网络设备配置与管理————17、网络地址转换NAT

公用和私有IP编址

所有公有Internet 地址都必须在所属地域的相应 Internet 注册管理机构 (RIR) 注册。

与公有IP 地址不同，私有IP 地址是保留的数值块，任何人均可以使用。

NAT

• NAT就像大办公室中的前台接待员。客户拨打您办公室的总机号码，这是客户知道的唯一号码。
• NAT有很多用途，但最主要的用途是让网络能使用私有IP 地址以节省IP 地址。NAT将不可路由的私有内部地址转换成可路由的公有地址。NAT还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部IP 地址。
• R2执行NAT 过程，将主机的内部私有地址转换为公有、外部、可路由的地址。

• 内部本地地址— 通常不是 RIR或服务器提供商分配的 IP地址，极有可能是 RFC1918 私有地址。图中，IP 地址192.168.10.10被分配给内部网络上的主机 PC1。
• 内部全局地址— 当内部主机流量流出 NAT路由器时分配给内部主机的有效公有地址。当来自 PC1 的流量发往Web服务器 209.165.201.1时，路由器 R2必须进行地址转换。本例中，PC1 的内部全局地址使用IP 地址 209.165.200.226。
• 外部全局地址— 分配给 Internet上主机的可达 IP地址。例如，Web服务器的可达 IP地址为 209.165.201.1。
• 外部本地地址— 分配给外部网络上主机的本地 IP 地址。大多数情况下，此地址与外部设备的外部全局地址相同。

NAT如何工作

• 内部主机(192.168.10.10) 希望与外部 Web 服务器 (209.165.201.1) 通信。它发送数据包给配置了 NAT 的网络边界网关 R2。
• R2 读取数据包的目的 IP 地址，并检查数据包是否符合规定的转换标准。

R2 有一个 ACL，它确定内部网络中可进行转换的有效主机。因此，R2 将内部本地IP 地址转换成内部全局IP 地址，本例中为209.165.200.226。它将此本地与全局地址映射关系存储在 NAT 表中。

路由器将数据包发送到目的地。

当 Web 服务器回应时，数据包回到 R2 的全局地址(209.165.200.226)。

• R2 参考 NAT表，发现这是原先转换的 IP 地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给IP 地址为192.168.10.10 的 PC1。
• 如果它没有找到映射关系，数据包将被丢弃。

NAT转换有两种类型

• 动态NAT：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问Internet 时，动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。
• 静态NAT ：使用本地地址与全局地址的一对一映射，这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。

NAT过载

• NAT过载（有时称为端口地址转换或 PAT）将多个私有IP 地址映射到一个或少数几个公有IP 地址。因为每个私有地址也会用端口号加以跟踪。
• 大多数家用路由器就是这样工作的。

• 当 NAT 处理各数据包时，它使用端口号（本例中为 1331 和 1555）来识别发起数据包的客户端。
• NAT过载将 SA 变成客户端的内部全局IP 地址，同样会附加端口号。

下一可用端口

NAT过载会尝试保留源端口号。

但是，如果此源端口已被使用，NAT 过载会从适当的端口组 0-511、512-1023或 1024-65535开始分配第一个可用端口号。当没有端口可用时，如果配置了一个以上的外部IP 地址，则NAT 过载将会使用下一 IP 地址，再次尝试分配原先的源端口。

NAT与 NAT 过载之间的区别

• NAT一般只按公有 IP 地址与私有IP 地址之间的一对一对应关系转换IP 地址。NAT 过载则会同时修改发送者的私有 IP 地址和端口号。NAT 过载选择对公有网络上主机可见的端口号。
• NAT将传入的数据包路由给其内部目的地时，将以公有网络上主机给出的传入源IP 地址为依据。利用NAT 过载，一般只需一个或极少的几个公有 IP 地址。

使用 NAT的利弊

配置静态 NAT

• 静态 NAT 为内部地址与外部地址的一对一映射。静态 NAT 允许外部设备发起与内部设备的连接。
• 首先需要定义要转换的地址，然后在适当的接口上配置NAT。

配置动态 NAT

• 动态 NAT 则是将私有 IP 地址映射到公有地址。这些公有IP 地址源自NAT 池。
• 动态 NAT 不是创建到单一 IP 地址的静态映射，而是使用内部全局地址池。

配置 NAT过载

为单一公有IP 地址配置NAT 过载

• 仅有一个公有IP 地址时，过载配置通常把该公有地址分配给连接到ISP 的外部接口。所有内部地址离开该外部接口时，均被转换为该地址。
• 使用 interface 关键字来标识外部 IP 地址，因此没有定义NAT 池。利用 overload关键字，可以将端口号添加到转换中。

为公有IP 地址池配置NAT 过载

当 ISP 提供了一个以上公有 IP 地址时，NAT 过载将使用地址池。这种配置与动态、一对一 NAT 配置的主要区别是前者使用了 overload关键字。overload关键字允许进行端口地址转换。

端口转发（有时也称为隧道）是将网络端口从一个网络节点转发到另一个网络节点的操作。

这种技术允许外部用户从外部网络通过启用NAT 的路由器到达私有 IP 地址（LAN 内部）上的端口。

配置端口转发

• 利用端口转发，Internet 上的用户能够使用 WAN 端口地址和相匹配的外部端口号来访问内部服务器。
• 当用户通过 Internet 发送这些类型的请求到您的 WAN 端口 IP地址时，路由器将这些请求转发到您的 LAN 上适当的服务器

检验 NAT和 NAT过载

以上是测试的例子。.

• show ip nat translations命令的输出显示NAT分配的详细情况。在该命令中增加verbose可显示关于每个转换的附加信息，包括创建和使用条目的时间长短。
• 该命令显示所有已配置的静态转换和所有由流量创建的动态转换。

• show ip nat statistics命令显示以下信息：活动转换总数、NAT配置参数、池中的地址数量以及已分配的地址数量。
• 转换条目默认超时时间为24 小时，在全局配置模式下使用ipnattranslation timeouttimeout_ seconds命令可重新配置超时时间。

• 要在超时之前清除动态条目，请使用clearipnattranslation全局命令。
• 可以具体指定删除哪一转换，也可以使用clearipnattranslation *全局命令清除表中的全部转换，如本例所示。

NAT和 NAT 过载配置的故障排除

• 步骤 1. 根据配置，清楚地确定应该实现什么样的NAT。这可能会揭示出配置问题。
• 步骤 2. 使用show ipnattranslations命令检验转换表中转换条目是否正确。
• 步骤 3. 使用clear 和 debug命令检验 NAT 是否如预期一样工作。检查动态条目被清除后，是否又被重新创建出来。
• 步骤 4. 详细审查数据包传送情况，确认路由器具有移动数据包所需的正确路由信息。
            使用debug ipnat命令显示关于被路由器转换的每个数据包的信息，检验NAT 功能的运作。

参考：Cisco