IPv4 NAT(含Cisco配置)
IPv4私有空间地址
类 | RFC 1918 内部地址范围 | 前缀 |
---|---|---|
A | 10.0.0.0 - 10.255.255.255 | 10.0.0.0/8 |
B | 172.16.0.0 - 172.31.255.255 | 172.16.0.0/12 |
C | 192.168.0.0 - 192.168.255.255 | 192.168.0.0/16 |
这些私有地址可在企业或站点内使用,允许设备进行本地通信。但是,由于这些地址并不代表任何公司或组织机构,因此私有IPv4地址不能在互联网上路由。为了使具有私有 IPv4 地址的设备能够访问本地网络之外的设备和资源,必须首先将私有地址转换为公有地址。
NAT 提供了私有地址到公有地址的转换,NAT的类型。这样做可以使拥有私有IPv4地址的设备可以访问私有网络外部的资源,比如互联网上的资源。
NAT的概念
NAT 有很多作用,但其主要作用是节省了公有 IPv4 地址。它通过允许网络在内部使用私有 IPv4地址,而只在需要时提供到公有地址的转换,从而实现这一作用。NAT还在一定程度上增加了网络的隐私性和安全性,因为它对外部网络隐藏了内部IPv4地址。
可以为启用 NAT 的路由器**配置一个或多个有效的公有 IPv4 地址。**这些公有地址称为 NAT 地址池。当内部设备将流量发送到网络外部时,启用 NAT 的路由器会将设备的内部 IPv4 地址转换为NAT 池中的一个公有地址。对外部设备而言,所有进出网络的流量好像都有一个取自所提供地址池中的公有 IPv4 地址。
NAT 路由器通常工作在末端网络边界。末节网络是指这一个或多个网络与它的邻居网络之间只有单条连接,网络流量只有单条路入、单条路出。在图中的示例中,R2 为边界路由器。对 ISP 来说,R2 构成末端网络。
当末端网络内的设备想要与其网络外部的设备通信时,会将数据包转发到边界路由器。边界路由器会执行 NAT 过程,将设备的内部私有地址转换为公有的外部可路由地址。
NAT术语
由于本文主要讲IPv4的NAT,“地址”一词如果没有特殊说明默认指IPv4地址。
- 内部本地地址:内部网络设备看到的源IPv4地址。
- 内部全局地址:网络外部看到的源IPv4地址。当发至外部的数据包经过NAT网关时,源IPv4地址会变成内部全局IPv4地址。
- 外部本地地址:外部设备看到的目的IPv4地址。这通常是分配给互联网主机的全局可路由地址。大多数情况,外部本地地址与外部全局地址是一样的。
- 外部全局地址:网络内部设备看到的目的IPv4地址。
在决定使用哪一种地址时,重要的是记住NAT术语始终是从具有转换后地址的设备的角度来应用的:
- 内部地址:经过NAT转换的设备IP地址
- 外部地址:目的设备的IP地址
关于地址,NAT还会使用全局或本地的概念:
- 本地地址:出现在网络内部的IP地址
- 全局地址:出现在网络外部的IP地址
静态NAT
静态NAT使用本地地址和全局地址一对一映射,由管理员进行配置,保持不变。
在图中,R2 上配置了 Svr1、PC2 和 PC3 的内部本地地址的静态映射。这些设备在向互联网发送流量时,它们的内部本地地址会转换为管理员配置的内部全局地址。对外部网络的设备而言,这些设备使用的是公有IPv4地址。
如果Web服务器或设备必须拥有固定的地址,以便能够让其他设备从互联网发起访问的话 比如公司的Web服务器),静态NAT就尤为有用。
静态NAT也适用于这种情况:只有拥有授权的人员才能够从互联网对设备进行访问,发起访问的并不是互联网上一般的公有设备。举例来说,网络管理员可以从PC4上使用SSH来访问SRV1的内部全局地址 209.165.200.226)。R2会把这个内部全局地址转换为内部本地地址192.168.10.10,然后把会话连接到SRV1。
为了满足所有同时发生的用户会话需要,静态 NAT 要求有足够的公有地址可用。
动态NAT
动态 NAT 使用公有地址池,并以先到先得的原则分配这些地址。内部设备请求访问外部网络时,动态 NAT 分配该池中的可用公共 IPv4 地址。
如图所示,PC3使用的是动态NAT池中第5个可用地址连接的互联网。而其他地址仍可供使用。与静态 NAT 类似,为了满足所有同时发生的用户会话需要,动态 NAT 要求有足够的公有地址可用。
端口地址转换
PAT
端口地址转换(PAT),也称为NAT过载,可以可以将多个地址映射到一个或少数几个地址,因为每个私有地址也会用端口号加以跟踪。当设备发起 TCP/IP 会话时,它会生成一个 TCP 或 UDP源端口号,或专门为 ICMP 分配的查询 ID,用来唯一地标识这个会话。当 NAT 路由器收到来自客户端的数据包时,将使用其源端口号来唯一确定特定的 NAT 转换。
当 R2 处理各数据包时,它使用端口号 本例中为 1331 和 1555)来识别发起数据包的设备。
源地址( SA)为内部本地地址,再加上TCP/UDP分配的端口号。目的地址 (DA)为外部全局地址,再加上服务器端口号。在本示例中,HTTP 服务端口为 80。
对于源地址,R2会将内部本地地址转换为内部全局地址,并添加端口号。
当Web服务器回复的时候,路径相反。
下一可用端口
上图中,启用NAT的路由器上客户端的端口号没有改变,这种情况不太常见。因为这些端口可能被其他服务所占用。
PAT会尝试保留原始的源端口,但是端口若被占用,PAT就会从相应的端口组(0-511、512-1023或1024-65535)中分配第一个可用的端口号。
如果地址池外部地址多于一个,则PAT会进入下一地址并尝试重新分配原始端口号。
不包含传输层数据段的数据包
如果IPv4数据包不包含传输层数据段,这些数据包将不包含传输层端口号。PAT 可以转换 IPv4 承载的大多数常用协议,这些协议不会将 TCP 或 UDP 用作传输层协议。其中最常见的一种就是 ICMPv4。
对于每种类型的协议,PAT 会以不同方式进行处理。例如,ICMPv4 查询消息、响应请求和响应应答会包含一个查询 ID。ICMPv4 使用查询 ID 来识别响应请求及其相应的响应应答。每发送一个响应请求,查询 ID 都会增加。PAT 将会使用查询 ID 而不是传输层端口号。
Cisco配置命令
静态NAT配置
以上图为例,内部网络中包含一台Web服务器,它使用了私有IPv4地址。路由器R2上配置了静态NAT,允许外部网络上的设备能够访问这台Web服务器。外部网络中的客户端使用公网IPv4访问Web服务器。
首先,建立内部本地地址与内部全局地址的映射关系。我们使用下面的命令,在R2上将192.168.10.254
这个内部本地地址映射到209.165.201.5
上。
R2(config)# ip nat inside source static 192.168.10.254 209.165.201.5
接下来,将参与转换的接口配置为内部或外部接口(对于NAT而言)。上图中的R2的S0/1/0
就是内部接口,而S0/1/1
为外部接口。
R2(config)# interface serial 0/1/0
R2(config-if)# ip address 192.168.1.2 255.255.255.252
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial 0/1/1
R2(config-if)# ip address 209.165.200.1 255.255.255.252
R2(config-if)# ip nat outside
在PC上访问Web服务器资源,其过程如下图所示:
此外,我们可以在R2路由器上特权模式下使用命令,来显示活动的NAT转换。
R2# show ip nat translations
由于该示例是静态NAT配置,因此无论是何种配置,转换都会在NAT表里
Pro Inside global Inside local Outside local Outside global
--- 209.165.201.5 192.168.10.254 --- ---
Total number of translations: 1
如果在活跃会话过程中执行了上述命令,命令输出中就会显示外部设备的地址:
Pro Inside global Inside local Outside local Outside global
tcp 209.165.201.5 192.168.10.254 209.165.200.254 209.165.200.254
--- 209.165.201.5 192.168.10.254 --- ---
Total number of translations: 2
如果想要查看活动转换总数、NAT配置参数、地址池地址数量、已分配地址数量,可用以下命令:
R2# show ip nat statistics
动态NAT
图中描述了一对一的 NAT 转换。内部网络中有两台 PC 连接到路由器 R1,两台 PC 分别位于192.168.10.0/24
和192.168.11.0/24
网络中。其中一台PC的IP地址是192.168.10.10
,另一台PC的IP地址是192.168.11.10
。R1通过S0/1/0接口连接路由器R2。R2通过S0/1/1接口连接互联网,互联网上有一台服务器IP地址为209.165.200.254
。R2通过动态NAT来实现内部网络和外部网络之间的转换。
这个公有 IPv4 地址池(内部全局地址池)根据先到先得的原则,分配这些地址给内部网络中的任何设备。
使用动态 NAT 时,单个内部地址将转换为单个外部地址。在使用这种类型的转换时,地址池中必须有足够的地址,才能满足所有内部设备访问外部网络的需求。如果地址池中的所有地址都被使用了,其他设备必须等到有可用地址时,才能访问外部网络。
注意:在公有和私有IPv4地址之间执行转换,是当前NAT最常见的用途。不过,我们也可以使用NAT在任意一对IPv4地址之间执行转换。
首先,定义用于转换的地址池。该地址池通常是一组公有地址。这些地址是通过指明池中的起始 IPv4 地址和结束 IPv4 地址而定义的。netmask 或 prefix-length 关键字指示出哪些地址位属于网络部分,哪些地址位属于这个地址范围中的主机部分。
R2(config)# ip nat pool NAT-POOL1 209.165.200.226 209.165.200.240 netmask
255.255.255.224
然后配置一个标准 ACL,用于仅标识(允许)那些将要进行转换的地址。范围太宽的 ACL 可能会导致意料之外的后果。要记住在每个ACL的末尾都有一条隐式 deny all 语句。
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
把ACL绑定到地址池:
R2(config-if)# ip nat inside source list 1 pool NAT-POOL1
指定NAT转换接口
R2(config)# interface serial 0/1/0
R2(config-if)# ip nat inside
R2(config)# interface serial 0/1/1
R2(config-if)# ip nat outside
PAT
单个PAT
要在配置PAT时只使用单个IPv4地址,只需要把关键字 overload 添加到ip nat inside source
命令中即可。其他配置与静态或动态NAT配置类似,只是在PAT配置中,多台主机可以使用相同的公有IPv4地址来访问互联网。
在本例中,网络192.168.0.0/16
中的所有主机(匹配ACL 1)在通过路由器R2向互联网发送流量时,数据包的源地址会被转换为IPv4地址209.165.200.225
(S0/1/1接口的IPv4地址)。由于配置了 overload 关键字,路由器会使用NAT表中的端口号来识别通信流量。
R2(config)# ip nat inside source list 1 interface serial 0/1/1 overload
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface Serial0/1/1
R2(config-if)# ip nat outside
配置PAT来使用地址池
ISP 可以向组织机构分配多个公有 IPv4 地址。在这种场景中,组织机构可以配置PAT来使用一个IPv4公有地址池进行转换。如果某个站点发出了多个公有 IPv4 地址,这些地址可能是 PAT 使用的地址池的一部分。如果让较多的设备共享一个较小的地址池,那么就会有多台设备使用相同的公有IPv4地址访问互联网。要在配置PAT时使用动态NAT地址池,只需要把关键字 overload 添加到ip nat inside source
命令中即可。
在本例中,NAT-POOL2中绑定了一个ACL,其中限定了要转换的地址是192.168.0.0/16
。因为命令中使用关键字 overload 启用了PAT,因此这些主机可以共享地址池中的IPv4地址。
R2(config)# ip nat pool NAT-POOL2 209.165.200.226 209.165.200.240 netmask
255.255.255.224
R2(config)# access-list 1 permit 192.168.0.0 0.0.255.255
R2(config)# ip nat inside source list 1 pool NAT-POOL2 overload
R2(config)#
R2(config)# interface serial0/1/0
R2(config-if)# ip nat inside
R2(config-if)# exit
R2(config)# interface serial0/1/1
R2(config-if)# ip nat outside
关于IPv6的NAT简要说明
由于很多网络同时使用了IPv4和IPv6,因此需要有一种方法能够在IPv6环境中使用NAT。在 IPv6环境中集成 NAT。具有 128 位地址的 IPv6 可以提供 340 涧 10 的 36 次方)个地址。因此,不会出现地址空间耗尽问题。IPv6的开发初衷,就是为了免除公有和私有IPv4地址之间的IPv4 NAT转换。但IPv6中也确实有自己的IPv6私有地址空间,也就是唯一本地地址 ULA)。
IPv6中的唯一本地地址 ULA)与RFC 1918规范中的IPv4私有地址类似,但它们的用途不同。ULA地址只用于一个站点内部的本地通信。ULA地址并没有提供额外的IPv6地址空间,也没有提供安全性。
IPv6在IPv4和IPv6之间提供的协议转换称为NAT64。
用于 IPv6 的 NAT 与用于 IPv4 的 NAT 使用背景大不相同。用于IPv6的NAT是为了在纯IPv6和纯IPv4网络之间提供透明传输,如图所示。而不是用作一种私有 IPv6 到全局 IPv6 的转换。
图中描述了 NAT64 或 IPv6 NAT 转换。名为NAT64的路由器连接着IPv4互联网、IPv6互联网和纯IPv6网络。原生的IPv6流量显示在IPv6网络中,NAT64转换后的流量显示在IPv4网络中。
理想情况下,只要有可能,IPv6 就应当在本地运行。这意味着 IPv6 设备将通过 IPv6 网络相互通信。但是,为了帮助实现从 IPv4 到 IPv6 的转移,IETF 已经开发了多项过渡技术以满足各种IPv4 到 IPv6 的转移情景,包括双堆栈、隧道和转换。
双栈是指设备上同时运行与IPv4和IPv6相关联的协议。IPV6 隧道是指将 IPv6 数据包封装到IPv4 数据包中的过程。这将使 IPv6 数据包能够通过仅支持 IPv4 的网络传输。
我们不应该把IPv6 NAT作为一种长期策略使用,但它可以作为临时机制来协助从IPv4到IPv6的迁移。多年来,已经开发了多个用于 IPv6 的 NAT 的类型,包括网络地址转换-协议转换 (NAT-PT)。
IETF 已弃用 NAT-PT,开始倾向于其替代者 NAT64。