今天我們將學習PAT(連接埠位址轉換),一種使用連接埠轉換IP位址的技術,以及NAT(網路位址轉換),一種用於轉換中轉封包的IP位址的技術。 PAT 是 NAT 的一個特例。 我們將討論三個主題:
— 私有或內部(內部網路、本機)IP 位址和公有或外部 IP 位址;
- NAT 和 PAT;
— NAT/PAT 配置。
讓我們從內部私有 IP 位址開始。 我們知道它們分為三類:A、B、C。
內部A類位址佔用10.0.0.0到10.255.255.255的十位元範圍,外部位址佔用1.0.0.0到9和255.255.255到11.0.0.0的範圍。
內部B類位址的範圍為172.16.0.0至172.31.255.255,外部位址的範圍為128.0.0.0至172.15.255.255和172.32.0.0至191.255.255.255。
內部C類位址的範圍為192.168.0.0至192.168.255.255,外部位址的範圍為192.0.0至192.167.255.255和192.169.0.0至223.255.255.255。
A 類位址為 /8,B 類位址為 /12,C 類位址為 /16。 因此,不同類別的外部和內部IP位址佔據不同的範圍。
我們已經多次討論了私人 IP 位址和公用 IP 位址之間的差異。 一般來說,如果我們有一個路由器和一組內部IP位址,當它們嘗試存取網際網路時,路由器會將它們轉換為外部IP位址。 內部位址僅在本地網路上使用,而不在互聯網上使用。
如果我使用命令列查看電腦的網路參數,我將看到我的內部 LAN IP 位址 192.168.1.103。
為了找出您的公用 IP 位址,您可以使用諸如「我的 IP 是什麼?」之類的網路服務。 如您所見,電腦的外部位址 78.100.196.163 與其內部位址不同。
在所有情況下,我的電腦透過其外部 IP 位址在 Internet 上都是可見的。 所以,我的電腦的內部位址是192.168.1.103,外部位址是78.100.196.163。 內部地址僅用於本地通信,您無法使用它訪問互聯網,為此您需要一個公共 IP 位址。 透過查看第 3 天的影片教程,您可以記住為什麼要劃分私人地址和公共地址。
我們先來看看什麼是NAT。 NAT 分為三種:靜態、動態和「過載」NAT(或 PAT)。
Cisco 有 4 個術語來描述 NAT。 正如我所說,NAT 是一種將內部位址轉換為外部位址的機制。 如果連接到網路的裝置收到來自本地網路上另一個裝置的資料包,它將簡單地丟棄該資料包,因為內部位址格式與全球網路上使用的位址格式不符。 因此,設備必須獲得公網IP位址才能存取Internet。
因此,第一個術語是“內部本地”,表示內部本地網路上主機的 IP 位址。 簡單來說,這是類型 192.168.1.10 的主要來源位址。 第二個術語「內部全域」是在外部網路上可見的本機的 IP 位址。 在我們的例子中,這是路由器外部連接埠的 IP 位址 200.124.22.10。
可以說Inside Local是私有IP位址,Inside Global是公有IP位址。 請記住,術語「內部」是指流量的來源,「外部」是指流量的目的地。 Outside Local 是外部網路上的主機的 IP 位址,在該位址下對內部網路是可見的。 簡單來說,這是從內部網路可見的收件者位址。 此類位址的範例是位於 Internet 上的裝置的 IP 位址 200.124.22.100。
外部全域是外部網路上可見的主機 IP 位址。 在大多數情況下,外部本機位址和外部全域位址看起來相同,因為即使在轉換之後,目標 IP 位址對於來源來說仍是可見的,就像轉換之前一樣。
我們先來看看什麼是靜態NAT。 靜態 NAT 是指內部 IP 位址到外部 IP 位址的一對一轉換,或一對一轉換。 當裝置向 Internet 傳送流量時,其內部本機位址將轉換為內部全域位址。
我們的本地網路上有 3 台設備,當它們上線時,每台設備都會獲得自己的內部全域位址。 這些位址被靜態分配給流量來源。 一對一原則意味著如果本地網路上有 100 個設備,它們會收到 100 個外部位址。
NAT 的誕生是為了拯救公共 IP 位址耗盡的網路。 借助NAT,許多公司和許多網路可以擁有一個公共的外部IP位址,設備在存取Internet時將本地位址轉換為該位址。 您可以說,在靜態 NAT 的情況下,不會節省位址數量,因為一百個本機電腦被分配了一百個外部位址,您是絕對正確的。 然而,靜態 NAT 仍然具有許多優點。
例如,我們有一台內部IP位址為192.168.1.100的伺服器。 如果網路上的任何裝置想要聯繫它,則無法使用內部目標位址進行聯繫,為此它需要使用外部伺服器位址 200.124.22.3。 如果您的路由器配置了靜態 NAT,則所有尋址到 200.124.22.3 的流量都會自動轉送到 192.168.1.100。 這提供了對本地網路設備的外部訪問,在本例中是公司的 Web 伺服器,這在某些情況下可能是必要的。
讓我們考慮一下動態 NAT。 它與靜態非常相似,但不會為每個本地設備分配永久的外部位址。 例如,我們有 3 個本地設備,只有 2 個外部位址。 如果第二台裝置想要存取互聯網,它將被指派第一個空閒IP位址。 如果網路伺服器想要在其之後存取互聯網,路由器將為其分配第二個可用的外部位址。 如果此後第一台設備想要連接到外部網絡,則它將沒有可用的 IP 位址,路由器將丟棄其封包。
我們可能有數百台具有內部IP位址的設備,每台設備都可以存取網際網路。 但由於我們沒有靜態分配的外部位址,因此一百台裝置中無法同時存取網際網路的裝置不會超過 2 台,因為我們只有兩個動態分配的外部位址。
Cisco設備有固定的位址轉換時間,預設為24小時。 它可以更改為 1,2,3、10、XNUMX、XNUMX 分鐘,任何您喜歡的時間。 過了這個時間,外部位址就會被釋放並自動回到位址池中。 如果此時第一台裝置想要存取網際網路並且有任何外部位址可用,那麼它將接收該位址。 路由器包含動態更新的 NAT 表,並且在轉換時間到期之前,指派的位址將由裝置保留。 簡而言之,動態 NAT 的工作原理是「先到先得」。
讓我們看看什麼是過載 NAT(PAT)。 這是最常見的 NAT 類型。 您的家庭網路上可能有許多裝置 - PC、智慧型手機、筆記型電腦、平板電腦,它們都連接到具有一個外部 IP 位址的路由器。 因此,PAT 允許多個具有內部 IP 位址的裝置在一個外部 IP 位址下同時存取 Internet。 這是可能的,因為每個私人內部 IP 位址在通訊會話期間都會使用特定的連接埠號碼。
假設我們有一個公共位址 200.124.22.1 和許多本地設備。 因此,當訪問互聯網時,所有這些主機都會收到相同的位址200.124.22.1。 唯一區分它們的是連接埠號碼。
如果您還記得傳輸層的討論,您就會知道傳輸層包含連接埠號,來源連接埠號碼是隨機數。
假設外網有一台IP位址為200.124.22.10的主機,它連接到Internet。 如果電腦 192.168.1.11 要與電腦 200.124.22.10 通信,它將建立一個隨機來源連接埠 51772。在這種情況下,外網電腦的目標連接埠將為 80。
當路由器收到發送到外部網路的本機電腦封包時,它會將其內部本機位址轉換為內部全域位址 200.124.22.1,並指派連接埠號 23556。該封包將到達電腦 200.124.22.10,且必須依據握手過程發迴響應,在這種情況下,目的地將是位址200.124.22.1和連接埠23556。
路由器有一個NAT轉換表,所以當它收到外部電腦發送的封包時,它會確定內部全域位址對應的內部本機位址為192.168.1.11:51772,並將封包轉送給它。 此後,兩台電腦之間的連接就可以認為建立了。
同時,您可能有一百台設備使用相同的位址 200.124.22.1 進行通信,但連接埠號碼不同,因此它們都可以同時存取互聯網。 這就是 PAT 如此流行的廣播方法的原因。
讓我們看看設定靜態 NAT。 對於任何網絡,首先需要確定輸入和輸出介面。 圖中所示為一台路由器,流量從連接埠G0/0傳輸到連接埠G0/1,即從內部網路到外部網路。 所以我們有一個輸入介面 192.168.1.1 和一個輸出介面 200.124.22.1。
要設定 NAT,我們轉到 G0/0 介面並設定參數 ip addres 192.168.1.1 255.255.255.0 並使用 ip nat inside 指令指示該介面是輸入介面。
同樣的,我們在輸出介面G0/1上設定NAT,指定ip位址200.124.22.1,子網路遮罩255.255.255.0,ip nat Outside。 請記住,動態 NAT 轉換始終是從輸入到輸出介面、從內部到外部執行的。 當然,對於動態NAT,回應是透過輸出介面到達輸入介面的,但是當發起流量時,觸發的是in-out方向。 在靜態 NAT 的情況下,流量啟動可以發生在任一方向 - 輸入-輸出或輸出-輸入。
接下來,我們需要建立一個靜態 NAT 表,其中每個本地位址對應一個單獨的全域位址。 在我們的例子中,有 3 個設備,因此該表將包含 3 筆記錄,它們表示來源的內部本地 IP 位址,該位址將轉換為內部全域位址:ip nat inside static 192.168.1.10 200.124.22.1。
因此,在靜態 NAT 中,您需要手動為每個本機主機位址編寫轉換。 現在我將進入 Packet Tracer 並進行上述設定。
在頂部,我們有伺服器 192.168.1.100,下面是電腦 192.168.1.10,最底部是電腦 192.168.1.11。 Router0的G0/0埠的IP位址為192.168.1.1,G0/1埠的IP位址為200.124.22.1。 在代表互聯網的「雲」中,我放置了 Router1,並為其分配了 IP 位址 200.124.22.10。
我進入 Router1 的設定並輸入命令 debug ip icmp。 現在,一旦 ping 到達該設備,設定視窗中就會出現一條偵錯訊息,顯示封包的內容。
讓我們開始設定 Router0 路由器。 我進入全域設定模式並呼叫 G0/0 介面。 接下來,我輸入 ip nat inside 命令,然後轉到 g0/1 介面並輸入 ip nat Outside 命令。 這樣我就分配了路由器的輸入和輸出介面。 現在我需要手動設定IP位址,即將上表中的行轉移到設定中:
IP nat 內部來源靜態 192.168.1.10 200.124.22.1
IP nat 內部來源靜態 192.168.1.11 200.124.22.2
IP nat 內部來源靜態 192.168.1.100 200.124.22.3
現在,我將從每台裝置 ping Router1 並查看它收到的 ping 顯示的 IP 位址。 為此,我將 R1 路由器的開啟 CLI 視窗放置在螢幕右側,以便可以看到偵錯訊息。 現在我進入 PC0 命令列終端機並 ping 位址 200.124.22.10。 此後,視窗中會出現一則訊息,表示已從 IP 位址 200.124.22.1 收到 ping。 這表示本機的 IP 位址 192.168.1.10 已轉換為全域位址 200.124.22.1。
我對下一臺本機電腦執行相同的操作,發現其位址已轉換為 200.124.22.2。 然後我 ping 伺服器並看到位址 200.124.22.3。
這樣,當來自本地網路設備的流量到達配置了靜態NAT的路由器時,路由器會根據該表將本地IP位址轉換為全域IP位址,並將流量傳送到外部網路。 為了檢查 NAT 表,我輸入了 show ip nat Translations 指令。
現在我們可以查看路由器所做的所有轉換。 第一列Inside Global位址包含廣播前裝置的位址,即裝置在外部網路中可見的位址,後方是Inside Local位址,也就是裝置在本機網路上的位址。 第三列顯示外部本機位址,第四列顯示外部全域位址,兩者相同,因為我們沒有轉換目標 IP 位址。 正如您所看到的,幾秒鐘後該表被清除,因為 Packet Tracer 設定了較短的 ping 逾時。
我可以從路由器 R1 ping 位於 200.124.22.3 的伺服器,如果我返回到路由器設置,我可以看到該表再次填充了四個 ping 行,其中包含轉換後的目標位址 192.168.1.100。
正如我所說,即使觸發了轉換逾時,當從外部來源發起流量時,NAT 機制也會自動啟動。 只有當使用靜態 NAT 時才會發生這種情況。
現在讓我們看看動態 NAT 是如何運作的。 在我們的範例中,三個本機網路裝置有 2 個公用位址,但可能有數十或數百個此類私人主機。 同時,只能有2台設備同時上網。 此外,我們也考慮一下靜態 NAT 和動態 NAT 之間的差異。
和前面的情況一樣,首先需要確定路由器的輸入和輸出介面。 接下來,我們建立一個訪問列表,但這與我們在上一課中討論的 ACL 不同。 此存取清單用於識別我們想要轉換的流量。 這裡出現了一個新詞“有趣的流量”或“有趣的流量”。 這是您出於某種原因感興趣的流量,當該流量與存取清單的條件相符時,它將進入 NAT 並進行轉換。 該術語適用於許多情況下的流量,例如,對於 VPN,「感興趣」是指將通過 VPN 隧道的流量。
我們必須建立一個 ACL 來識別感興趣的流量,在我們的例子中,這是整個 192.168.1.0 網路的流量,並指定返回遮罩 0.0.0.255。
然後我們必須建立一個 NAT 池,為此我們使用命令 ip nat pool <pool name> 並指定 IP 位址池 200.124.22.1 200.124.22.2。 這意味著我們只提供兩個外部 IP 位址。 接下來,指令使用 netmask 關鍵字並輸入子網路遮罩 255.255.255.252。 遮罩的最後一個八位元組是(255 - 池位址數 - 1),因此如果池中有 254 個位址,則子網路遮罩將為 255.255.255.0。 這是一個非常重要的設置,因此在設置動態 NAT 時請務必輸入正確的網路遮罩值。
接下來我們使用啟動 NAT 機制的指令:ip nat inside source list 1 pool NWKING,其中 NWKING 是池的名稱,list 1 表示 ACL 編號 1。 請記住 - 為了使該命令起作用,您必須先建立動態位址池和存取清單。
因此,在我們的條件下,想要存取互聯網的第一個設備將能夠執行此操作,第二個設備將能夠執行此操作,但第三個設備將必須等到其中一個池地址空閒為止。 設定動態 NAT 包括 4 個步驟:確定輸入和輸出介面、識別「感興趣」的流量、建立 NAT 池和實際配置。
現在我們將繼續使用 Packet Tracer 並嘗試設定動態 NAT。 首先,我們必須刪除靜態 NAT 設置,為此我們按順序輸入命令:
沒有 IP nat 內部來源靜態 192.168.1.10 200.124.22.1
沒有 IP nat 內部來源靜態 192.168.1.11 200.124.22.2
沒有 Ip nat 內部源靜態 192.168.1.100 200.124.22.3。
接下來,我使用指令 access-list 1 Permit 1 192.168.1.0 建立整個網路的存取清單 List 0.0.0.255,並使用指令 ip nat pool NWKING 200.124.22.1 200.124.22.2k 在此命令中,我指定了池的名稱、其中包含的位址以及網路遮罩。
然後我指定它是哪個 NAT - 內部還是外部,以及 NAT 應該從中獲取資訊的來源,在我們的例子中是列表,使用命令 ip nat inside source list 1。此後,系統將提示您是否需要整個池或特定的接口。 我選擇池是因為我們有超過 1 個外部位址。 如果選擇接口,則需要指定具有特定 IP 位址的連接埠。 最後指令如下:ip nat inside source list 1 pool NWKING。 目前,該池由兩個位址 200.124.22.1 200.124.22.2 組成,但您可以自由更改它們或新增與特定介面無關的新位址。
您必須確保更新路由表,以便池中的任何 IP 位址都必須路由到該設備,否則您將不會收到回傳流量。 為了確保設定正常運作,我們將重複對雲端路由器執行 ping 操作的過程,這與靜態 NAT 的操作相同。 我將打開路由器 1 的窗口,以便可以看到調試模式訊息並從 3 個設備中的每個設備對其進行 ping 操作。
我們看到 ping 封包來自的所有來源位址都與設定相對應。 同時,從電腦 PC0 執行 ping 操作也不起作用,因為它沒有足夠的空閒外部位址。 如果進入路由器 1 的設置,您可以看到池位址 200.124.22.1 和 200.124.22.2 目前正在使用。 現在我把廣播關掉,你就會看到台詞是如何一一消失的。 我再次 ping PC0,如您所見,現在一切正常,因為它能夠獲取免費的外部位址 200.124.22.1。
如何清除 NAT 表並撤銷給定的位址轉換? 前往 Router0 路由器的設定並鍵入命令clear ip nat conversion *,並在行末尾加上星號。 如果我們現在使用 show ip nat Translation 指令查看轉換狀態,系統將給我們一個空白行。
要查看 NAT 統計信息,請使用 show ip nat stats 命令。
這是一個非常有用的命令,可讓您找出動態、靜態和進階 NAT/PAT 轉換的總數。 可以看到它是0,因為我們用上一條指令清除了廣播資料。 這顯示輸入和輸出介面、成功和不成功的命中和未命中轉換的次數(失敗的次數是由於內部主機缺少可用的外部位址)、存取清單和池的名稱。
現在我們將繼續討論最受歡迎的 IP 位址轉換類型 - 高級 NAT 或 PAT。 要設定 PAT,您需要遵循與設定動態 NAT 相同的步驟:確定路由器的輸入和輸出介面、識別「感興趣」流量、建立 NAT 池並設定 PAT。 我們可以像前一種情況一樣建立相同的多個位址池,但這不是必需的,因為 PAT 始終使用相同的外部位址。 配置動態 NAT 和 PAT 之間的唯一差異是結束最後一個設定指令的 override 關鍵字。 輸入該字後,動態NAT自動轉為PAT。
此外,您僅使用 NWKING 池中的一個位址(例如 200.124.22.1),但將其指定兩次為起始和結束外部位址,網路遮罩為 255.255.255.0。 透過使用來源介面參數和 G1/200.124.22.1 介面的固定位址 200.124.22.1,而不是使用 ip nat 255.255.255.0 pool NWKING 200.124.22.1 0 netmask 1 行,可以更輕鬆地完成此操作。 這樣的話,所有存取網際網路的本地位址都會被轉換為這個IP位址。
您也可以使用池中的任何其他 IP 位址,該位址不一定對應於特定的實體介面。 但是,在這種情況下,您必須確保網路上的所有路由器都可以將返回流量轉送到您選擇的裝置。 NAT的缺點是它不能用於端對端尋址,因為當傳回封包返回到本機裝置時,其動態NAT IP位址可能有時間變更。 也就是說,您必須確保所選 IP 位址在整個通訊會話期間保持可用。
讓我們透過 Packet Tracer 來看看。 首先,我必須使用指令 no Ip nat inside source list 1 NWKING 刪除動態 NAT,並使用指令 no Ip nat pool NWKING 200.124.22.1 200.124.22.2 netmask 225.255.255.252 移除 NAT 池。
然後我必須使用指令 Ip nat pool NWKING 200.124.22.2 200.124.22.2 netmask 225.255.255.255 建立 PAT 池。 這次我使用的 IP 位址不屬於實體設備,因為實體設備的位址為 200.124.22.1,而我想使用 200.124.22.2。 在我們的例子中它是有效的,因為我們有一個本地網路。
接下來,我使用來源清單 1 池 NWKING 過載內的命令 Ip nat 來設定 PAT。 輸入此指令後,PAT 位址轉換被啟動。 為了檢查設定是否正確,我轉到我們的裝置、伺服器和兩台計算機,並從電腦 ping PC0 Router1(位址為 200.124.22.10)。 在路由器設定視窗中,您可以看到偵錯行,顯示 ping 的來源正如我們所料,是 IP 位址 200.124.22.2。 電腦 PC1 和伺服器 Server0 傳送的 ping 來自相同位址。
讓我們看看 Router0 的轉換表中發生了什麼。 您可以看到所有轉換均成功,每個設備都分配了自己的端口,並且所有本地位址都透過池 IP 位址 1 與 Router200.124.22.2 關聯。
我使用 show ip nat stats 命令來查看 PAT 統計資料。
我們看到轉換或地址轉換的總數是12,我們看到池的特徵和其他資訊。
現在我將做其他事情 - 我將在來源清單 1 介面千兆位元乙太網路 g0/1 過載中輸入命令 Ip nat。 如果然後從 PC0 ping 路由器,您將看到封包來自位址 200.124.22.1,即來自實體介面! 這是一種更簡單的方法:如果您不想建立池(這在使用家庭路由器時最常發生),那麼您可以使用路由器實體介面的 IP 位址作為外部 NAT 位址。 這是公共網路的私有主機位址最常被轉換的方式。
今天我們學了一個非常重要的主題,所以你需要練習一下。 使用 Packet Tracer 測試您針對實際 NAT 和 PAT 設定問題的理論知識。 我們已經結束了 ICND1 主題(CCNA 課程的第一次考試)的學習,因此我可能會在下一個視訊課程中總結結果。
感謝您與我們在一起。 你喜歡我們的文章嗎? 想看更多有趣的內容? 通過下訂單或推薦給朋友來支持我們, 在我們為您發明的獨特的入門級服務器模擬上,Habr 用戶可享受 30% 的折扣: (適用於 RAID1 和 RAID10,最多 24 個內核和最多 40GB DDR4)。
戴爾R730xd便宜2倍? 只有這裡 在荷蘭! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 美元起! 閱讀
來源: www.habr.com