cisco-asa-8.2与8.4的nat区别
1.NAT(nat-control,8.2有这条命令,开了的话没有nat是不通的)
1.8.2(PAT转换)
global (outside) 10 201.100.1.100
nat (inside) 10 10.1.1.0 255.255.255.0
ASA/pri/act(config)# show xlate
1 in use, 1 most used
PAT Global 201.100.1.100(1024) Local 10.1.1.1(11298)
8.4
object network nat
subnet 10.1.1.0 255.255.255.0
object network nat
nat (inside,outside) dynamic 201.100.1.100
ASA8-4# show xlate
1 in use,
2 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
TCP PAT from inside:10.1.1.1/53851 to outside:201.100.1.100/5810 flags ri idle 0:00:04 timeout 0:00:30
2.8.2(动态的一对一转换)
nat (inside) 10 10.1.1.0 255.255.255.0
global (outside) 10 201.100.1.110-201.100.1.120 netmask 255.255.255.0
ASA/pri/act# show xlate detail
2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:10.1.1.1 to outside:201.100.1.110 flags i
NAT from inside:10.1.1.2 to outside:201.100.1.111 flags i
8.4
object network nat
subnet 10.1.1.0 255.255.255.0
object network outside-nat
range 201.100.1.110 201.100.1.120
object network nat
nat (inside,outside) dynamic outside-nat
ASA8-4# show xlate
1 in use,
2 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:10.1.1.1 to outside:201.100.1.115 flags i idle 0:01:13 timeout 3:00:00 3.8.2(转换成接口地址)
nat (inside) 10 10.1.1.0 255.255.255.0
global (outside) 10 interface
ASA/pri/act# show xlate detail
1 in use,
2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
TCP PAT from inside:10.1.1.1/61971 to outside:201.100.1.10/1024 flags ri
8.4
object network nat
subnet 10.1.1.0 255.255.255.0
object network nat
nat (inside,outside) dynamic interface
ASA8-4(config)# show xlate
1 in use,
2 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
TCP PAT from inside:10.1.1.1/35322 to outside:201.100.1.10/52970 flags ri idle 0:00:03
timeout 0:00:30
4.8.2(不同的内部地址转换成不同的外部地址)
nat (inside) 9 1.1.1.0 255.255.255.0
nat (inside) 10 10.1.1.0 255.255.255.0
//排列标准,先看明细,越明细的越在前面,明细相同看IP地址,IP址址小的在前面,在实际作用的时候也是按照这个面序来的。
global (outside) 10 interface
global (outside) 9 201.100.1.111
ASA/pri/act# show xlate detail
2 in use, 2 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
TCP PAT from inside:1.1.1.1/51343 to outside:201.100.1.111/1026 flags ri
TCP PAT from inside:10.1.1.1/13938 to outside:201.100.1.10/1028 flags ri
8.4
ASA8-4# show running-config object
object network inside1
subnet 10.1.1.0 255.255.255.0
object network inside2
subnet 1.1.1.0 255.255.255.0
object network ouside-inside2
host 201.100.1.110
ASA8-4# show running-config nat
!
object network inside1
nat (inside,outside) dynamic interface
object network inside2
nat (inside,outside) dynamic ouside-inside2
ASA8-4# show xlate
2 in use, 2 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
TCP PAT from inside:1.1.1.1/59611 to outside:201.100.1.110/34338 flags ri idle 0:00:08 timeout 0:00:30
TCP PAT from inside:10.1.1.1/22181 to outside:201.100.1.10/53371 flags ri idle 0:00:19 timeout
0:00:30
5.8.2(先做一对一转换,当且仅点地址都用完了,在做PAT转换)
ASA/pri/act# show running-config nat
nat (inside) 10 10.1.1.0 255.255.255.0
ASA/pri/act# show running-config global
global (outside) 10 201.100.1.110-201.100.1.112
global (outside) 10 201.100.1.116
ASA/pri/act# show xlate detail
4 in use,
5 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:10.1.1.1 to outside:201.100.1.110 flags i
NAT from inside:10.1.1.3 to outside:201.100.1.112 flags i
TCP PAT from inside:10.1.1.6/19799 to outside:201.100.1.116/1025 flags ri
NAT from inside:10.1.1.2 to outside:201.100.1.111 flags i
8.4
object network outside
range 201.100.1.110 201.100.1.112
object network inside
subnet 10.1.1.0 255.255.255.0
object network inside
nat (inside,outside) dynamic outside interface
ASA8-4# show xlate
4 in use, 4 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
TCP PAT from inside:10.1.1.4/49994 to outside:201.100.1.10/52626 flags ri idle 0:00:04 timeout 0:00:30
NAT from inside:10.1.1.1 to outside:201.100.1.111 flags i idle 0:01:31 timeout 3:00:00
NAT from inside:10.1.1.3 to outside:201.100.1.110 flags i idle 0:00:16 timeout 3:00:00
NAT from inside:10.1.1.2 to outside:201.100.1.112 flags i idle 0:00:33 timeout 3:00:006.
6.8.0 (策略NAT(从inside访问outside不同的端口号转换为不同的外部ip地址))(策略
nat永远是优于普通的nat的)
access-list pat1 extended permit tcp host 10.1.1.1 host 201.100.1.1 eq telnet
access-list pat2 extended permit tcp host 10.1.1.1 host 201.100.1.1 eq www
nat (inside) 10 access-list pat1
nat (inside) 20 access-list pat2
global (outside) 10 201.100.1.100
global (outside) 20 201.100.1.200
ASA/pri/act# show xlate deta
ASA/pri/act# show xlate detail
2 in use, 5 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
TCP PAT from inside:10.1.1.1/30449 to outside(pat2):201.100.1.200/1024 flags ri
TCP PAT from inside:10.1.1.1/43167 to outside(pat1):201.100.1.100/1024 flags ri
8.42
新版本(Twice NAT) ,这个是两次NAT,一般加入了基于目的的元素,而之前的network object 只是基于源的,通常情
况下使用object 就能解决问题了,这个只是在特殊情况下使用。一般我们把object 叫做Auto NAT ,而Twice NAT 叫
做manual NAT
object network outside1
host 201.100.1.100
object network outside2
host 201.100.1.200
object network inside
subnet 10.1.1.0 255.255.255.0
object network outside
host 201.100.1.1
object service telnet
service tcp destination eq telnet
object service http
service tcp destination eq www
nat (inside,outside) source dynamic inside outside1 destination static outside outside service telnet telnet
nat (inside,outside) source dynamic inside outside2 destination static outside outside service http http
ASA8-4# show xlate
1 in use, 4 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
TCP PAT from outside:201.100.1.1 23-23 to inside:201.100.1.1 80-80
flags srIT idle 0:00:37 timeout 0:00:00
注意T是twice nat就是源地址和目的地址都可以转换的。
7.0 (I – identity nat 自已转换成自已多用于remote vpn)
8.0
nat (inside) 0 10.1.1.0 255.255.255.0 (<0-2147483647> The
will be referenced by the global command to associate a
global pool with the local IP address.
to indicate no address translation for local IP. The limit is
65535 with access-lists)0表示自已转让换成自已。
ASA/pri/act# show xlate detail
1 in use, 5 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:10.1.1.1 to outside:10.1.1.1 flags iI注意这里面的I自已转换成自已。(这种情况下外部是不是访问内部的)
8.4
object network iden-nat
subnet 10.1.1.0 255.255.255.0
object network iden-nat
nat (inside,outside) static iden-nat
ASA8-4# show xlate
1 in use, 4 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:10.1.1.0/24 to outside:10.1.1.0/24
flags sI idle 0:00:07 timeout 0:00:00
上面全部都是其于source的nat转换,下面我们来探论基于static的nat转换。
8.8.02(静态nat转换,从outside到inside静态的一对一转换)
ASA/pri/act# show running-config static
static (inside,outside) 201.100.1.100 10.1.1.1 netmask 255.255.255.255
访问列表放行的是转换后的地址
access-list out line 1 extended permit tcp host 201.100.1.1 host 201.100.1.100 (hitcnt=9) 0x4a668fb0
ASA/pri/act# show xlate detail
1 in use, 5 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:10.1.1.1 to outside:201.100.1.100 flags s
8.42
ASA8-4# show running-config object
object network nat
host 10.1.1.1
ASA8-4# show running-config nat
!
object network nat
nat (inside,outside) static 201.100.1.100
ASA8-4# show xlate
1 in use, 4 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:10.1.1.1 to outside:201.100.1.100
flags s idle 0:00:52 timeout 0:00:00
access-list out line 1 extended permit tcp host 201.100.1.1 host 10.1.1.1 (hitcnt=1) 0xe8e098f5
列表放行的是内部主机真实的IP地址。
9. 8.0static pat(PORT redirection )只有一个公网地址,将访问公网地址不同的端口号,转换到
不同的服务器上去。
ASA/pri/act# show running-config static
static (inside,outside) tcp 201.100.1.100 telnet 10.1.1.1 www netmask 255.255.255.255
static (inside,outside) tcp 201.100.1.100 www 10.1.1.2 telnet netmask 255.255.255.255
ASA/pri/act# show xlate detail
2 in use, 5 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
TCP PAT from inside:10.1.1.1/80 to outside:201.100.1.100/23 flags sr
TCP PAT from inside:10.1.1.2/23 to outside:201.100.1.100/80 flags sr
access-list out line 1 extended permit tcp host 201.100.1.1 host 201.100.1.100 eq telnet (hitcnt=1) 0x57c792d9
access-list out line 2 extended permit tcp host 201.100.1.1 host 201.100.1.100 eq www (hitcnt=0) 0x463b6a3b
列表放行的也是转换后的地址及端口号。
8.4
新版本(Twice NAT)
object network inside1
host 10.1.1.1
object network inside2
host 10.1.1.2
object network outside
host 201.100.1.100
object service telnet
service tcp destination eq telnet
object service http
service tcp destination eq www
object network outside-des
host 201.100.1.1
ASA8-4(config)# show running-config nat
nat (outside,inside) source static outside-des outside-des destination static outside inside1 service http telnet
access-list out line 1 extended permit tcp host 201.100.1.1 host 10.1.1.1 eq telnet (hitcnt=1) 0x213cb7ce
R5-outside8.4#telnet 201.100.1.100 80
Trying 201.100.1.100, 80 ... Open
R4-inside1-8.4>
10.8.2 static-Identity转换,将内部地址自已转换成自已,并且外部可以访问。
外面可以访部内的static-Identity转换。
ASA/pri/act# show running-config static
static (inside,outside) 10.1.1.1 10.1.1.1 netmask 255.255.255.255
ASA/pri/act# show xlate detail
1 in use, 5 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:10.1.1.1 to outside:10.1.1.1 flags s
access-list out line 1 extended permit tcp host 201.100.1.1 host 10.1.1.1 (hitcnt=1) 0xe8e098f5
R2-outside#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
R1-inside>
R1-inside>show user
R1-inside>show users
Line User Host(s) Idle Location
0 con 0 idle 00:00:08
*130 vty 0 idle 00:00:00 201.100.1.1
Interface User Mode Idle Peer Address
8.4
ASA8-4# show running-config object
object network iden-nat
host 10.1.1.1
object network iden-nat
nat (inside,outside) static 10.1.1.1
ASA8-4# show xlate
1 in use, 4 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:10.1.1.1 to outside:10.1.1.1
flags sI idle 0:00:07 timeout 0:00:00
R5-outside8.4#tel
R5-outside8.4#telnet 10.1.1.1
Trying 10.1.1.1 ... Open
11.静态的网段转换(整个网段一对一转换)
8.0
static (inside,outside) 201.100.1.0 10.1.1.0 netmask 255.255.255.0
ASA/pri/act# show xlate detail
1 in use, 5 most used
Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random,
r - portmap, s - static
NAT from inside:10.1.1.0 to outside:201.100.1.0 flags s
access-list out line 1 extended permit tcp 201.100.1.0 255.255.255.0 201.100.1.0 255.255.255.0 (hitcnt=1) 0x34f8fd73
R2-outside#telnet 201.100.1.2
Trying 201.100.1.2 ... Open
8.4
object network inside
subnet 10.1.1.0 255.255.255.0
object network outside
subnet 201.100.1.0 255.255.255.0
object network inside
nat (inside,outside) static outside
ASA# show xlate
1 in use, 1 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
NAT from inside:10.1.1.0/24 to outside:201.100.1.0/24
flags s idle 0:03:19 timeout 0:00:00
access-list out line 1 extended permit tcp host 201.100.1.1 host 10.1.1.2 (hitcnt=1) 0x0b722de5 R5-outside8.4#telnet 201.100.1.2
Trying 201.100.1.2 ... Open
R4-inside1-8.4>
R4-inside1-8.4>show user
R4-inside1-8.4>show users
Line User Host(s) Idle Location
0 con 0 idle 00:00:04
*130 vty 0 idle 00:00:00 201.100.1.1
Interface User Mode Idle Peer Address
12. 8.0 nat (inside) 0 access-list特殊的nat 称为no-nat或者nat by-pass一般用于vpn
Vpn的流量不能被nat掉。
Nat (inside) 0 access-list(匹配vpn流量),access-list的流量是不会被nat转换的。
access-list vpn line 1 extended permit ip host 10.1.1.1 host 201.100.1.1 (hitcnt=0) 0x732d93c0 nat (inside) 0 access-list vpn
nat (inside) 10 10.1.1.0 255.255.255.0
匹配的流量没有做nat 没有匹配的流量做了nat转换。
R1-inside#show running-config interface eth0/0
Building configuration...
Current configuration : 77 bytes
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
half-duplex
end
R1-inside#
R1-inside#telnet 201.100.1.1
Trying 201.100.1.1 ... Open
R2-outside>show user
R2-outside>show users
Line User Host(s) Idle Location
0 con 0 idle 00:04:19
*130 vty 0 idle 00:00:00 10.1.1.1
Interface User Mode Idle Peer Address
R1-inside#show running-config interface ethernet 0/0
Building configuration...
Current configuration : 77 bytes
!
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
half-duplex
end
R1-inside#
R1-inside#
R1-inside#tle
R1-inside#te
R1-inside#tel
R1-inside#telnet 201.100.1.1
Trying 201.100.1.1 ... Open
R2-outside>show user
R2-outside>show users
Line User Host(s) Idle Location
0 con 0 idle 00:04:49
*130 vty 0 idle 00:00:00 201.100.1.10
Interface User Mode Idle Peer Address
R2-outside>
8.4要想旁路掉VPN流量,我们用identity nat自已转换成自已。
VPN 流量旁路
在老版本里面我们用NAT 0 来解决这个问题,而在新版本里面没有NAT 0 这个概念了,它用Twice NAT+Identify 组
合的使用
8.0
access-list 100 permit ip host 1.1.1.1 host 2.2.2.2
nat (inside) 0 access-list 100
8.4
object network local-vpn-traffic
host 1.1.1.1
object netowork remote-vpn-traffic
host 2.2.2.2
nat (inside,outside) source static local-vpn-traffic local-vpn-traffic destination static
remote-vpn-traffic
remote-vpn-traffic
做nat一定要用扩展列表:
防火墙旁路掉vpn流量。
nat (inside) 1 1.1.1.0 255.255.255.0
nat (inside) 1 10.1.1.0 255.255.255.0
global (outside) 1 201.100.1.100
nat (inside) 0 access-list l2l
access-list l2l line 1 extended permit ip 1.1.1.0 255.255.255.0 2.2.2.0 255.255.255.0
路由器做nat之后也会出现同样的问题。
路由器旁路掉vpn流量。
interface Ethernet0/0
ip address 201.100.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
half-duplex
crypto map l2l
end
interface Loopback0
ip address 2.2.2.2 255.255.255.0
ip nat inside
ip virtual-reassembly
end
ip nat inside source list 110 interface Ethernet0/0 overload
Extended IP access list 100
10 permit ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 (25 matches)
Extended IP access list 110
10 deny ip 2.2.2.0 0.0.0.255 1.1.1.0 0.0.0.255 (10 matches)(在nat的列表中首先deny掉vpn流量,因此做nat一定要用扩展的访问列表)
20 permit ip 2.2.2.0 0.0.0.255 any (2 matches)
防火啬旁路掉VPN流量用identiy nat自已转换成自已。而路由器旁路掉vpn流量,则是在nat 的access-list列表中deny掉vpn流量。写nat 的访问控制列表一定要用扩展的访问控制列表。
思科NAT配置实例
CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用
路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入: Ip nat inside source static 内部本地地址内部合法地址(2)、指定连接网络的内部端口在端口设置状态下输入:ip nat inside (3)、指定连接外部网络的外部端口在端口设置状态下输入:
cisco-asa-8.2与8.4的nat区别
1.NAT(nat-control,8.2有这条命令,开了的话没有nat是不通的) 1.8.2(PAT转换) global (outside) 10 201.100.1.100 nat (inside) 10 10.1.1.0 255.255.255.0 ASA/pri/act(config)# show xlate 1 in use, 1 most used PAT Global 201.100.1.100(1024) Local 10.1.1.1(11298) 8.4 object network nat subnet 10.1.1.0 255.255.255.0 object network nat nat (inside,outside) dynamic 201.100.1.100 ASA8-4# show xlate 1 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:10.1.1.1/53851 to outside:201.100.1.100/5810 flags ri idle 0:00:04 timeout 0:00:30 2.8.2(动态的一对一转换) nat (inside) 10 10.1.1.0 255.255.255.0 global (outside) 10 201.100.1.110-201.100.1.120 netmask 255.255.255.0 ASA/pri/act# show xlate detail 2 in use, 2 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static NAT from inside:10.1.1.1 to outside:201.100.1.110 flags i NAT from inside:10.1.1.2 to outside:201.100.1.111 flags i 8.4 object network nat subnet 10.1.1.0 255.255.255.0 object network outside-nat range 201.100.1.110 201.100.1.120 object network nat nat (inside,outside) dynamic outside-nat ASA8-4# show xlate 1 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice NAT from inside:10.1.1.1 to outside:201.100.1.115 flags i idle 0:01:13 timeout 3:00:00 3.8.2(转换成接口地址) nat (inside) 10 10.1.1.0 255.255.255.0 global (outside) 10 interface ASA/pri/act# show xlate detail 1 in use, 2 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static
NAT详尽的解释
随着internet的网络迅速发展,IP地址短缺已成为一个十分突出的问题。为了解决这个问题,出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-m ail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤: (1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:Ip nat inside source static 内部本地地址内部合法地址 (2)、指定连接网络的内部端口在端口设置状态下输入: ip nat inside (3)、指定连接外部网络的外部端口在端口设置状态下输入: ip nat outside 注:可以根据实际需要定义多个内部端口及多个外部端口。 实例1: 本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口,同步端口0作为外部端口。其中10.1.1.2,10.1.1.3,10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2,192.1.1.3,192.1.1.4。 路由器2501的配置: Current configuration: version 11.3
ip route 命令的作用详解
ip route 命令的作用详解 2009-11-27 18:49:19| 分类:学习资料|举报|字号订阅 内外网同时上网的解决办法 在cmd中运行route print查看路由表 如图 可见,在跃点数最低的情况下,内外网对应的两行将内外网添加到永久路由表 route -p add 0.0.0.0 mask 0.0.0.0 192.168.1.1 route -p add 148.0.0.0 mask 255.0.0.0 148.20.71.1 删除永久路由表则为: route delete 148.0.0.1
屏蔽访问IP和域名 https://www.wendangku.net/doc/004932346.html,/blog/cns!7BCDF75F323412FB!133.entry 命令行下运行route -p(-P表示重启后生效)add destip MASK 255.255.255.255 127.0.0.1 (用你要屏蔽的IP地址替换destip) 可能会报错,但是可以用route print(知识若不分享实在没有意义 https://www.wendangku.net/doc/004932346.html,) 看到它确实加进去了 比如 route -p add 220.189.126.2 MASK 255.255.255.255 127.0.0.1 route -p add 220.189.126.2 MASK 255.255.255.255 127.0.0.1 恢复屏蔽IP route delete 59.42.248.210 mask 255.255.255.255 ? 屏蔽域名 windows/system32/drivers/etc/hosts 怎样屏蔽IP地址 通常情况下,使用防火墙来阻断因特网交通是最好的办法。但是,低端防火墙,比如Internet Connection Firewall并不能过滤单个IP地址。有一个过滤单个IP 地址的办法是调整电脑上的路由表。路由命令行工具可以解决这个问题。这是一个较难使用的工具。不懂路由知识而贸然调整可能会导致电脑与网络失去连接。下面这样的命令可以阻断与IP地址为220.189.126.2的通信: route –p add 220.189.126.2 MASK 255.255.255.255 192.168.1.0 METRIC 1 IF 2 需要根据你的计算机调整接口号码,目的地IP应改为本地网络上以前不存在的一个地址。像我前面所说的,解决办法并不容易。 参考资料:https://www.wendangku.net/doc/004932346.html,/452/1845952.shtml
思科网络地址转换(NAT)配置
Isp no ena config t host ISP no ip domain-lookup line con 0 exec-timeout 0 0 inter e0/1 ip add 202.1.1.2 255.255.255.0 no shut inter e0/2 ip add 203.1.1.1 255.255.255.0 no shut router1 no ena config t no ip domain-lookup host Router1 line con 0 exec-timeout 0 0 host R1 inter e0/0 ip add 192.168.10.1 255.255.255.0 no shut inter e0/1
ip add 202.1.1.1 255.255.255.0 no shut ip route 0.0.0.0 0.0.0.0 202.1.1.2 int e0/0 //静态NAP ip nat inside int e0/1 ip nat outside ip nat inside source static 192.168.10.10 202.1.1.3 ip nat pool hello 202.1.1.10 202.1.1.12 netmask 255.255.255.0 //动态NAP access-list 1 permit 192.168.10.0 0.0.0.255 ip nat inside source list 1 pool hello ip nat inside source list 1 pool hello overload //PAT技术
IP Nat enable和 ip nat inside outside 区别
彻底理解Cisco NAT内部的一些事 一.Inside和Outside 很多在Cisco配置过NAT的人都有过一个疑问,那就是inside和outside的区别!以下是Cisco官方文档上关于NAT执行顺序的说明: 注意红色和蓝色圈住的部分,对于inside-outside而言,NAT发生在路由之后,而对于outside-inside而言,NAT发生在路由之前。这是目前为止,我们唯一需要记住的。 1.问题 迷惑的原因不在别的,就在inside,outside这个名字不好,实际上如果将inside-outside换成POST-ROUTING,将 outside-inside换成PRE-ROUTING的话,就非常好理解了,最重要的是,换了名字之后,NAT看起来不再和设备的inside/outside网口域相关,而和“路由”发生了关系,虽然本质上没有任何变化。 后面会介绍,实际上,在理解Cisco的NAT的时候,根本不能将inside 和outside单独拿出来理解,inside和outside仅仅是一个位置限定词,代表
“某地”,而具体的是“到某地去”还是“从某地来”,还需要一个副词,这就是source和destination。在详述这个之前,姑且先将inside和outside单 独拿出来使用。 接下来我来说明一下NAT和路由的关系是多么重要!考虑以下的数据流,我以“路由”这个动作为中心: 正向包:-->NAT point1-->路由-->NAT point2--> 返回包:<--NAT point1<--路由<--NAT point2<-- 我们看一下在NAT point1和NAT point2上要做些什么动作才合理。首先我们先考虑转换正向包的源IP地址发生在NAT point2,那么对于返回包,目标地址转换就发生在NAT point2,返回包转换完目标地址后,发生路由查询,数据包 正常返回,没有任何问题。现在考虑正向包的源IP地址转换发生在NAT point1,那么按照将NAT钩子操作安装在数据流同一位置的原则,返回包的目标地址转换只能发生在NAT point1,此时已经经过了路由查询,路由查询是基于目标地址 转换前的目标地址来的,也就是说这个路由结果并非真正的路由结果,真正要想将返回数据包送到目的地,必须基于转换后目标地址来查询路由表才可以,然而即便这个针对转换前目标的路由查询结果实际上是个假的结果,你也要必须把它映射成一个真的结果 (这就是ip nat outside source中add-route参数要做的事情,下面的例子详述)。以下给出一个实例:
CCNA考题分析:理解Show IP route命令
CCNA考题分析:理解Show IP route命令 You are a network administrator at Pcjob. You are troubleshooting a router problem. You issue the show ip route command on one of the routers. The output from the command is shown in the following exhibit: What does [120/3] represent? A. 120 is the bandwidth allocation and 3 is the routing process number. B. 120 is the administrative distance and 3 is the metric for that route. C. 120 is the value of the update timer and 3 is the number of updates received. D. 120 is the UDP port for forwarding traffic and 3 is the number of bridges. 作为Pcjob的网络管理员,你正在为路由器排错,你在其中的一台路由器使用show ip route命令,输出的结果如上图,[120/3]描述的是什么意思? 正确答案:B 解释:
路由器的IOS使用一个名为Administrative Distance(管理距离)的概念来决定使用哪一个路由。Admininstrative distance表示的是一个单独路由器中所有路由协议的可信度的这样一个数值,数值越低越好,也就是说,数值越低,路由协议可信度越高。 Route Type Administrative Distance • Connected 0 • IGRP 100 • RIP 120 参考资料: CCNA Self-Study CCNA ICND exam certification Guide (Cisco press, ISBN 1-58720-083-X) Page 177
vmware关于桥接和NAT的区别
vmware关于桥接和NAT的区别 (1)Bridged Networking(即网桥):网桥允许用户将虚拟机连接到主机所在的局域网(LAN)。此方式连接虚拟机中的虚拟以太网交换机到主机中的物理以太网适配器。 (2)NAT:网络地址翻译(NAT)设备允许用户将虚拟机连接到一个外部网络,在该网络中只有一个IP网络地址并且该地址已经被主机使用。 VMware的几个虚拟设备: VMnet0:这是VMware用于虚拟桥接网络下的虚拟交换机; VMnet1:这是VMware用于虚拟Host-Only网络下的虚拟交换机; VMnet8:这是VMware用于虚拟NAT网络下的虚拟交换机; VMware Network Adapter VMnet1:这是Host用于与Host-Only虚拟网络进行通信的虚拟网卡;VMware Network Adapter VMnet8:这是Host用于与NAT虚拟网络进行通信的虚拟网卡; 一、桥接网络: 可将虚拟机模拟接入主机所在的局域网。 二、nat网络: 在NAT网络中,会使用到VMnet8虚拟交换机,Host上的VMware Network Adapter VMnet8虚拟网卡被连接到VMnet8交换机上,来与Guest进行通信,但是VMware Network Adapter VMnet8虚拟网卡仅仅是用于和VMnet8网段通信用的,它并不为VMnet8网段提供路由功能,处于虚拟NAT网络下的Guest是使用虚拟的NAT服务器连接的Internet的。 这时候,你的Guest和Host就可以实现互访了,并且如果你的Host此时已经连接到了Internet,那么你的Guest也就可以连上Internet了。那么VMware Network Adapter VMnet8虚拟网卡在这里扮演了一个什么角色呢?它仅仅是为Host和NAT虚拟网络下的Guest通信提供一个接口,所以,即便Disable
思科交换机NAT配置介绍及实例
思科交换机NAT配置介绍及实例 CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。二、NAT 的应用环境: 情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。 情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置: 设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤:
思科NAT配置实例
CISCONAT配置 一、NAT简介NAT(Network Address Translation)的功能,就是指在一个网络内部,根据需要可以随意自定义的IP地址,而不需要经过申请。在网络内部,各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时,具有NAT功能的设备(比如:路由器)负责将其内部的IP地址转换为合法的IP地址(即经过申请的IP地址)进行通信。 二、NAT 的应用环境:情况1:一个企业不想让外部网络用户知道自己的网络内部结构,可以通过NAT将内部网络与外部Internet 隔离开,则外部用户根本不知道通过NAT设置的内部IP地址。情况2:一个企业申请的合法Internet IP地址很少,而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置:设置NAT功能的路由器至少要有一个内部端口(Inside),一个外部端口(Outside)。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络,如Internet 。外部端口可以为路由器上的任意端口。
设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Cisco2501,其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念: 内部本地地址(Inside local address):分配给内部网络中的计算机的内部IP地址。 内部合法地址(Inside global address):对外进入IP通信时,代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法: NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境静态地址转换将内部本地地址与内部合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。 静态地址转换基本配置步骤:(1)、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入:Ip nat inside source static 内部本地地址内部合法地址 (2)、指定连接网络的内部端口在端口设置状态下输入:
虚拟机bridged、host-only和NAT网络模式的区别和用法
VMWare提供了三种工作模式,它们是bridged(bridged模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们,你就应该先了解一下这三种工作模式。 1.bridged(桥接模式) 在bridged模式下,VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机,它可以访问网内任何一台机器。在bridged模式下,你需要手工为虚拟系统配置IP地址、子网掩码,而且还要和宿主机器处于同一网段,这样虚拟系统才能和宿主机器进行通信。同时,由于这个虚拟系统是局域网中的一个独立的主机系统,那么就可以手工配置它的TCP/IP配置信息,以实现通过局域网的网关或路由器访问互联网。 使用bridged模式的虚拟系统和宿主机器的关系,就像连接在同一个Hub上的两台电脑。想让它们相互通讯,你就需要为虚拟系统配置IP地址和子网掩码,否则就无法通信。 如果你想利用VMWare在局域网内新建一个虚拟服务器,为局域网用户提供网络服务,就应该选择bridged模式。 这种方式最简单,直接将虚拟网卡桥接到一个物理网卡上面,和linux下一个网卡绑定两个不同地址类似,实际上是将网卡设置为混杂模式,从而达到侦听多个IP的能力。 在此种模式下,虚拟机内部的网卡(例如linux下的eth0)直接连到了物理网卡所在的网络上,可以想象为虚拟机和host机处于对等的地位,在网络关系上是平等的,没有谁在谁后面的问题。 使用这种方式很简单,前提是你可以得到1个以上的地址。对于想进行种种网络实验的朋友不太适合,因为你无法对虚拟机的网络进行控制,它直接出去了。 2.NAT(网络地址转换模式) 使用NAT模式,就是让虚拟系统借助NAT(网络地址转换)功能,通过宿主机器所在的网络来访问公网。也就是说,使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的,无法进行手工修改,因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单,你不需要进行任何其他的配置,只需要宿主机器能访问互联网即可。 这种方式也可以实现Host OS与Guest OS的双向访问。但网络内其他机器不能访问Guest OS,Guest OS可通过Host OS用NAT协议访问网络内其他机器。NAT方式的IP地址配置方法是由VMware的虚拟DHCP服务器中分配一个IP ,在这个IP地址中已经设置好路由,就是指向 如果你想利用VMWare安装一个新的虚拟系统,在虚拟系统中不用进行任何手工配置就能直接访问互联网,建议你采用NAT模式。 这种方式下host内部出现了一个虚拟的网卡vmnet8(默认情况下),如果你有过做nat服务器的经验,这里的vmnet8就相当于连接到内网的网卡,而虚拟机本身则相当于运行在内网上的机器,虚拟机内的网卡(eth0)则独立于vmnet8。 你会发现在这种方式下,vmware自带的dhcp会默认地加载到vmnet8界面上,这样虚拟机就可以使用dhcp服务。更为重要的是,vmware自带了nat服务,提供了从vmnet8到外网的地址转换,所以这种情况是一个实实在在的nat服务器在运行,只不过是供虚拟机用的。很显然,如果你只有一个外网地址,此种方式很合适。 host-only(主机模式) 在某些特殊的网络调试环境中,要求将真实环境和虚拟环境隔离开,这时你就可采用host-only模式。在host-only模式中,所有的虚拟系统是可以相互通信的,但虚拟系统和真实的网络是被隔离开的。 提示:在host-only模式下,虚拟系统和宿主机器系统是可以相互通信的,相当于这两台机器
NAT技术原理
nat网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有(保留)地址转化为合法IP地址的转换技术,它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单,NAT不仅完美地解决了lP地址不足的问题,而且还能够有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机。编辑本段网络地址转换(NAT)简介NAT概述NAT(Network Address Translation,网络地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式,将有助于减缓可用IP 地址空间的枯竭。[1] 说明:私有IP 地址是指内部网络或主机的IP 地址,公有IP 地址是指在因特网上全球唯一的IP 地址。RFC 1918 为私有网络预留出了三个IP 地址块,如下: A 类:10.0.0.0~10.255.255.255 B 类:172.16.0.0~172.31.255.255 C 类:192.168.0.0~192.168.255.255 上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。NAT技术的产生虽然NAT可以借助于某些代理服务器来实现,但考虑到运算成本和网络性能,很多时候都是在路由器上来实现的。随着接入Internet的计算机数量的不断猛增,IP地址资源也就愈加显得捉襟见肘。事实上,除了中国教育和科研计算机网(CERNET)外,一般用户几乎申请不到整段的C类IP地址。在其他ISP那里,即使是拥有几百台计算机的大型局域网用户,当他们申请IP地址时,所分配的地址也不过只有几个或十几个IP地址。显然,这样少的IP地址根本无法满足网络用户的需求,于是也就产生了NAT技术。NAT技术的作用借助于NAT,私有(保留)地址的"内部"网络通过路由器发送数据包时,私有地址被转换成合法的IP地址,一个局域网只需使用少量IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP 地址和目的IP地址,Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP 地址嵌入到IP报文的数据部分中,所以还需要同时对报文的数据部分进行修改,以匹配IP头中已经修改过的源IP地址。否则,在报文数据都分别嵌入IP地址的应用程序就不能正常工作。NAT技术实现方式NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。静态转换是指将
windows下 route命令详解
网络路由技术及运用(2) 本文首先介绍网络路由相关概念,然后结合不同的操作平台和不同的硬件设备对常见的网络组织和路由设置功能以及具体运用作一个简单的介绍 二、WINDOWS系统下设置路由 在WINDOWS下手动设置路由主要在DOS系统中命令符下(在运行输入栏中键入COMMAND或者CMD即可)进行。 键入命令ROUTE回车会出现大约几十行英文说明,主要解说在WINDOWS系统中如何添加、删除、修改路由。现简单介绍如下: ROUTE命令格式如下: ROUTE [-f] [-p] [command [destination] [MASK netmask] [gateway] [METRIC metric] [IF interface] 其中–f 参数用于清除路由表,-p参数用于永久保留某条路由(即在系统重启时不会丢失路由,但在WINDOWS95下无效)。 Command主要有PRINT(打印)、ADD(添加)、DELETE(删除)、CHANGE(修改)共4个命令。 Destination代表所要达到的目标IP地址。 MASK是子网掩码的关键字。Netmask代表具体的子网掩码,如果不加说明,默认是 255.255.255.255(单机IP地址),因此键入掩码时候要特别小心,要确认添加的是某个IP地址还是IP网段。如果代表全部出口子网掩码可用0.0.0.0。 Gateway代表出口网关。 其他interface和metric分别代表特殊路由的接口数目和到达目标地址的代价,一般可不予理会。 我们根据单网卡和多网卡(以双网卡为例)两种情况叙述在WINDOWS下如何具体设置路由。 1、单网卡:
Nat穿透方法分析
Nat穿透方法分析 一、nat分类 静态NAT (Static NAT) 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址NAT (Pooled NAT) 在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。 网络地址端口转换NAPT(Port-Level NAT) 把内部地址映射到外部网络的一个IP地址的不同端口上。 二、基本nat分类 (1)Full Cone NAT(完全圆锥型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上 (2)Address Restricted Cone NAT(地址限制圆锥型 ) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P}的包才能和主机{X:y}通信 (3)Port Restricted Cone NAT(端口限制圆锥型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P,q}的包才能和主机{X:y}通信 (4)Symmetric NAT(对称型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定为{X:y}|{A:b}<->{P:q} NAT只接受来自{P:q}的incoming packet,将它转给{X:y} 每次客户机请求一个不同的公网地址和端口,NAT会新分配一个端口号{C,d} 三、Nat穿透方法分析 A机器在私网(192.168.0.4) A侧NAT服务器(210.21.12.140) B机器在另一个私网(192.168.0.5) B侧NAT服务器(210.15.27.140) C机器在公网(210.15.27.166)作为A和B之间的中介 A机器连接过C机器,假使是 A(192.168.0.4:5000)-> A侧NAT(转换后210.21.12.140:8000)-> C(210.15.27.166:2000) B机器也连接过C机器,假使是 B(192.168.0.5:5000)-> B侧NAT(转换后210.15.27.140:8000)-> C(210.15.27.166:2000) A机器连接过C机器后,A向C报告了自己的内部地址(192.168.0.4:5000),此时C不仅知道了A的外部地址 (C通过自己看到的210.21.12.140:8000)、也知道了A的内部地址。同理C也知道了B的外部地址(210.15.27.140:8000)和 内部地址(192.168.0.5:5000)。之后,C作为中介,把A的两个地址告诉了B,
IPSec的NAT穿越详细介绍
IPSec的NAT穿越详细介绍 1. 前言 IPSec提供了端到端的IP通信的安全性,但在NAT环境下对IPSec的支持有限,AH协议是肯定不能进行NAT的了,这和AH设计的理念是相违背的;ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道,无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。 NAT穿越(NATTraversal,NAT-T)就是为解决这个问题而提出的,在RFC3947,3948中定义,在RFC4306中也加入了NAT-T的说明,但并没废除RFC3947,3948,只是不区分阶段1和阶段2。该方法将ESP协议包封装到UDP包中(在原ESP协议的IP包头外添加新的IP头和UDP 头),使之可以在NAT环境下使用的一种方法,这样在NAT的内部网中可以有多个IPSec 主机建立VPN通道进行通信。 2. IKE协商使用UDP封装 RFC3947主要描述如何检测是否存在NAT设备,并如何在IKE中协商使用UDP来封装IPSec 数据包。 本帖隐藏的内容 2.1 检测 功能是检测通信中是否存在NAT设备和对方是否支持NAT-T。 正常的IKE协商使用的UDP包的源和目的端口都是500,如果存在NAT设备,大多数情况下该UDP包的源端口部分会改变,只有少数情况不改。接收方如果发现UDP源端口不是500,那可以确定数据是经过了NAT设备。另外,确定NAT的位置也是重要的,在检测对方失效(DPD)时,应该尽量由在NAT设备后面的一方主动进行DPD探测,而从另一方探测有可能会失败。检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的,如果自身支持NAT-T,在IKE 开始交互就要发送这种载荷,载荷内容是“RFC 3947”的MD5值,也就是十六进制的“4a131c81070358455c5728f20e95452f”。 判断是否在NAT设备后面是通过发送NAT-D(NAT-Discovery)载荷来实现的,载荷内容是IP 地址和UDP端口的HASH值,NAT-D载荷格式如下,载荷类型值是20: 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +---------------+---------------+---------------+---------------+ | Next Payload | RESERVED | Payload length | +---------------+---------------+---------------+---------------+ ~ HASH of the address and port ~ +---------------+---------------+---------------+---------------+ HASH值的计算方法如下,具体HASH是根据协商来确定的: HASH = HASH(CKY-I | CKY-R | IP | Port) CKY-I和CKY-R是协商发起方和响应方的cookie。 协商中双方各自至少要发送两个NAT-D载荷,第一个载荷是对方的地址和端口的HASH,后面的载荷是自己的地址和端口,如果本地有多个地址,则要发送多个载荷,包括所有地址和
dos命令ROUTE详解及使用格式
ROUTE命令详解 注:route命令最大的用途就是让你的计算机在单网卡下指定2个不同网段的ip并可以让你的计算机同时访问这两个网段的共享资源 内容: Route 在本地 IP 路由表中显示和修改条目。 语法 route [-f] [-p] [Command [Destination] [mask Netmask] [Gateway] [metric Metric]] [if Interface]] 参数 -f 清除所有不是主路由(网掩码为 255.255.255.255 的路由)、环回网络路由(目标为 127.0.0.0,网掩码为 255.255.255.0 的路由)或多播路由(目标为 224.0.0.0,网掩码为 240.0.0.0 的路由)的条目的路由表。如果它与命令之一(例如 add、change 或 delete)结合使用,表会在运行命令之前清除。 -p 与 add 命令共同使用时,指定路由被添加到注册表并在启动 TCP/IP 协议的时候初始化 IP 路由表。默认情况下,启动 TCP/IP 协议时不会保存添加的路由。与 print 命令一起使用时,则显示永久路由列表。所有其它的命令都忽略此参数。永久路由存储在注册表中的位置是 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\T cpip\Par ameters\PersistentRoutes。 Command 指定要运行的命令。下表列出了有效的命令。命令目的 add 添加路由 change 更改现存路由 delete 删除路由 print 打印路由Destination 指定路由的网络目标地址。目标地址可以是一个 IP 网络地址(其中网络地址的主机地址位设置为 0),对于主机路由是 IP 地址,对于默认路由是 0.0.0.0。 mask subnetmask 指定与网络目标地址相关联的网掩码(又称之为子网掩码)。子网掩码对于 IP 网络地址可以是一适当的子网掩码,对于主机路由是 255.255.255.255 ,对于默认路由是 0.0.0.0。如果忽略,则使用子网掩码 255.255.255.255。定义路由时由于目标地址和子网掩码之间的关系,目标地址不能比它对应的子网掩码更为详细。换句话说,如果子网掩码的一位是 0,则目标地址中的对应位就不能设置为 1。 Gateway 指定超过由网络目标和子网掩码定义的可达到的地址集的前一个或下一个跃点 IP 地址。对于本地连接的子网路由,网关地址是分配给连接子网接口的 IP 地址。对于要经过一个或多个路由器才可用到的远程路由,网关地址是一个分配给相邻路由器的、可直接达到的 IP 地址。 metric Metric 为路由指定所需跃点数的整数值(范围是 1 ~ 9999),它用来在路由表里的多个路由中选择与转发包中的目标地址最为匹配的路由。所选的路由具有最少的跃点数。跃点数能够反映跃点的数量、路径的速度、路径可靠性、路径吞吐量以及管理属性。 if Interface 指定目标可以到达的接口的接口索引。使用 route print 命令可以显示接口及其对应接口索引的列表。对于接口索引可以使用十进制或十六进制的值。对于十六进制值,要在十六进制数的前面加上 0x。忽略 if 参数时,接口由网关地址确定。
- ip_nat_inside_和_ip_nat_outside_的区别
- 虚拟机bridged、host-only和NAT网络模式的区别和用法
- NAT和路由有什么不同
- VMware中Bridged、NAT、host-only三种网络连接模式的原理及其区别
- (完整版)ciscoasa8.2与8.4的nat区别
- ip nat inside 和 ip nat outside 的区别
- nat 路由的不同
- 路由、NAT与代理的区别
- NAT静态映射
- NAT与Route的区别
- vmware关于桥接和NAT的区别
- 虚拟机桥接和NAT网络模式下地区别
- 三种NAT实现方式配置实例
- NAT和端口映射的区别
- ip nat inside sourse和ip nat source区别
- cisco asa 8.2与8.4的nat区别
- NAT设置之端口转发和端口映射和DMZ的区别
- 虚拟机里面桥接和NAT连接的区别
- ip_nat_inside_和_ip_nat_outside_的区别
- NAT加Overload和不加的区别