第 11 章 網路位址轉換 (NAT)

何時使用 NAT？ 必須連上網際網路, 但是主機又沒有唯一的全域 IP 位址 更換到新的 ISP 而必須重新為網路編號 合併兩個具有重複位址的企業內網路

在哪裡設定 NAT？

NAT 的優缺點

NAT的類型 靜態 NAT 在區域與全域位址之間進行一對一的對應 動態 NAT 將未註冊的 IP 位址對應到一堆已註冊 IP 位址中的一個註冊 IP 位址。靜態與動態NAT都必須有足夠的真實 IP 位址, 供每個想要與網際網路收送封包的機器使用 超載 (overloading) 藉由使用不同埠號, 將多個未註冊的 IP 位址對應到單一個註冊的 IP 位址，又稱為埠號位址轉換 (Port Address Translation, PAT)

NAT 的術語

基本NAT的運作

PAT 的運作

設定靜態的 NAT 指定哪些IP位址要轉換 指定本界面為內部界面 指定本界面為外部界面

設定動態的 NAT 設定address pool給NAT用 將符合 access-list 1 的 IP 位址轉換到稱為 todd 的 IP NAT pool

設定PAT 這個範例只設一個，但也可以有多個address

NAT 的簡易驗證 檢視基本的 IP 位址轉換資訊： 利用debug ip nat 命令來驗證您的 NAT 組態。它的輸出會在每一列偵錯訊息中顯示傳送端位址、轉換、以及目的位址： 使用 clear ip nat translation 命令從轉換表格中清除 NAT 項目

測試與檢修 NAT 檢查NAT的設定 檢查是否有遶送上的問題 檢查動態儲備池 － 它們是否包含了正確的位址範圍？ 檢查動態儲備池是否有重疊 檢查靜態對應及動態儲備池中所使用的位址是否有重疊 確定您的存取清單確實指定了待轉換的位址 確定沒有任何應該在裡面的位址被遺漏, 並且確定沒有不該在的卻被包含進去 檢查您是否有適當地劃定內在與外在界面 檢查是否有遶送上的問題 確定您的路由器知道要怎麼處理轉換後的新位址！

測試與檢修 NAT(續) ip nat translation max-entries 命令 show ip nat statistics 有時候必須因為效能或是政策限制, 而限制項目的數量 show ip nat statistics 提供 NAT 組態的摘要, 並且計算active的轉換類型數目 計算現有對應的擊中數 (hit) 和失誤數 (miss) － 失誤的後果就是嚐試建立一個新的對應 揭露逾時的轉換 pool (refcount) 命令 檢查動態儲備池、它們的類型、可用的位址總數、已經配置了多少位址、配置失敗的次數、以及已經發生的轉換數目

測試與檢修 NAT (續) clear ip nat translations 命令 手動清除 NAT 表格中的動態 NAT 項目 如果儲備池中有任何位址在 NAT 表格中存在對應時, Cisco 的 IOS 軟體就不會讓您變更或刪除位址儲備池 ip nat translation timeout 命令 每當新產生一個 NAT 項目到 NAT 表格時, 該項目的計時器就開始計時；計時器的持續時間稱為translation timeout。而每次有該項目的封包經由路由器轉換時, 該計時器就會重新計時 如果計時器逾時, 該項目就會悄悄地從 NAT 表格中移除, 而這個動態指定的位址也會還回儲備池中 Cisco 預設的轉換逾時為 86, 400 秒 (24 小時)

NAT範例1 要在哪裡實作 NAT, 以及哪種類型的 NAT？

NAT範例2 6 個公眾 IP 位址, 從 192.1.2.109 到 192.1.2.114 在內部網路中有 63 台主機使用私有位址 192.168.10.65 到 192.168.10.126 也可以使用 prefix-length 29 敘述來取代 netmask 命令 第二種做法：ip nat pool Todd 192.1.2.109 192.1.2.114 netmask 255.255.255.248。但這是一種浪費, 因為第 2 到第 6 個位址都只有在 TCP 埠號發生衝突時才會用到 請確定要在適當的界面上加入 ip nat inside 與 ip nat outside 敘述

我們的NAT互連網路圖 Corp 路由器與 R3 路由器間的連線現在是使用全域 PAT 位址

我們的NAT互連網路位址

我們的NAT互連網路位址(續)

我們的NAT互連網路位址(續)

設定Corp 路由器的NAT 組態 首先在 Corp 路由器上設定 NAT 組態，讓所有連到 Corp 路由器的網路能使用新的全域位址 64.1.1.5 / 30, 與所有連到 R3 路由器的網路進行通訊：

測試互連網路上的NAT組態—sh ip nat trans 試著從 HostC 執行 ping，再 telnet 連到 HostD

測試互連網路上的NAT組態— debug ip nat 開啟 Corp 路由器上的 debug ip nat, 然後從 HostB 用 telnet 連到 HostD： 去 回

測試互連網路上的NAT組態— show ip nat translation

測試互連網路上的NAT組態— show ip nat statistics

使用 SDM 來設定 NAT 組態(1) 點選 Configure-->NAT 基本 NAT 如果您在受信任網路上有些基本的主機需要存取網際網路, 就可以使用這個精靈, 它會帶領您完成基本 NAT 組態的建立過程 進階 NAT 如果您有 DMZ, 或是有位於內部網路但允許使用者從外部來存取的伺服器, 您鐵定會想使用進階的 NAT 組態設定

使用 SDM 來設定 NAT 組態(2) 選擇Basic NAT, 點選 Launch the Selected Task

使用 SDM 來設定 NAT 組態(3) 按下 Next

使用 SDM 來設定 NAT 組態(4) 選擇好內部與外部界面之後, 點選 Next 最後, 按下 Finish

檢視SDM設定的NAT組態(1)

檢視SDM設定的NAT組態(2)

檢視SDM設定的NAT組態(3) 下面是它所建立的 ip nat inside source list：