第十二章 NetSim - Network Address Translation (NAT) 實驗目的: 明瞭Cisco NAT管理法則 模擬NAT、PAT及驗證
背景資料 網際網路連線的定義至少需要四組參數,即來源端的IP地址、連線埠號和目的端的IP地址、連線埠號,所以只要能夠在連線中更改任何一組參數即可視為完成不同的連線。 典型的IP分享應用是將眾多私有IP地址變更為一個真實IP地址,讓所有具有私有IP的內部機器均可對外連接,但是外部機器卻無法直接連至這些具有私有IP的內部機器,達到連線間保護的功能。 但由於早期IP address數量需求較小且路由器的效能較差,所以NAT並不普遍,而今幾乎是任一台可上網的機器均具有此功能,而這些表格的對應,如虛擬服務。
Cisco在NAT下定義四個術語 Inside local:轉換前內部來源主機位址 Outside local:轉換前外部目的主機位址 Inside global:轉換後內部來源主機位址 Outside global:轉換後外部目的主機位址
Cisco將NAT分成三種類型 靜態(Static):一對一的對應,通常是為了某些安全理由來轉換IP地址。 動態(dynamic):從一組(pool)的IP位址中取出一個IP位址,讓未轉換的IP位址對應。 超載(overloading):這是前述所提的IP分享功能,藉由使用不同埠號,將多個未轉換的IP位址對應到單一個IP位址(多對一),所以,這種超載NAT又稱為埠號位址轉換 (Port Address Translation, PAT)。
實驗方法 使用之前實驗的網路拓樸,並採用預設路由的組態,即台北(Router 1)至新竹(Router 2)和台北(Router 1)至高雄(Router 3)間的連線中斷。
靜態(Static)NAT 實驗要求:PC2(192.168.2.1)轉換成172.16.2.1,PC3(192.168.2.2)轉換成172.16.2.2。 首先於新竹(Router 2)建立表格 (config)#ip nat inside source static 192.168.2.1 172.16.2.1 (config)#ip nat inside source static 192.168.2.2 172.16.2.2 接下來,放置這些表格至適當介面, (config)#interface f0/0 (config-if)#ip nat inside (config-if)#interface s0 (config-if)#ip nat outside
靜態(Static)NAT
靜態(Static)NAT 使用『show ip nat translations』命令檢視轉換表格。 然後可在PC1(192.168.1.1)分別tracert 192.168.2.1和172.16.2.1可發覺是相同裝置,接下來由PC2 telnet 至台北(Router 1),使用『show users』命令驗證轉換的IP位址。
動態(dynamic)NAT 實驗要求:從一組(pool)172.16.2.1~172.16.2.200的IP位址中取出一個IP位址,讓未轉換的IP位址對應。 首先於新竹(Router 2)將先前所建靜態表格刪除,然後建立表格 (config)#ip nat pool pool_2 172.16.2.1 172.16.2.200 netmask 255.255.255.0 (config)#ip nat inside source list 2 pool pool_2 (config)#access-list 2 permit 192.168.2.0 0.0.0.255 接下來,放置這些表格至適當介面, (config)#interface f0/0 (config-if)#ip nat inside (config-if)#interface s0 (config-if)#ip nat outside
動態(dynamic)NAT 接下來在PC1(192.168.1.1)分別tracert 192.168.2.1和172.16.2.1可發覺是相同裝置,接下來由PC3 telnet 至台北(Router 1),使用『show users』命令驗證轉換的IP位址,然後使用『show ip nat translations』命令檢視轉換表格。
show ip nat translations
超載(overloading)NAT 實驗要求:使用172.16.2.5執行PAT。 首先於新竹(Router 2)將先前所建靜態表格刪除,然後建立表格 (config)#ip nat pool globalnet 172.16.2.5 172.16.2.5 netmask 255.255.255.0 (config)#ip nat inside source list 1 pool globalnet overload (config)#access-list 1 permit 192.168.2.0 0.0.0.255 接下來,放置這些表格至適當介面, (config)#interface f0/0 (config-if)#ip nat inside (config-if)#interface s0 (config-if)#ip nat outside
超載(overloading)NAT 接下來由PC2 telnet 至台北(Router 1),使用『show users』命令驗證轉換的IP位址。
show ip nat translations
學習評量 說明使用NAT的優缺點。 說明NAT的幾種類型,並舉例說明網路上實際應用的範例。 在微軟系統中如何設定NAT? 何謂虛擬服務?