cisco路由器nat,CISCO路由器NAT中的地址重叠问题

CISCO路由器NAT中的地址重叠问题 - 硬件外设 - 电脑教程网

CISCO路由器NAT中的地址重叠问题

日期:2006-10-24   荐:

  1.NAT技术概述

  随着internet规模的不断扩大,目前Internet面临的最大问题就是地址不够用的问题,而NAT可以通过一定的方法缓解这方面的压力。 NAT(Natwork address Translation)允许在内部网络使用未经注册的IP地址,进入Internet时,则将这些内部地址转换成注册IP地址,反之亦然。在这种转换中起识别作用的是上层TCP或UDP中所使用的端口号,该方法提高了IP地址的利用率,但它也有局限性:在同一时间与外部网通讯的主机数量受到内部网注册 IP地址数量的限制;对于使用嵌入式IP地址的应用不适于使用NAT.

  2.NAT的几个相关概念

  CISCO路由器对NAT的配置要求至少有一个外部接口和一个内部接口,以完成未注册地址与注册之间的相互转换,如果有很多这样的出口点存在,则应有一个地址转换表(NATTABLE)·

  CISCO路由器配置NAT时的几个概念:

  内部本地地址(inside local address)·NIC分配给内部网主机的本地IP地址,该地址可以是未经注册的。

  内部全局地址(inside global address)·NIC分配给内部网主机的全局IP地址,该地址经申请注册得到,是全球Internet能唯一识别的地址。

  外部本地地址(outside local address)·外部主机出现在内部网络时的IP地址,该地址是从内部可达地址空间中获得,可以是未经注册的地址。

  外部全局地址(outside global address)·分配给外部网络主机的IP地址,该地址由全局可达地址或网络空间中获取。

  3.地址重叠问题及解决办法

  当一个内部本地地址与所想连接的外部地址相同时,就发生了地址重叠。如下图所示,主机A(148.1.1.1)想跟主机B建立一连接。当输入B 主机名称后, DNS服务器进行主机名到主机地址的转换。而DNS服务器就给出了主机B的地址148.1.1.1,则内部本地地址与外部地址发生了重叠。

  CiscoIOS解决这一问题的方法是将外部全局地址转换为外部本地地址。路由器A将执行以下步骤:

  1)·主机A用主机B的主机名称请求与B建立一个连接,这是一个主机名称到地址的转换请求送往DNS服务器。

  2)·DNS服务器有应答,把主机B的地址148.1.1.1返回。

  3)·路由器A截取报文并从外部本地地址池中选择一个外部本地地址代替源地址。

  4)·路由器A同时维持一张全局地址到外部本地地址的一张映射表。

  5)·当主机A向主机B发送报文时,目的IP地址就是外部本地地址。

  6)·而当路由器A收到目的为外部本地地址的报文时,就把本地地址转换为全局地址。

  在路由器A上执行 show ip nat translations 命令,结果如下。外部全局地址148.1.1.1映射到外部本地地址2.2.2.2.

router# show ip nat translationspro Inside global Inside local Outside local Outside global----- ------ ----- 2.2.2.2 148.1.1.1tcp 195.1.1.1:1071 10.1.1.1:1071 148.1.1.1:23 148.1.1.1:23


·Cisco路由器交换机配置命令详解(1)·Cisco路由器安全配置方案·CISCO路由器的一般配置与调试·在CISCO路由器上配置NAT功能(上)·Cisco路由器上配置pppoe拨号·在CISCO路由器上配置NAT功能(下)·Cisco路由器的安全配置简易实例·Cisco路由器交换机安全配置·华为路由器与CISCO路由器在配置上的差别·Cisco路由器的安全配置

  ·具体解决办法举例

  1.例子的网络模型

  主机A配置为一缺省的到10.1.1.5和DNS的项目项:152.1.1.2.路由器A上应用NAT并将监视所有的DNS应答,如果DNS转换的地址与10.1.1.1发生重叠,将静态的把它转换为2.2.2.2.

  静态映射配置方法如下:

  ·建立内部本地地址与内部全局地址之间的静态转换。

  Ip nat outside source static 内部本地地址内部全局地址

  例如:

Ip nat outside source static 10.1.1.1 2.2.2.2

  ·指定连接网络的内部端口。

  Interface Ethernet 0

  Ip address 内部地址 掩码

  例如:

Ip address 10.1.1.5 255.255.255.0 ip nat inside (定义内部接口)

  ·指定连接外部网络的接口。

  Interface serial 0

  Ip address内部全局接口地址 掩码

  例如:

Ip address 195.1.1.4 255.255.255.0 ip nat outside (定义外部接口)

  动态映射配置方法如下:

  ·定义一个全局地址池

  ip nat pool池名 起始全局地址 终止全局地址 掩码

  例如:

ip nat pool outsidelocal 2.2.2.1 2.2.2.4 netmask 255.255.255.0

  ·定义一个标准访问表:决定允许哪些内部本地地址进行动态转换。

  Access-list 访问表号 permit 源地址 通配符

  例如:

access-list 2 permit 10.1.1.1 0.0.0.255 access-list 2 permit 10.1.1.3 0.0.0.255 access-list 2 permit 10.1.1.5 0.0.0.255

  ·建立动态源地址转换:在地址池与内部本地地址之间建立动态可重用地址转换。

  Ip nat outside source list访问表号pool 地址池名

  例如:

ip nat outside source list 2 pool outsidelocal

  ·指定连接网络的内部接口。

  Interface Ethernet 0

  例如:

Ip address 10.1.1.5 255.255.255.0 ip nat inside (定义内部接口)

  ·指定连接外部网络的接口。

  Interface serial 0

  Ip address内部全局接口地址 掩码

  例如:

Ip address 195.1.1.4 255.255.255.0 ip nat outside (定义外部接口)

  5.结束语

  本文就网络地址翻译(NAT)中所出现的地址重叠的问题做了较为深入的研究,并对问题的解决方法作了详细的探讨,相信在将来的网络应用中NAT将发挥更优越的功能。

  作者:蔡秋枫 卢东祥

  参考文献

  [1].(美)Stephen Hutnik Michael Satterlee ALL-IN-ONE Cisco CCIE Lab Study Guide

标签: