接返回給客戶，這種排程器只處理請求的入站報文，一般網路服務應答資料比請求報文大很多，採用VS/TUN技術後，集群系統的最

NAT（網路地址轉換）技術與代理伺服器原理

一、 Nat技術： NAT英文全稱是“Network Address Translation”，中文意思是“網路地址轉換”，它是一個IETF(Internet Engineering Task Force,Internet工程任務組)標準，允許一個整體機構以一個公用I

二、NAT（地址轉換模式）

ping通 lin 發現 nat 結構 inux 重啟聯通啟動系統剛剛我們說到，如果你的網絡ip資源緊缺，但是你又希望你的虛擬機能夠聯網，這時候NAT模式是最好的選擇。NAT模式借助虛擬NAT設備和虛擬DHCP服務器，使得虛擬機可以聯網。其網絡結構如下圖所示：

CentOS7上部署LVS負載均衡群集之LVS-NAT（地址轉換模式）

local 添加 fig iptable block rip 除了處理路由轉發 CentOS7中的LVS負載均衡群集之LVS-NAT（地址轉換模式）簡介在當今各種互聯網應用中，隨著站點對硬件性能、響應速度、服務穩定性、數據可靠性等的要求越來越高，單臺服務器將難以承擔

LVS 負載均衡群集—— NAT （地址轉換）模式

lvs 負載均衡 adc for 存取獨立 .rpm 模塊模式服務啟動群集群集（或集群）的稱呼來自於英語單詞“Cluster”，表示一群、一串的意思，用在服務器領域則表示大量服務器的集合體。群集的類型無論是哪種群集，都至少包括兩臺節點服務器，而對外表現為

VMware下網路配置三種模式對比（橋接模式，主機模式，網路地址轉換）

1 VMware三種網路模式簡介 VMWare提供了三種工作模式，它們是bridged(橋接模式)、NAT(網路地址轉換模式)和host-only(主機模式)。安裝好虛擬機器以後，在網路連線裡面可以看到多了兩塊網絡卡。如下圖。 2 bridged(橋接模式) 2.

網路地址轉換與配置命令

靜態NAT： int f0/0 ip nat inside exit int fa0/1 ip nat outside exit ip nat inside source static 192.168.10.10 8.8.8.8 //將192.168.10.10裝換為8.8.8.8 de

cisco NAT網路地址轉換

相關推薦