看看NAT的术语,如下:
1.IP NAT inside:属于内网部分内的需要翻译成外部地址的接口
2.IP NAT outside:属于外网和路由器相连的接口或者是在它的路由表里没有运载的有IP NAT inside地址空间的信息
当包在下面的接口之间进行路由的话就需要NAT:
1.IP NAT inside接口到IP NAT outside接口
2.IP NAT outside接口到IP NAT inside接口
当有包要从inside路由到outside的时候,你就需要在NAT表里建立条NAT条目.NAT条目把源IP地址从内部地址翻译为外部地址.当IP NAT outside接口响应这个包的时候,包的目标IP地址将和IP NAT表里的条目做比较.如果匹配的条目找到了,目标IP地址就被翻译成正确的内部地址,然后放到路由表里保证能够被路由到IP NAT inside接口去;如果没有找到匹配的条目,包将被丢弃
地址超载(address overloading)是种在Internet连接上很常见的现象.超载是使用NAT将多个内部地址映射到一个或一些唯一的地址上去.NAT使用TCP和UDP端口来跟踪不同的会话
当路由器决定了从IP NAT inside接口到IP NAT outside接口的路径的时候,要建立包括源IP地址和源TCP和UDP端口号的条目.每个设备被分配的有一个唯一的TCP或UDP的端口号来进行区分
NAT表包含以下信息:
1.协议:IP,TCP或UDP
2.inside local IP address:port:等待NAT翻译的内部地址以及端口号
3.inside global IP address:port:经过翻译了的地址.这些地址通常是全局的唯一地址
4.outside global IP address:port:ISP分配给外网的IP地址
5.outside local IP address:port:看上去像是处于内网的外网主机的地址
IP NAT和访问列表ACL的结合使用的命令,如下:
1.ip nat {inside|outside}:接口命令,标记IP设备接口为内部或者外部,只有标记了内部或外部的接口才需要翻译
2.ip nat source list <ACL number> pool <address_pool_name>:当包被发送到标记为IP NAT inside的接口的时候,这个命令告诉路由器比较源地址和ACL,然后ACL告诉路由器查找地址池(address pool)看是否要进行翻译.ACL许可的地址才能被NAT翻译
3.ip nat pool <address_pool_name> <starting_ip_address> <ending_ip_address> {prefix-length <prefix-length>|netmask <netmask>}:这个命令创建翻译池,参数为起始地址到完结地址和前缀或者是掩码
如下图:
如图,当一个包的源地址为10.1.2.x,路由器就根据名为sales_pool的地址池进行翻译;如果包的源地址是10.1.3.x的话,路由器就根据名为acct_pool的地址池进行翻译
来看一个NAT和扩展ACL结合使用的例子,如下图:
ACL102和ACL103用来控制NAT的决策,和仅基于源地址相比,扩展ACL的决策基于源地址和目标地址.如果包的源地址不是10.1.1.0/24的话,包将不会通过NAT进行翻译.如果从10.1.1.0/24而来的包的目标地址为172.16.1.0/24或者是192.168.200.0/24的话.包的地址将被翻译成地址池trust_pool里的地址,即192.168.2.0/24;如果目标地址既不匹配172.16.1.0/24也不匹配192.168.200.0/24的话,源地址就将被翻译成地址池untrust_pool中的地址,即192.168.3.0/24
Defining the Route Map Tool for NAT
route map是Cisco IOS提供的一项功能,它的好处如下图:
责任编辑:小草
您现在的位置: 