NAT类型总结.pdf

《NAT类型总结.pdf》由会员分享，可在线阅读，更多相关《NAT类型总结.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NATNAT 类型整理总结（以思科为例）类型整理总结（以思科为例）本文例子：公网地址段：/24内网地址段：/24一、静态转换一、静态转换IP 地址的对应关系是一对一，且是不变的，借助静态转换能实现外部网络对内部网络中某些指定的访问，一个内网 IP 固定对应一个公网 IP，常用于内网服务器允许公网访问的情况。出接口配置 ip nat outside入接口配置 ip nat inside全局：ip nat inside source static二、动态转换二、动态转换IP 地址的对应关系是 N 对 N，且随机、不确定的，所有被授权访问的内网IP 可随机转换为任何指定的合法的公网 IP 地址。公网

2、 IP 地址池有几个 IP，那么同一时间就只能有几台电脑可以访问公网，其他主机要上网必须等临时映射关系结束才能使用被释放的公网 IP进行转换。一般用于公网 IP 地址充足，同时访问 Internet 的内网主机数少于公网地址池IP 个数时使用。出接口配置 ip nat outside入接口配置 ip nat inside全局：access-list 1 permit全局：ip nat pool NatTest netmask(定义地址池IP范围)全局：ip nat inside source list 1 pool NatTest三、端口多路复用三、端口多路复用 PATPAT（常用）（常用）I

3、P 地址的对应关系是多对一，通过改变外出数据包的源 IP 地址和源端口并进行端口转换，多台内网主机可共享一个公网 IP 地址实现互联网的访问，以随机分配的端口号区分。常用于只有一个公网 IP 的情况，配置时注意后缀 overload 关键字不能缺少。出接口配置 ip nat outside入接口配置 ip nat inside全局：access-list 1 permit全局：ip nat inside source list 1 interface g0/0/1 overload（公网出接口）四、动态四、动态+端口多路复用端口多路复用（常用）（常用）IP 地址的对应关系是 N 对 M，与 P

4、AT 类似，区别在于该类型有多个公网 IP，内网主机随机选择其中一个公网 IP，且每个公网 IP 允许多台内网主机同时使用，以随机分配的端口号区分。常用于有多个公网 IP 或双出口的情况。出接口配置 ip nat outside入接口配置 ip nat inside全局：access-list 1 permit全局：ip nat pool NatTest prefix-length 24全局：ip nat inside source list 1 pool NatTest overload（公网地址池）五、区域无关五、区域无关 NATNAT这个类型用得很少，相关资料也不多，以下介绍是从某博客复

5、制过来的：Domainless NAT 就是说不再区分 inside 和 outside，只是单纯地做 NAT，没有用所谓的平衡点，进而两个方向 NAT 的处理 HOOK 点也不再基于平衡点对称，所有的 NAT 操作全部在 PREROUTING 上做，它用一个叫做 NATVirtual Interface（NVI）的虚拟接口来实现，通过路由的方式将带有 ipnat enable 配置的接口进来的包全部导入这个虚拟接口 NVI0 中。然后用数据包的源地址和目标地址分别查询 SNAT 表和 DNAT 表，根据结果进行 NAT 操作，随后进入真正的路由查询，可见，不管方向，不管路由，只要数据包进入了

6、一块带有 ipnatenable 配置的物理网卡，就会先路由再 NAT 然后再路由（第一个路由只是匹配一下路由，而没有真正的路由行为，第二个路由则是真实的路由行为），不管是SNAT 和 DNAT 都在这里进行。数据包在进入真正的路由查询前，NAT 就已经完成了，在路由器看来，NAT 操作被藏起来了，就好像数据包本来就是那个样子一样。当然 Domainless 的 NAT 也不再和任何其它操作关联，ACL，VPN 感兴趣流匹配，policyrouting 等都和 NAT 无关。出接口配置 ip nat enable入接口配置 ip nat enable全局：access-list 1 permi

7、t全局：ip nat source list 1 interface g0/0/1 overload（注意source前没有inside）查看查看 NATNAT 规则状态：规则状态：show ip nat statistics rule查看查看 NATNAT 转换记录：转换记录：show ip nat translationsNATNAT 与与 PATPAT 的区别的区别：NATNAT（包括动态和静态）（包括动态和静态）的地址转换是指每个内网地址都被转换成 IP 地址+源端口的方式，这需要公网 IP 地址为多个,即有多少个内网 IP 访问互联网就需要多少个公网 IP 转换，内外端口号一致。PA

8、TPAT 可以节省公网 IP，公网 IP 地址不足时，就会出现内网地址被转换成 IP 地址+端口段的形式，即一个公网 IP 允许多个内网 IP 共同使用，以随机分配的端口号区分。举例如下：NATNAT：4444-：4444：5555-：5555：1233-：1233PATPAT：4444-：50003：5555-：50004：1233-：50005动态动态+端口多路复用端口多路复用：4444-：50003：5555-：50004：1233-：50004：1233-：50005ip nat inside sourceip nat inside source 与与 ip nat sourceip

9、nat source 的区别的区别：ip nat inside sourceip nat inside source：数据包由 inside 接口向 outside 接口发包时，是先路由再NAT 转换；而数据包由 outside 接口向 inside 接口发包时是先 NAT 转换再路由，数据包的发送方向不同，则处理过程也不同。ipip natnat sourcesource：做 NAT 转换时，在需要NAT 转换接口上使用的命令为 ip nat enable，数据包在由一个接口向另一个接口发包时，顺序是先路由再 NAT 然后再路由（第一个路由只是匹配一下路由，而没有真正的路由行为，第二个路由则是真实的路由行为），不管数据包从哪个接口发向哪个接口，处理过程都是一样的。