Module2 Network Address Translation
Configuring IP NAT with Access Lists
看看NAT的术语,如下:
1.IP NAT inside:属于内网部分内的需要翻译成外部地址的接口
2.IP NAT outside:属于外网和路由器相连的接口或者是在它的路由表里没有运载的有IP NAT inside地址空间的信息
当包在下面的接口之间进行路由的话就需要NAT:
1.IP NAT inside接口到IP NAT outside接口
2.IP NAT outside接口到IP NAT inside接口
当有包要从inside路由到outside的时候,你就需要在NAT表里建立条NAT条目.NAT条目把源IP地址从内部地址翻译为外部地址.当IP NAT outside接口响应这个包的时候,包的目标IP地址将和IP NAT表里的条目做比较.如果匹配的条目找到了,目标IP地址就被翻译成正确的内部地址,然后放到路由表里保证能够被路由到IP NAT inside接口去;如果没有找到匹配的条目,包将被丢弃
地址超载(address overloading)是种在Internet连接上很常见的现象.超载是使用NAT将多个内部地址映射到一个或一些唯一的地址上去.NAT使用TCP和UDP端口来跟踪不同的会话
当路由器决定了从IP NAT inside接口到IP NAT outside接口的路径的时候,要建立包括源IP地址和源TCP和UDP端口号的条目.每个设备被分配的有一个唯一的TCP或UDP的端口号来进行区分
NAT表包含以下信息:
1.协议:IP,TCP或UDP
2.inside local IP address:port:等待NAT翻译的内部地址以及端口号
3.inside global IP address:port:经过翻译了的地址.这些地址通常是全局的唯一地址
4.outside global IP address:port:ISP分配给外网的IP地址
5.outside local IP address:port:看上去像是处于内网的外网主机的地址
IP NAT和访问列表ACL的结合使用的命令,如下:
1.ip nat {inside|outside}:接口命令,标记IP设备接口为内部或者外部,只有标记了内部或外部的接口才需要翻译
2.ip nat source list < ACL number> pool <address_pool_name>:当包被发送到标记为IP NAT inside的接口的时候,这个命令告诉路由器比较源地址和ACL,然后ACL告诉路由器查找地址池(address pool)看是否要进行翻译.ACL许可的地址才能被 NAT翻译
3.ip nat pool <address_pool_name> <starting_ip_address> <ending_ip_address> {prefix-length <prefix-length>|netmask < netmask>}:这个命令创建翻译池,参数为起始地址到完结地址和前缀或者是掩码如下图:
如图,当一个包的源地址为10.1.2.x,路由器就根据名为sales_pool的地址池进行翻译;如果包的源地址是10.1.3.x的话,路由器就根据名为acct_pool的地址池进行翻译
来看一个NAT和扩展ACL结合使用的例子,如下图:
ACL102和ACL103用来控制NAT的决策,和仅基于源地址相比,扩展ACL的决策基于源地址和目标地址.如果包的源地址不是10.1.1.0/24的话,包将不会通过NAT进行翻译.如果从10.1.1.0/24而来的包的目标地址为 172.16.1.0/24或者是192.168.200.0/24的话.包的地址将被翻译成地址池trust_pool里的地址,即 192.168.2.0/24;如果目标地址既不匹配172.16.1.0/24也不匹配192.168.200.0/24的话,源地址就将被翻译成地址池untrust_pool中的地址,即192.168.3.0/24
Defining the Route Map Tool for NAT
route map是Cisco IOS提供的一项功能,它的好处如下图:
当你只使用ACL的时候,如图可以看出,不支持端口号,而且inside与outside的关系是一一对应.而且带来的缺点是很难排错
你可以使用NAT的超载技术或者使用一种叫做route map的Cisco IOS工具,如果你结合route map和ACL一起使用,它将生成扩展的翻译条目,如上图.这些条目包含了端口信息,可以使得应用程序能够跟踪这些会话.ACL和route map不同的地方是可以使用set命令对 route map进行修改,而ACL就不行
在配置模式下输入route-map map-tag [permit | deny] [sequence-number],定义路由策略;接下来输入match {conditions},定义条件;最后使用set {actions}定义对符合条件的语句采取的措施
map-tag是route map号,路由器从上到下的处理这些陈述,直到找到第一个匹配的的语句然后应用它.一条单独的match语句可以包含多个条件.每条条件语句中至少要有一条符合条件的语句.sequence-number定义了检查的顺序,比如1个名为 hello的router map,其中一个的sequence-number为10;另外一个为20.那么将先检查sequence-number为 10的那个.和ACL一样,在末尾有条隐含的deny any语句
来看看一个router map配置的例子,如下图:
如图黄色部分是增加的route map.在这个例子里,名为what_is_sales_doing的 route map通过使用ip nat inside source route- map what_is_sales_doing pool sales_pool命令和sales_pool相互链接.源地址为10.1.2.100的包到达E0口,即IP NAT inside接口.ip nat inside source route- map what_is_sales_doing pool sales_pool命令告诉路由器发送包给名为what_is_sales_doing的 route map.这个route map的sequence 10匹配包的源地址10.1.2.100,依靠ACL 2.接下来路由器查询名为 sales_pool的NAT池,得到10.1.2.100要翻译的成的新地址当使用route map的时候,路由器在IP NAT表里创建完全的扩展翻译条目,包含源地址和目标地址以及TCP或UDP端口号;当你只使用ACL的时候,路由器创建的只是一条简单的翻译条目,一个应用程序对应一个条目,不包含端口信息
Verifying NAT
检查NAT表的内容,使用show ip nat translation命令,注意下图,分别是NAT使用了ACL和NAT使用了route map的输出:
