Chinaunix首页 | 论坛 | 博客
  • 博客访问: 778745
  • 博文数量: 230
  • 博客积分: 6330
  • 博客等级: 准将
  • 技术积分: 2188
  • 用 户 组: 普通用户
  • 注册时间: 2009-07-10 15:55
个人简介

脚踏实地

文章分类

全部博文(230)

文章存档

2017年(1)

2016年(7)

2015年(10)

2014年(32)

2013年(24)

2012年(33)

2011年(50)

2010年(30)

2009年(43)

分类: 网络与安全

2009-11-29 20:47:13

 经历: 查看物理机上的VMware Network Adapter VMnet8”和“VMware Network Adapter VMnet1,两个虚拟网卡的IP都是指定的。不是我指定的,是VM指定的。
 
NAT属于接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术
    
1. 概要
1.1 引入原因很简单
1. 不仅完美地解决了lP地址不足的问题,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。
2. 而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。 

1.2 应用在哪些设备
虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,
很多时候都是在路由器上来实现的

1.3 对于其他模块的影响
1. Ip地址校验

NAT将自动修改IP报文的源IP地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。
2. 有些应用程序将源IP地址嵌入到IP报文的数据
所以还需要同时对报文进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。

--受到NAT影响的应用程序
一些高层协议(比如FTP,Quake,SIP)是在IP包的有效数据内发送网络层(第三层)信息的。比如,主动模式的FTP使用单独的端口分别来控制命令传输和数据传输。当请求一个文件传输时,主机在发送请求的同时也通知对方自己想要在哪个端口接受数据。但是,如果主机是在一个简单的NAT防火墙后发送的请求,那么由于端口的映射将会使对方接收到的信息无效。
---------解决方案
-----------------一个应用层网关(Application Layer Gateway或ALG)可以修正这个问题。运行在NAT防火墙设备上的ALG软件模块可以更新任何由地址转换而导致无效的信息。显然,ALG需要明白它所要修正的上层协议,所以每个有这种问题的协议都需要有一个单独的ALG。但是,除FTP外的大多数传统的客户机-服务器协议不需要发送网络层(第三层)信息,也就不需要ALG。
  
-----------------使用象STUN这样的技术,但是这只针对建立在UDP上的高层协议,并且需要它内建这种技术。这种技术对对称NAT也是无效的
-----------------UPnP,但它需要和NAT设备配合起来使用。

2.NAT实现方式

  NAT的实现方式有三种,即静态转换Static Nat动态转换Dynamic Nat 端口多路复用
  静态转换是指将内部网络的私有IP地址转换为公有IP地址,IP地址对是一对一的,是一成不变的,某个私有IP地址只转换为某个公有IP地址。借助于静态转换,可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。
  动态转换是指将内部网络的私有IP地址转换为公用IP地址时,IP地址是不确定的,是随机的,所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法IP地址。也就是说,只要指定哪些内部地址可以进行转换,以及用哪些合法地址作为外部地址时,就可以进行动态转换。动态转换可以使用多个合法外部地址集。当ISP提供的合法IP地址略少于网络内部的计算机数量时。可以采用动态转换的方式。
  端口多路复用(Port address Translation,PAT)是指改变外出数据包的源端口并进行端口转换,即端口地址转换(PAT,Port Address Translation).采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问,从而可以最大限度地节约IP地址资源。同时,又可隐藏网络内部的所有主机,有效避免来自internet的攻击。
        因此,
目前网络中应用最多的就是端口多路复用方式。

3. IP转换策略

在端口多路复用技术中,对数据的处理还分这么两类:锥形NAT与对称型NAT.锥形NAT又分完全锥形NAT[FULL CONE]|受限锥形NAT[RESTRICTED CONE]|端口受限锥形NAT[PORT RESTRICTED CONE].

全完锥形NAT: 将来自内部同一个IP地址同一个端口号的主机监听/请求,映射到公网IP某个端口的监听.任意外部IP地址与端口对其自己公网的IP这个映射后的端口访问,都将重新定位到内部这个主机.个人认为在内部发布服务器到外网,此技术原理完全符合,当然某些 P2P中也可能利用该技术.该技术中,基于C/S架构的应用可以在任何一端发起连接

受限锥形NAT:与 完全NAT不同的是,在公网映射端口后,并不允许所有IP进行对于该端口的访问,要想通信必需内部主机对某个外部IP主机发起过连接,然后这个外部IP主 机就可以与该内部主机通信了.但端口不做限制.如出站源IP为A端口为B,对于外部IP回复,宿IP为A宿端口可以是任意.NAPT设备都将成功转发到内 部主机.NAPT设备根据映射记录做出判断.该技术中只能内部主机先发起连接通信才可成功

端口受限锥形NAT:该技术与受限锥形NAT相比更为严格.除具有受限锥形NAT特性.对于回复主机的源端口也有要求.哪我用端口B访问你,对于外部主机的回复信宿端口也只能是B.否折通信失败.该技术中只能内部主机先发起连接通信才可成功.

对称型NAT:内部主机用同一IP与同一端口与外部多IP通信.NAPT设备为每个会话转换了不同的源端口.不在转换成相同的源端口.对于回复的数据包,只有信宿IP地址与端口完全吻合才可进入.当然源IP也是要检测的,不可能随意外部IP都能进入的.


4.一个很好的例子:
内网主机通过NAT ping外网主机,返回的数据包是如何正确到达内网主机的?
icmp协议里面唯一一个可以用于区分包归属的字段就是identify了,你的代码里面把它填了一个pid进去,这样就可以让主机知道包属于哪个进程处理。 

问题是,当icmp报文通过nat的时候,nat是如何转换该报文再发出,并将收到的reply报文准确投递回该主机呢?我们知道icmp协议是主机与主机间的通信,没有port字段,那么还是只能在identify上做文章了。如果是我来设计这个nat的icmp包处理,我一定会把request报文源ip拿出来和原来的identify拼接成一个6字节长的数据,经过散列处理得到2字节的索引再填回identify字段里面,并将   该索引与原6字节的entry保存在一表中,这样reply报文到来时,通过查索引值就可以得到主机ip与identify值,这样就可以将reply报文准确送达对应主机了。

更深入的解释:
对PING包的NAT是如何进行呢ICMP没有端口 如何建立NAT表。很多人都说是根据icmp.identifier字段进行NAT表的建立,其实只说对一半。对UNIX或者LINUX来说是正确的,但如今WINDOWS系统ICMP.identifier基本上是固定不变。同一台windows机器对多个目标地址发出的ping其ICMP.identifier是相同的。如何进行NAT呢。仔细观察会发现每个ping包的ICMP.sequence是变化的(XP下ICMP.sequence是以256进行递增)
因此NAT设备对ping进行地址翻译是是结合ICMP.identifier、ICMP.sequence、IP.identifier等多个因素进行确定。
同一个ping 的request和reply中的ICMP.identifier、ICMP.sequence是不变的。

5.网络地址转换(NAT)的实现【主要是配置,可以不看】
  在配置网络地址转换的过程之前,首先必须搞清楚内部接口和外部接口,以及在哪个外部接口上启用NAT。通常情况下,连接到用户内部网络的接口是NAT内部接口,而连接到外部网络(如Internet)的接口是NAT外部接口。
  1).静态地址转换的实现
  假设内部局域网使用的lP地址段为192.168.0.1~192.168.0.254,路由器局域网端(即默认网关)的IP地址为192.168.0.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.135,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.248可用于转换的IP地址范围为61.159.62.130~61.159.62.134。要求将内部网址192.168.0.2~192.168.0.6分别转换为合法IP地址61.159.62.130~61.159.62.134。
  第一步,设置外部端口。
  interface serial 0
  ip address 61.159.62.129 255.255.255.248
  ip nat outside
  第二步,设置内部端口。
  interface ethernet 0
  ip address 192.168.0.1 255.255.255.0
  ip nat inside
  第三步,在内部本地与内部合法地址之间建立静态地址转换。
  ip nat inside source static 内部本地地址内部合法地址。
  示例:
  ip nat inside source static 192.168.0.2 61.159.62.130 //将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130
  ip nat inside source static 192.168.0.3 61.159.62.131 //将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131
  ip nat inside source static 192.168.0.4 61.159.62.132 //将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132
  ip nat inside source static 192.168.0.5 61.159.62.133 //将内部网络地址192.168.0.5转换为合法IP地址61.159.62.133
  ip nat inside source static 192.168.0.6 61.159.62.134 //将内部网络地址192.168.0.6转换为合法IP地址61.159.62.134
  至此,静态地址转换配置完毕。
  2).动态地址转换的实现
  假设内部网络使用的IP地址段为172.16.100.1~172.16.100.254,路由器局域网端口(即默认网关)的IP地址为172.16.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为61.159.62.128~61.159.62.191,路由器在广域网中的IP地址为61.159.62.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为61.159.62.130~61.159.62.190。要求将内部网址172.16.100.1~172.16.100.254动态转换为合法IP地址61.159.62.130~61.159.62.190。
  第一步,设置外部端口。
  设置外部端口命令的语法如下:
  ip nat outside
  示例:
  interface serial 0 //进入串行端口serial 0
  ip address 61.159.62.129 255.255.255.248//将其IP地址指定为61.159.62.129,子网掩码为255.255.255.248
  ip nat outside //将串行口serial 0设置为外网端口
  注意,可以定义多个外部端口。
  第二步,设置内部端口。
  设置内部接口命令的语法如下:
  ip nat inside
  示例:
  interface ethernet 0 //进入以太网端口Ethernet 0
  ip address 172.16.100.1 255.255.255.0 // 将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0
  ip nat inside //将Ethernet 0 设置为内网端口。
  注意,可以定义多个内部端口。
  第三步,定义合法IP地址池。
  定义合法IP地址池命令的语法如下:
  ip nat pool 地址池名称 起始IP地址 终止IP地址 子网掩码
  其中,地址池名字可以任意设定。
  示例:
  ip nat pool net 61.159.62.130 61.159.62.190 netmask 255.255.255.192 //指明地址缓冲池的名称为net,IP地址范围为61.159.62.130~61.159.62.190,子网掩码为255.255.255.192。需要注意的是,即使掩码为255.255.255.0,也会由起始IP地址和终止IP地址对IP地址池进行限制。
  或ip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26
  注意,如果有多个合法IP地址范围,可以分别添加。例如,如果还有一段合法IP地址范围为"211.82.216.1~211.82.216.254",那么,可以再通过下述命令将其添加至缓冲池中。
  ip nat pool cernet 211.82.216.1 211.82.216.254 netmask 255.255.255.0
  或
  ip nat pool test 211.82.216.1 211.82.216.254 prefix-length 24
  第四步,定义内部网络中允许访问Internet的访问列表。
  定义内部访问列表命令的语法如下:
  access-list 标号 permit 源地址 通配符(其中,标号为1~99之间的整数)
  access-list 1 permit 172.16.100.0 0.0.0.255 //允许访问Internet的网段为172.16.100.0~172.16.100.255,反掩码为0.0.0.255。需要注意的是,在这里采用的是反掩码,而非子网掩码。反掩码与反掩码的关系为:反掩码+子网掩码=255.255.255.255。例如,子网掩码为255.255.0.0,则反掩码为0.0.255.255;子网掩码为255.0.0.0,则反掩码为0.255.255.255;子网掩码为255.252.0.0,则反掩码为0.3.255.255;子网掩码为255.255.255.192,刚反掩码为 0.0.0.63。
  另外,如果想将多个IP地址段转换为合法IP地址,可以添加多个访问列表。例如,当欲将172.16.98.0~172.16.98.255和172.16.99.0~172.16.99.255转换为合法IP地址时,应当添加下述命令:
  access-list2 permit 172.16.98.0~0.0.0.255
  access-list2 permit 172.16.99.0~0.0.0.255
  第五步,实现网络地址转换。
  在全局设置模式下,将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。命令语法如下:
  ip nat inside source list 访问列表标号 pool 内部合法地址池名字
  示例:
  ip nat inside source list 1 pool chinanet
  如果有多个内部访问列表,可以一一添加,以实现网络地址转换,如
  ip nat insde source list 2 pool chinanet
  ip nat insde source list 2 pool chinanet
  如果有多个地址池,也可以一一添加,以增加合法地址池范围,如
  ip nat insde source list 2 pool cernet
  ip nat insde source list 2 pool cernet
  ip nat insde source list 2 pool cernet
  至此,动态地址转换设置完毕。
  3).端口复用动态地址转换(PAT)
  内部网络使用的IP地址段为10.100.100.1~10.100.100.254,路由器局域网端口(即默认网关)的IP地址为10.100.100.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为202.99.160.0~202.99.160.3,路由器广域网中的IP地址为202.99.160.1,子网掩码为255.255.255.252,可用于转换的IP地址为202.99.160.2。要求将内部网址10.100.100.1~10.100.100.254 转换为合法IP地址202.99.160.2。
  第一步,设置外部端口。
  interface serial 0
  ip address 202.99.160.1 255.255.255.252
  in nat outside
  第二步,设置内部端口。
  interface ethernet 0
  ip address 10.100.100.1 255.255.255.0
  ip nat inside
  第三步,定义合法IP地址池。
  in nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252
  // 指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。如果有多个IP地址,则应当分别键入起止的IP直址。
  第四步,定义内部访问列。
  access-list 1 permit 10.100.100.0 0.0.0.255
  允许访问Internetr的网段为10.100.100.0~10.100.100.255,子网掩码为255.255.255.0。需要注意的是,在这里子网掩码的顺序跟平常所写的顺序相反,即0.255.255.255。
  第五步,设置复用动态地址转换。
  在全局设置模式下,设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。命令语法如下:
  ip nat inside source list访问列表号pool内部合法地址池名字overload
  示例:
  ip nat inside source list1 pool onlyone overload //以端口复用方式,将访问列表1中的私有IP地址转换为onlyone IP地址池中定义的合法IP地址。
  注意:overload是复用动态地址转换的关键词
  至此,端口复用动态地址转换完成。

    网络地址转换(NAT)-实例
  示例一:全部采用端口复用地址转换
  当ISP分配的IP地址数量很少,网络又没有其他特殊需求,即无需为Internet提供网络服务时,可采用端口利用地址转换方式,使网络内的计算机采用同一IP地址访问Internet,在节约IP地址资源的同时,又可有效保护网络内部的计算机。
  网络环境为:
  局域网采用10Mb/s光纤,以城域网方式接入Internet,如图4-2-2所示。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为192.168.100.1~192.101.254,局域网端口Ethernet 0的IP地址为192.168.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.99.160.128~202.99.160.131,连接ISP的端口Ethernet 1的IP地址为202.99.160.129,子网掩码为255.255.255.252。可用于转换的IP地址为202.99.160.130。要求网络内部的所有计算机均可访问Internet。
  案例分析:
  既然只有一个可用的合法IP地址,同时处于局域网的服务器又只为局域网提供服务,而不允许Internet中的主机对其访问,因此完全可以采用端口复用地址转换方式实现NAT,使得网络内的所有计算机均可独立访问Internet。
  配置清单:
  interface fastethernet0/0
  ip address 192.168.100.1 255.255.0.0 //定义本地端口IP地址
  duplex auto
  speed auto
  ip nat inside // 定义为本地端口
  !
  interface fastethernet0/1
  ip address 202.99.160.129 255.255.255.252
  duplex auto
  speed auto
  ip nat outside
  !
  ip nat pool onlyone 202.99.160.130 202.99.160.130 netmadk 255.255.255.252 //定义合法IP地址池,名称为onlyone
  access-list 1 permit 192.168.100.0 0.0.0.255 //定义本地访问列表

  ip nat inside source list1 pool onlyone overload //采用端口复用动态地址转换
  示例二:动态地址+端口复用地址转换
  许多FTP网站考虑到服务器性能和Internet连接带宽的占用问题,都限制同一IP地址的多个进程访问。如果采用端口复地址转换方式,则网络内的所以计算机都采用同一IP地址访问Internet,那么,将因此而被禁止对该网站的访问。所以,当提供的合法IP地址数量稍多时,可同时采用端口复用和动态地址转换方式,从而既可保证所有用户都能够获得访问Internet的权力,同时,又不致、某些计算机因使用同一IP地址而被限制权限。需要注意的是,由于所有计算机都采用动态地址转换方式,因此Internet中的所有计算机将无法实现对网络内部服务器的访问。
  网络环境:
  局域网以2Mb/s DDA专线接入Internet,路由器选用安装了广域网模块的Cisco 2611,如图4-2-2所示。内部网络使用的IP地址段为172.16.100.1~172.16.102.254,局域网端口Ethernet 0的IP地址为172.16.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为202.99.160.128~202.99.160.129,子网掩码为255.255.255.192,可用于转换的IP地址范围为202.99.160.130~202.99.160.190。要求网络部分的部分计算机可以不受任何限制地访问Internet,服务器无需提供Internet访问服务。
  案例分析:
  既然要求网络中的部分计算机可以不受任何限制地访问Internet,同时,服务器无需提供Internet访问服务,那么,只需采用动态地址转换+端口复用地址转换方式即可实现。部分有特殊需求的计算机采用动态地址转换的NAT方式,其他计算机则采用端口复用地址转换的NAT方式。因此,部分有特殊需求的计算机可采用内部网址172.16.100.1~172.16.100.254,并动态转换为合法地址202.99.160.130~202.99.160.189,其他计算机采用内部网址172.16.101.1~172.16.102.254,全部转换为202.99.160.190。
  配置清单:
  interface fastethernet0/1
  ip address 10.100.100.1 255.255.255.0 //定义局域网端口IP地址
  duplex auto
  speed auto
  ip nat inside //定义为局域端口
  !
  interface serial 0/0
  ip address 202.99.160.129 255.255.255.192 //定义广域网端口IP地址
  !
  duplex auto
  speed auto
  ip nat outside //定义为广域端口
  !
  ip nat pool public 202.99.160.130 202.130.160.190 netmask 255.255.255.192 //定义合法IP地址池,名称为public
  ip nat pool super 202.99.160.130 202.130.160.189 netmask 255.255.255.192 //定义合法IP地址池,名称为super
  ip nat inside source list1 pool super //定义列表达1采用动态地址转换
  ip nat inside source list2 pool public overload? //定义列表2采用端口复用地址转换
  access-list1 permit 172.16.100.0 0.0.0.255 //定义本地访问列表1
  access-list2 permit 172.16.102.0 0.0.0.255 //定义本地访问列表2
  access-list2 permit 172.16.102.0 0.0.0.255
  示例三:静态地址转换+端口复用地址转换
  其实在很多时候,网络中的服务器既为网络内部的客户提供网络服务,又同时为Internet中的用户提供访问服务。因此,如果采用端口复用地址转换或动态地址转换,将由于无法确定服务器的IP地址,而导致Internet用户无法实现对网络内部服务器的访问。此时,就应当采用静态地址转换+端口复用地址转换的NAT方式。也就是说,对服务器采用静态地址转换,以确保服务器拥有固定的合法IP地址。而对普通的客户计算机则采用端口复用地址转换,使所有用户都享有访问Internet的权力。
  网络环境为:
  局域网采用10Mb/s光纤,以城域网方式接入Internet,如图4-2-2所示。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为10.18.100.1~10.18.104.254,局域网端口Ethernet 0的IP地址为10.18.100.1,子网掩码为255.255.0.0。网络分配的合法IP地址范围为211.82.220.80~211.82.220.87,连接ISP的端口Ethernet 1的IP地址为211.82.220.81,子网掩码为255.255.255.248。要求网络内部的所有计算机均可访问Internet,并且在Internet中提供Web、E-mail、FTP和Media等4种服务。
  案例分析:
  既然网络内的服务器要求能够被Internet访问到,那么,这部分主机必须拥有合法的IP地址,也就是说,服务器必须采用静态地址转换。其他计算机由于没有任何限制,所以,可采用端口复用地址转换的NAT方式。因此,服务器可采用内网址10.18.100.1~10.18.100.254,并分别映射为一个合法的IP地址。其他计算机则采用内部网址10.18.101.1~172.16.104.254,并全部转换为一个合法的IP地址。
  配置清单:
  interface fastethernet0/0
  ip address 10.18.100.1 255.255.0.0 //定义局域网口IP地址
  duplex auto
  speed auto
  ip nat inside //定义局域网口
  !
  interface fastethernet0/1
  ip address 211.82.220.81 255.255.255.248 //定义广域网口IP地址
  duplex auto
  speed auto
  ip nat outside //定义广域网口
  !
  ip nat pool every 211.82.220.86 211.82.220.86 netmask 255.255.255.248 //定义合法IP地址池
  access-list 1 permit 10.18.101.0 0.0.0.255 //定义本地访问列表1
  access-list 1 premit 10.18.102.0 0.0.0.255
  access-list 1 premit 10.18.103.0 0.0.0.255
  access-list 1 premit 10.18.104.0 0.0.0.255
  ip nat inside source list1 pool every overload //定义列表达1采用端口复用地址转换
  ip nat inside source static 10.18.100.10 211.82.220.82 //定义静态地址转换
  ip nat inside source static 10.18.100.11 211.82.220.83
  ip nat inside source static 10.18.100.12 211.82.220.84
  ip nat inside source static 10.18.100.13 211.82.220.85
  示例四:TCP/UDP端口NAT映射
  如果ISP提供的合法IP地址的数量较多,我们自然可以采用静态地址转换+端口复用动态地址转换的方式得以完美实现。但如果ISP只提供4个IP地址,其中2个作为网络号和广播地址而不可使用,1个IP地址要用于路由器定义为默认网关, 那么将只剩下1个IP地址可用。当然我们也可以利用这个仅存的一个IP地址采用端口复用地址转换技术,从而实现整个局域网的Internet接入。但是由于服务器也采用动态端口,因此,Internet中的计算机将无法访问到网络内部的服务器。有没有好的解决问题的方案呢?这就是TCP/UDP端口NAT映射。
  我们知道,不同应用程序使用的TCP/UDP的端口是不同的,比如,Web服务使用80,FTP服务使用21,SMTP服务使用25,POP3服务使用110,等等。因此,可以将不同的TCP端口绑定至不同的内部IP地址,从而只使用一个合法的IP地址,即可在允许内部所有服务器被Internet访问的同时,实现内部所有主机对Internet访问。
  网络环境:
  局域网采用10Mb/s光纤,以城域网方式接入Internet,如图4-2-5所示。路由器选用拥有2个10/100 Mb/s自适应端口的Cisco 2611。内部网络使用的IP地址段为192.168.1.1~192.168.1.254,局域网端口Ethernet 0的IP地址为192.168.1.1,子网掩码为255.255.255.0。网络分配的合法IP地址范围为,211.82.220.128~211.82.220.131,连接ISP的端口Ethernet 1的IP地址为211.82.220.129,子网掩码为255.225.255.252,可用于转换的IP地址为211.82.220.130。要求网络内部的所有计算机均可访问Internet。
  案例分析:
  既然只有一个可用的合法IP地址,当然只能采用端口复用方式实现NAT,不过,由于同时又要求网络内部的服务器可以被Internet访问到,因此,必须使用PAT创建TCP/UDP端口的NAT映射。需要注意的是,也可以直接使用广域端口创建TCP/UDP端口的NAT映射,也就是说,即使只有一个IP地址,也可以完美实现端口复用。由于合法IP地址位于路由器端口上,所以,不再需要定义NAT池,只简单地使用inside source list语句即可。
  需要注意的是,由于每种应用服务都有自己默认的端口,所以,这种NAT方式下,网络内部每种应用服务中只能各自有一台服务器成为Internet中的主机,例如,只能有一台Web服务器,一台E-mail服务,一台FTP服务器。尽管可以采用改变默认端口的方式创建多台应用服务器,但这种服务器在访问时比较困难,要求用户必须先了解某种服务采用的新TCP端口。
  配置清单:
  interface fastethernet0/0
  ip address 192.168.1.1 255.255.255.0//指定局域网口的IP地址
  duplex auto
  speed auto
  ip nat inside //指定局域网接口
  !
  interface fastethernet0/1
  ip address 211.82.220.129 255.255.255.248 //指定广域网口的IP地址
  access-list 1 permit 192.168.1.0 0.0.0.255
  !
  ip nat inside source list1 interface fastethernet0/1 overload //启用端口复用地址转换,并直接采用fastethernet0/1的IP地址。
  ip nat inside source static tcp 192.168.1.11 80 202.99.160.129.80
  ip nat inside source static tcp 192.168.1.12 21 202.99.160.129.21
  ip nat inside source static tcp 192.168.1.13 25 202.99.160.129.25
  ip nat inside source static tcp 192.168.1.13 110 202.99.160.129 110
  示例五:利用地址转换实现负载均衡
  随着访问量的上升,当一台服务器难以胜任时,就必须采用负载均衡技术,将大量的访问合理地分配至多台服务器上。当然,实现负载均衡的手段有许多种,比如可以采用服务器群集负载均衡、交换机负载均衡、DNS解析负载均衡等等。
  其实除此以外,也可以通过地址转换方式实现服务器的负载均衡。事实上,这些负载均衡的实现大多是采用轮询方式实现的,使每台服务器都拥有平等的被访问机会。
  网络环境:
  局域网以2Mb/s DDN专线拉入Internet,路由器选用安装了广域网模块的Cisco 2611,如图4-2-6所示。内部网络使用的IP地址段为10.1.1.1~10.1.3.254,局域网端口Ethernet 0的IP地址为10.1.1.1,子网掩码为255.255.252.0。网络分配的合法IP地址范围为202.110.198.80~202.110.198.87,连接ISP的端口Ethernet 1的IP地址为202.110.198.81,子网掩码为255.255.255.248。要求网络内部的所有计算机均可访问Internet,并且在3台Web服务器和2台FTP服务器实现负载均衡。
  案例分析:
  既然要求网络内所有计算机都可以接入Internet,而合法IP地址又只有5个可用,当然可采用端口复用地址转换方式。本来对服务器通过采用静态地址转换,赋予其合法IP地址即可。但是,由于服务器的访问量太大(或者是服务器的性能太差),不得不使用多台服务器作负载均衡,因此,必须将一个合法IP地址转换成多相内部IP地址,以轮询方式减轻每台服务器的访问压力。
  配置文件:
  interface fastethernet0/1
  ip adderss 10.1.1.1 255.255.252.0 //定义局域网端口IP地址
  duplex auto
  speed auto
  ip nat inside //定义为局域端口
  !
  interface serial 0/0
  ip address 202.110.198.81 255.255.255.248 //定义广域网端口IP地址
  duplex auto
  speed auto
  ip nat outside //定义为广域端口
  !
  access-list 1 permit 202.110.198.82 //定义轮询地址列表1
  access-list 2 permit 202.110.198.83 //定义轮询地址列表2
  access-list 3 permit 10.1.1.0 0.0.3.255 //定义本地访问列表3
  !
  ip nat pool websev 10.1.1.2 10.1.1.4 255.255.255.248 type rotary //定义Web服务器的IP地址池,Rotary关键字表示准备使用轮询策略从NAT池中取出相应的IP地址用于转换进来的IP报文,访问202.110.198.82的请求将依次发送给web服务器:10.1.1.2、10.1.1.3和10.1.1.4
  ip nat pool ftpsev 10.1.1.8 10.1.1.9 255.255.255.248 type rotary //定义ftp服务器的IP地址池。
  ip nat pool normal 202.110.198.84 202.110.198.84 netmask 255.255.255.248 //定义合法IP地址池,名称为normal
  ip nat inside destination list 1 pool websev //inside destination list 语句定义与列表1相匹配的IP地址的报文将使用轮询策略
  ip nat inside destination list 2 pool ftpsev
阅读(3571) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~