NAT加Overload和不加的区别解读

按图配置好各个路由交换和PC的IP地址。R1

interface FastEthernet0/0

ip address 12.1.1.1 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 172.16.16.254 255.255.255.0 duplex auto

speed auto

R2

interface FastEthernet0/0

ip address 12.1.1.2 255.255.255.0

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.1.254 255.255.255.0 duplex auto

speed auto

交换机什么都不用配置，当傻瓜交换机用！服务器

PC1

PC2

PC3

下面开始做NAT配置

1、在R2上配置静态默认路由

R2(config)#ip route 0.0.0.0 0.0.0.0 12.1.1.1

2、配置NAT的ACL

R2(config)#ip access-list standard acl_nat

R2(config-std-nacl)#permit 192.168.1.0 0.0.0.255

3、配置NAT池（为了实现效果，这里只给其中两台PC做NAT，方便等下测试！）

R2(config)#ip nat pool nat_pool 12.1.1.3 12.1.1.4 netmask 255.255.255.0

4、配置NAT（不加Overload的）

R2(config)#ip nat inside source list acl_nat pool nat_pool

5、应用到接口

R2(config)#interface fastEthernet 0/1

R2(config-if)#ip nat inside

R2(config)#interface fastEthernet 0/1

R2(config-if)#ip nat outside

完成，接下来测试！按原理说的话只其中两台PC能PING通服务器172.16.16.1

再看一下R2上的NAT转换表

R2#show ip nat translations

Pro Inside global Inside local Outside local Outside global

icmp 12.1.1.4:17 192.168.1.1:17 172.16.16.1:17 172.16.16.1:17

icmp 12.1.1.4:18 192.168.1.1:18 172.16.16.1:18 172.16.16.1:18

icmp 12.1.1.4:19 192.168.1.1:19 172.16.16.1:19 172.16.16.1:19

icmp 12.1.1.4:20 192.168.1.1:20 172.16.16.1:20 172.16.16.1:20

icmp 12.1.1.3:10 192.168.1.2:10 172.16.16.1:10 172.16.16.1:10

icmp 12.1.1.3:11 192.168.1.2:11 172.16.16.1:11 172.16.16.1:11

icmp 12.1.1.3:12 192.168.1.2:12 172.16.16.1:12 172.16.16.1:12

icmp 12.1.1.3:9 192.168.1.2:9 172.16.16.1:9 172.16.16.1:9

只能看到PC1和PC2的NAT转换，PC3不行！跟之前说的一样，因为没有加Overload。下面我们加Overload

只要在刚才第四步后面加Overload就行了，加完再测试

R2(config)#ip nat in source lis acl_nat pool nat_pool overload

加完了，再测试。测试前先在R2上清一下NAT转换表

R2#clear ip nat translation *

测试结果，按原理应该三台PC都可以PING通服务器172.16.16.1。

成功了！

下面是R1和R2的配置

R1#show running-config

Building configuration...

Current configuration : 471 bytes

!

version 12.4

no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption

!

hostname R1

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

interface FastEthernet0/0

ip address 12.1.1.1 255.255.255.0 duplex auto

speed auto

!

interface FastEthernet0/1

ip address 172.16.16.254 255.255.255.0 duplex auto

speed auto

!

interface Vlan1

no ip address

shutdown

!

ip classless

!

!

!

!

!

!

!

line con 0

line vty 0 4

login

!

!

!

end

R1#

R2#show running-config

Building configuration...

Current configuration : 717 bytes

!

version 12.4

no service timestamps log datetime msec

no service timestamps debug datetime msec

no service password-encryption

!

hostname R2

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

!

interface FastEthernet0/0

ip address 12.1.1.2 255.255.255.0

ip nat outside

duplex auto

speed auto

!

interface FastEthernet0/1

ip address 192.168.1.254 255.255.255.0

ip nat inside

duplex auto

speed auto

!

interface Vlan1

no ip address

shutdown

!

ip nat pool nat_pool 12.1.1.3 12.1.1.4 netmask 255.255.255.0 ip nat inside source list acl_nat pool nat_pool overload

ip classless

ip route 0.0.0.0 0.0.0.0 12.1.1.1

!

!

ip access-list standard acl_nat

permit 192.168.1.0 0.0.0.255

!

!

!

!

!

line con 0

line vty 0 4

login

!

!

!

end

R2#

最后总结一下，overload的意思就是复用，这个作用就是使用一个地址可以重复使用（用端口号进行区分），说白了就是如果不加overload就根据IP来转换，加overload的话就根据端口来转换！祝大家成功

NAT技术原理

nat网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术，是一种将私有（保留）地址转化为合法IP地址的转换技术，它被广泛应用于各种类型Internet接入方式和各种类型的网络中。原因很简单，NAT不仅完美地解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。编辑本段网络地址转换（NAT）简介NAT概述NAT（Network Address Translation，网络地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP 地址代表较多的私有IP 地址的方式，将有助于减缓可用IP 地址空间的枯竭。[1] 说明：私有IP 地址是指内部网络或主机的IP 地址，公有IP 地址是指在因特网上全球唯一的IP 地址。RFC 1918 为私有网络预留出了三个IP 地址块，如下： A 类：10.0.0.0～10.255.255.255 B 类：172.16.0.0～172.31.255.255 C 类：192.168.0.0～192.168.255.255 上述三个范围内的地址不会在因特网上被分配，因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。NAT技术的产生虽然NAT可以借助于某些代理服务器来实现，但考虑到运算成本和网络性能，很多时候都是在路由器上来实现的。随着接入Internet的计算机数量的不断猛增，IP地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网（CERNET）外，一般用户几乎申请不到整段的C类IP地址。在其他ISP那里，即使是拥有几百台计算机的大型局域网用户，当他们申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求，于是也就产生了NAT技术。NAT技术的作用借助于NAT，私有（保留）地址的"内部"网络通过路由器发送数据包时，私有地址被转换成合法的IP地址，一个局域网只需使用少量IP地址（甚至是1个）即可实现私有地址网络内所有计算机与Internet的通信需求。NAT将自动修改IP报文的源IP 地址和目的IP地址，Ip地址校验则在NAT处理过程中自动完成。有些应用程序将源IP 地址嵌入到IP报文的数据部分中，所以还需要同时对报文的数据部分进行修改，以匹配IP头中已经修改过的源IP地址。否则，在报文数据都分别嵌入IP地址的应用程序就不能正常工作。NAT技术实现方式NAT的实现方式有三种，即静态转换Static Nat、动态转换Dynamic Nat 和端口多路复用OverLoad。静态转换是指将

cisco-asa-8.2与8.4的nat区别

1.NAT(nat-control,8.2有这条命令，开了的话没有nat是不通的) 1.8.2(PAT转换) global (outside) 10 201.100.1.100 nat (inside) 10 10.1.1.0 255.255.255.0 ASA/pri/act(config)# show xlate 1 in use, 1 most used PAT Global 201.100.1.100(1024) Local 10.1.1.1(11298) 8.4 object network nat subnet 10.1.1.0 255.255.255.0 object network nat nat (inside,outside) dynamic 201.100.1.100 ASA8-4# show xlate 1 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice TCP PAT from inside:10.1.1.1/53851 to outside:201.100.1.100/5810 flags ri idle 0:00:04 timeout 0:00:30 2.8.2（动态的一对一转换） nat (inside) 10 10.1.1.0 255.255.255.0 global (outside) 10 201.100.1.110-201.100.1.120 netmask 255.255.255.0 ASA/pri/act# show xlate detail 2 in use, 2 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static NAT from inside:10.1.1.1 to outside:201.100.1.110 flags i NAT from inside:10.1.1.2 to outside:201.100.1.111 flags i 8.4 object network nat subnet 10.1.1.0 255.255.255.0 object network outside-nat range 201.100.1.110 201.100.1.120 object network nat nat (inside,outside) dynamic outside-nat ASA8-4# show xlate 1 in use, 2 most used Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice NAT from inside:10.1.1.1 to outside:201.100.1.115 flags i idle 0:01:13 timeout 3:00:00 3.8.2(转换成接口地址) nat (inside) 10 10.1.1.0 255.255.255.0 global (outside) 10 interface ASA/pri/act# show xlate detail 1 in use, 2 most used Flags: D - DNS, d - dump, I - identity, i - dynamic, n - no random, r - portmap, s - static

NAT详尽的解释

随着internet的网络迅速发展，IP地址短缺已成为一个十分突出的问题。为了解决这个问题，出现了多种解决方案。下面几绍一种在目前网络环境中比较有效的方法即地址转换(NAT)功能。 一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。 二、NAT 的应用环境： 情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置： 设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念： 内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。 内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-m ail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 静态地址转换基本配置步骤： （1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入：Ip nat inside source static 内部本地地址内部合法地址 （2）、指定连接网络的内部端口在端口设置状态下输入： ip nat inside （3）、指定连接外部网络的外部端口在端口设置状态下输入： ip nat outside 注：可以根据实际需要定义多个内部端口及多个外部端口。 实例1： 本实例实现静态NAT地址转换功能。将2501的以太口作为内部端口，同步端口０作为外部端口。其中10.1.1.2，10.1.1.3，10.1.1.4的内部本地地址采用静态地址转换。其内部合法地址分别对应为192.1.1.2，192.1.1.3，192.1.1.4。 路由器2501的配置： Current configuration： version 11.3

ip route 命令的作用详解

ip route 命令的作用详解 2009-11-27 18:49:19| 分类：学习资料|举报|字号订阅 内外网同时上网的解决办法 在cmd中运行route print查看路由表 如图 可见，在跃点数最低的情况下，内外网对应的两行将内外网添加到永久路由表 route -p add 0.0.0.0 mask 0.0.0.0 192.168.1.1 route -p add 148.0.0.0 mask 255.0.0.0 148.20.71.1 删除永久路由表则为： route delete 148.0.0.1

屏蔽访问IP和域名 https://www.wendangku.net/doc/9513340046.html,/blog/cns!7BCDF75F323412FB!133.entry 命令行下运行route -p（-P表示重启后生效）add destip MASK 255.255.255.255 127.0.0.1 (用你要屏蔽的IP地址替换destip) 可能会报错，但是可以用route print(知识若不分享实在没有意义 https://www.wendangku.net/doc/9513340046.html,) 看到它确实加进去了 比如 route -p add 220.189.126.2 MASK 255.255.255.255 127.0.0.1 route -p add 220.189.126.2 MASK 255.255.255.255 127.0.0.1 恢复屏蔽IP route delete 59.42.248.210 mask 255.255.255.255 ? 屏蔽域名 windows/system32/drivers/etc/hosts 怎样屏蔽IP地址 通常情况下，使用防火墙来阻断因特网交通是最好的办法。但是，低端防火墙，比如Internet Connection Firewall并不能过滤单个IP地址。有一个过滤单个IP 地址的办法是调整电脑上的路由表。路由命令行工具可以解决这个问题。这是一个较难使用的工具。不懂路由知识而贸然调整可能会导致电脑与网络失去连接。下面这样的命令可以阻断与IP地址为220.189.126.2的通信： route –p add 220.189.126.2 MASK 255.255.255.255 192.168.1.0 METRIC 1 IF 2 需要根据你的计算机调整接口号码，目的地IP应改为本地网络上以前不存在的一个地址。像我前面所说的，解决办法并不容易。 参考资料：https://www.wendangku.net/doc/9513340046.html,/452/1845952.shtml

IP Nat enable和 ip nat inside outside 区别

彻底理解Cisco NAT内部的一些事 一.Inside和Outside 很多在Cisco配置过NAT的人都有过一个疑问，那就是inside和outside的区别！以下是Cisco官方文档上关于NAT执行顺序的说明： 注意红色和蓝色圈住的部分，对于inside-outside而言，NAT发生在路由之后，而对于outside-inside而言，NAT发生在路由之前。这是目前为止，我们唯一需要记住的。 1.问题 迷惑的原因不在别的，就在inside，outside这个名字不好，实际上如果将inside-outside换成POST-ROUTING，将 outside-inside换成PRE-ROUTING的话，就非常好理解了，最重要的是，换了名字之后，NAT看起来不再和设备的inside/outside网口域相关，而和“路由”发生了关系，虽然本质上没有任何变化。 后面会介绍，实际上，在理解Cisco的NAT的时候，根本不能将inside 和outside单独拿出来理解，inside和outside仅仅是一个位置限定词，代表

“某地”，而具体的是“到某地去”还是“从某地来”，还需要一个副词，这就是source和destination。在详述这个之前，姑且先将inside和outside单 独拿出来使用。 接下来我来说明一下NAT和路由的关系是多么重要！考虑以下的数据流，我以“路由”这个动作为中心： 正向包：-->NAT point1-->路由-->NAT point2--> 返回包：<--NAT point1<--路由<--NAT point2<-- 我们看一下在NAT point1和NAT point2上要做些什么动作才合理。首先我们先考虑转换正向包的源IP地址发生在NAT point2，那么对于返回包，目标地址转换就发生在NAT point2，返回包转换完目标地址后，发生路由查询，数据包 正常返回，没有任何问题。现在考虑正向包的源IP地址转换发生在NAT point1，那么按照将NAT钩子操作安装在数据流同一位置的原则，返回包的目标地址转换只能发生在NAT point1，此时已经经过了路由查询，路由查询是基于目标地址 转换前的目标地址来的，也就是说这个路由结果并非真正的路由结果，真正要想将返回数据包送到目的地，必须基于转换后目标地址来查询路由表才可以，然而即便这个针对转换前目标的路由查询结果实际上是个假的结果，你也要必须把它映射成一个真的结果 (这就是ip nat outside source中add-route参数要做的事情，下面的例子详述)。以下给出一个实例：

思科NAT配置实例

CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。 二、NAT 的应用环境： 情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置： 设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用

路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。四、关于NAT的几个概念： 内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。 内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 静态地址转换基本配置步骤： （1）、在内部本地地址与内部合法地址之间建立静态地址转换。在全局设置状态下输入： Ip nat inside source static 内部本地地址内部合法地址（2）、指定连接网络的内部端口在端口设置状态下输入：ip nat inside （3）、指定连接外部网络的外部端口在端口设置状态下输入：

CCNA考题分析：理解Show IP route命令

CCNA考题分析：理解Show IP route命令 You are a network administrator at Pcjob. You are troubleshooting a router problem. You issue the show ip route command on one of the routers. The output from the command is shown in the following exhibit: What does [120/3] represent? A. 120 is the bandwidth allocation and 3 is the routing process number. B. 120 is the administrative distance and 3 is the metric for that route. C. 120 is the value of the update timer and 3 is the number of updates received. D. 120 is the UDP port for forwarding traffic and 3 is the number of bridges. 作为Pcjob的网络管理员，你正在为路由器排错，你在其中的一台路由器使用show ip route命令，输出的结果如上图，[120/3]描述的是什么意思？ 正确答案：B 解释：

路由器的IOS使用一个名为Administrative Distance(管理距离)的概念来决定使用哪一个路由。Admininstrative distance表示的是一个单独路由器中所有路由协议的可信度的这样一个数值，数值越低越好，也就是说，数值越低，路由协议可信度越高。 Route Type Administrative Distance • Connected 0 • IGRP 100 • RIP 120 参考资料： CCNA Self-Study CCNA ICND exam certification Guide (Cisco press, ISBN 1-58720-083-X) Page 177

NAT网络地址转换技术的应用与实现

编号：_______________ 商丘科技职业学院 毕业论文 题目： NAT技术在网络中的应用与实现 系别计算机科学系 专业 学生姓名 成绩 指导教师 2011年 4月

商丘科技职业学院毕业论文 摘要 随着互联网的普及，IP地址缺乏问题日益恶化，为了缓解问题，在IP地址分配和保留IP地址方面提出了许多办法，甚至提出新一代的IPv6技术从根本上解决地址空间问题。但由于多方面的原因，NA T成为了事实上广泛使用的解决方法，是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP地址，以缓解可用IP地址空间的消耗。本课程设计主要对NAT技术进行系统分析，并举出一个应用实例，在网络模拟器中将其具体实现，深入了解其工作原理与数据包每次被修改的情况，了解技术存在的缺点。 关键词：IP地址分配保留IP地址 NAT

NAT技术在网络中的应用与实现 目录 绪论 (1) 第1章背景简述 (2) 1.1IP地址现状 (2) 1.2现存解决方案 (2) 第二章NAT技术分析 (3) 2.1NAT类型 (3) 2.2NAT术语 (4) 2.3NAT工作原理 (4) 第三章NAT的应用实例 (6) 3.1实例描述 (6) 3.2实例的设计方案 (7) 3.3实例的配置重点 (8) 3.4实例的分析 (10) 结束语 (12) 参考文献 (13)

商丘科技职业学院毕业论文 绪论 随着互联网的普及，接入网络的计算机数量增长非常迅速，目前使用的IPv4地址空间有限，可用的公网合法IP非常短缺。人们为了缓解日益恶化的地址缺乏问题，在IP地址的分配和保留IP地址方面采取了许多办法。现存的解决办法包括ISP方面对公网地址的动态分配与回收、使用DHCP动态分配与回收、可变长子网掩码（VLSM）[1]技术、无类域间路由（CIDR）技术，甚至提出新一代的IPv6[3]技术从根本上解决地址空间问题，但由于多方面的原因，IPv6到目前还没有得到普及，而网络地址转换（NA T）[2]技术的使用，是我们至今在互联网上没有使用完合法IPv4地址的真实原因。它主要思想是把本地的私有IP地址映射到公网的合法IP 地址，以缓解可用IP地址空间的消耗。虽然，它没有像IPv6那种从根本上解决问题，但在IPv6没有得到普及的今天，成为了事实上广泛使用的解决方法。

vmware关于桥接和NAT的区别

vmware关于桥接和NAT的区别 （1）Bridged Networking(即网桥)：网桥允许用户将虚拟机连接到主机所在的局域网(LAN)。此方式连接虚拟机中的虚拟以太网交换机到主机中的物理以太网适配器。 （2）NAT：网络地址翻译(NAT)设备允许用户将虚拟机连接到一个外部网络，在该网络中只有一个IP网络地址并且该地址已经被主机使用。 VMware的几个虚拟设备： VMnet0：这是VMware用于虚拟桥接网络下的虚拟交换机； VMnet1：这是VMware用于虚拟Host-Only网络下的虚拟交换机； VMnet8：这是VMware用于虚拟NAT网络下的虚拟交换机； VMware Network Adapter VMnet1：这是Host用于与Host-Only虚拟网络进行通信的虚拟网卡；VMware Network Adapter VMnet8：这是Host用于与NAT虚拟网络进行通信的虚拟网卡； 一、桥接网络： 可将虚拟机模拟接入主机所在的局域网。 二、nat网络： 在NAT网络中，会使用到VMnet8虚拟交换机，Host上的VMware Network Adapter VMnet8虚拟网卡被连接到VMnet8交换机上，来与Guest进行通信，但是VMware Network Adapter VMnet8虚拟网卡仅仅是用于和VMnet8网段通信用的，它并不为VMnet8网段提供路由功能，处于虚拟NAT网络下的Guest是使用虚拟的NAT服务器连接的Internet的。 这时候，你的Guest和Host就可以实现互访了，并且如果你的Host此时已经连接到了Internet，那么你的Guest也就可以连上Internet了。那么VMware Network Adapter VMnet8虚拟网卡在这里扮演了一个什么角色呢？它仅仅是为Host和NAT虚拟网络下的Guest通信提供一个接口，所以，即便Disable

思科交换机NAT配置介绍及实例

思科交换机NAT配置介绍及实例 CISCONAT配置 一、NAT简介 NAT(Network Address Translation)的功能，就是指在一个网络内部，根据需要可以随意自定义的IP地址，而不需要经过申请。在网络内部，各计算机间通过内部的IP地址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地址（即经过申请的IP地址）进行通信。二、NAT 的应用环境： 情况1：一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet 隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。 情况2：一个企业申请的合法Internet IP地址很少，而内部网络用户很多。可以通过NAT 功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、设置NAT所需路由器的硬件配置和软件配置： 设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本文事例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。 四、关于NAT的几个概念： 内部本地地址（Inside local address）：分配给内部网络中的计算机的内部IP地址。 内部合法地址（Inside global address）：对外进入IP通信时，代表一个或多个内部本地地址的合法IP地址。需要申请才可取得的IP地址。 五、NAT的设置方法： NAT设置可以分为静态地址转换、动态地址转换、复用动态地址转换。 1、静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。 静态地址转换基本配置步骤：

三种NAT实现方式配置实例

NAT有3种实现方式，包括有静态NAT动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT，即复用断口NAT，也叫PNAT. 所以掌握最后配置就可以了。 静态NAT 配置步骤： 首先，配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。 其次，定义静态建立IP 地址之间的静态映射。最后，指定其默认路由。 Router>en (进入特权模式) Router#config (进入全局配置模式) Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3 (命名为R3) R3(config)#no ip domain-lo (关闭域名查询，在实验环境中，敲入错误的命令， 它将进行域名查询，故关闭他) R3(config)#line c 0 (进入线路CONSOLE 接口0 下) R3(config-line)#logg syn (启用光标跟随，防止日志信息冲断命令显示的位置) R3(config-line)#exec-t 0 0 (防止超时，0 0 为永不超时) R3(config-line)#exit R3(config)#int e0 (进入以太网接口下) R3(config-if)#ip add 192.168.1.1 255.255.255.0(设置IP 地址) R3(config-if)#ip nat inside (设置为内部接口) R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 (进入串口下) R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside (设置为外部接口) R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.(1 设置静态转换，其中ip nat inside source 为NAT 转换关键字，这里是静态，故为STATIC ) R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 sO这里是出口或者下一跳地址) R3(config)#exit 动态NAT 配置步骤： 首先，配置各需要转换的接口的IP,设置内外网IP等。其次，定义动态地址转换池列表再次，配置ACL 列表，需要转换的内网IP 地址（或者网段）。最后，设置转换后的出口地址段及MASK （多IP 可以多分流，减轻转换后的负担）

虚拟机bridged、host-only和NAT网络模式的区别和用法

VMWare提供了三种工作模式，它们是bridged(bridged模式)、NAT(网络地址转换模式)和host-only(主机模式)。要想在网络管理和维护中合理应用它们，你就应该先了解一下这三种工作模式。 1.bridged(桥接模式) 在bridged模式下，VMWare虚拟出来的操作系统就像是局域网中的一台独立的主机，它可以访问网内任何一台机器。在bridged模式下，你需要手工为虚拟系统配置IP地址、子网掩码，而且还要和宿主机器处于同一网段，这样虚拟系统才能和宿主机器进行通信。同时，由于这个虚拟系统是局域网中的一个独立的主机系统，那么就可以手工配置它的TCP/IP配置信息，以实现通过局域网的网关或路由器访问互联网。 使用bridged模式的虚拟系统和宿主机器的关系，就像连接在同一个Hub上的两台电脑。想让它们相互通讯，你就需要为虚拟系统配置IP地址和子网掩码，否则就无法通信。 如果你想利用VMWare在局域网内新建一个虚拟服务器，为局域网用户提供网络服务，就应该选择bridged模式。 这种方式最简单，直接将虚拟网卡桥接到一个物理网卡上面，和linux下一个网卡绑定两个不同地址类似，实际上是将网卡设置为混杂模式，从而达到侦听多个IP的能力。 在此种模式下，虚拟机内部的网卡（例如linux下的eth0)直接连到了物理网卡所在的网络上，可以想象为虚拟机和host机处于对等的地位，在网络关系上是平等的，没有谁在谁后面的问题。 使用这种方式很简单，前提是你可以得到1个以上的地址。对于想进行种种网络实验的朋友不太适合，因为你无法对虚拟机的网络进行控制，它直接出去了。 2.NAT(网络地址转换模式) 使用NAT模式，就是让虚拟系统借助NAT(网络地址转换)功能，通过宿主机器所在的网络来访问公网。也就是说，使用NAT模式可以实现在虚拟系统里访问互联网。NAT模式下的虚拟系统的TCP/IP配置信息是由VMnet8(NAT)虚拟网络的DHCP服务器提供的，无法进行手工修改，因此虚拟系统也就无法和本局域网中的其他真实主机进行通讯。采用NAT模式最大的优势是虚拟系统接入互联网非常简单，你不需要进行任何其他的配置，只需要宿主机器能访问互联网即可。 这种方式也可以实现Host OS与Guest OS的双向访问。但网络内其他机器不能访问Guest OS，Guest OS可通过Host OS用NAT协议访问网络内其他机器。NAT方式的IP地址配置方法是由VMware的虚拟DHCP服务器中分配一个IP ，在这个IP地址中已经设置好路由，就是指向 如果你想利用VMWare安装一个新的虚拟系统，在虚拟系统中不用进行任何手工配置就能直接访问互联网，建议你采用NAT模式。 这种方式下host内部出现了一个虚拟的网卡vmnet8（默认情况下），如果你有过做nat服务器的经验，这里的vmnet8就相当于连接到内网的网卡，而虚拟机本身则相当于运行在内网上的机器，虚拟机内的网卡（eth0）则独立于vmnet8。 你会发现在这种方式下，vmware自带的dhcp会默认地加载到vmnet8界面上，这样虚拟机就可以使用dhcp服务。更为重要的是，vmware自带了nat服务，提供了从vmnet8到外网的地址转换，所以这种情况是一个实实在在的nat服务器在运行，只不过是供虚拟机用的。很显然，如果你只有一个外网地址，此种方式很合适。 host-only(主机模式) 在某些特殊的网络调试环境中，要求将真实环境和虚拟环境隔离开，这时你就可采用host-only模式。在host-only模式中，所有的虚拟系统是可以相互通信的，但虚拟系统和真实的网络是被隔离开的。 提示:在host-only模式下，虚拟系统和宿主机器系统是可以相互通信的，相当于这两台机器

windows下 route命令详解

网络路由技术及运用(2) 本文首先介绍网络路由相关概念，然后结合不同的操作平台和不同的硬件设备对常见的网络组织和路由设置功能以及具体运用作一个简单的介绍 二、WINDOWS系统下设置路由 在WINDOWS下手动设置路由主要在DOS系统中命令符下(在运行输入栏中键入COMMAND或者CMD即可)进行。 键入命令ROUTE回车会出现大约几十行英文说明，主要解说在WINDOWS系统中如何添加、删除、修改路由。现简单介绍如下： ROUTE命令格式如下： ROUTE [-f] [-p] [command [destination] [MASK netmask] [gateway] [METRIC metric] [IF interface] 其中–f 参数用于清除路由表，-p参数用于永久保留某条路由（即在系统重启时不会丢失路由，但在WINDOWS95下无效）。 Command主要有PRINT（打印）、ADD（添加）、DELETE（删除）、CHANGE（修改）共4个命令。 Destination代表所要达到的目标IP地址。 MASK是子网掩码的关键字。Netmask代表具体的子网掩码，如果不加说明，默认是 255.255.255.255（单机IP地址），因此键入掩码时候要特别小心，要确认添加的是某个IP地址还是IP网段。如果代表全部出口子网掩码可用0.0.0.0。 Gateway代表出口网关。 其他interface和metric分别代表特殊路由的接口数目和到达目标地址的代价，一般可不予理会。 我们根据单网卡和多网卡（以双网卡为例）两种情况叙述在WINDOWS下如何具体设置路由。 1、单网卡：

三种NAT实现方式配置实例

NAT有3种实现方式，包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态NAT是把内部网络中的每个主机地址永久映射成外部网络中的某个合法地址；动态地址NAT是采用把外部网络中的一系列合法地址使用动态分配的方法映射到内部网络；端口多路复用地址转换是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要，选择相应的NAT技术类型。 一般我们实际工作中都使用复用NAT，即复用断口NAT，也叫PNAT. 所以掌握最后配置就可以了。 静态NAT配置步骤： 首先，配置各接口的IP地址。内网使用私有IP.外网使用公网IP.并指定其属于内外接口。 其次，定义静态建立IP地址之间的静态映射。 最后，指定其默认路由。 Router>en（进入特权模式） Router#config （进入全局配置模式） Configuring From terminal, memory, or network [terminal]? Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ho R3（命名为R3） R3(config)#no ip domain-lo（关闭域名查询，在实验环境中，敲入错误的命令，它将进行域名查询，故关闭他） R3(config)#line c 0（进入线路CONSOLE接口0下） R3(config-line)#logg syn（启用光标跟随，防止日志信息冲断命令显示的位置）R3(config-line)#exec-t 0 0（防止超时，0 0为永不超时） R3(config-line)#exit R3(config)#int e0（进入以太网接口下） R3(config-if)#ip add 192.168.1.1 255.255.255.0（设置IP地址） R3(config-if)#ip nat inside（设置为内部接口） R3(config-if)#no shut R3(config-if)#exit R3(config)#int ser1 （进入串口下） R3(config-if)#ip add 100.0.0.1 255.255.255.0 R3(config-if)#no shut R3(config-if)#ip nat outside（设置为外部接口） R3(config-if)#exit R3(config)#ip nat inside source static 191.168.1.1 100.0.0.1（设置静态转换，其中ip nat inside source为NAT转换关键字，这里是静态，故为STATIC）R3(config)#ip classless R3(config)#ip route 0.0.0.0 0.0.0.0 s0(这里是出口或者下一跳地址) R3(config)#exit

Nat穿透方法分析

Nat穿透方法分析 一、nat分类 静态NAT (Static NAT) 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。 动态地址NAT (Pooled NAT) 在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。 网络地址端口转换NAPT（Port-Level NAT） 把内部地址映射到外部网络的一个IP地址的不同端口上。 二、基本nat分类 （1）Full Cone NAT(完全圆锥型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定任何包都可以通过地址{A:b}送到客户主机的{X:y}地址上 （2）Address Restricted Cone NAT(地址限制圆锥型 ) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P}的包才能和主机{X:y}通信 （3）Port Restricted Cone NAT(端口限制圆锥型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定只有来自主机{P,q}的包才能和主机{X:y}通信 （4）Symmetric NAT(对称型) NAT会将客户机地址{X:y}转换成公网地址{A:b}并绑定为{X:y}|{A:b}<->{P:q} NAT只接受来自{P:q}的incoming packet，将它转给{X:y} 每次客户机请求一个不同的公网地址和端口，NAT会新分配一个端口号{C,d} 三、Nat穿透方法分析 A机器在私网（192.168.0.4） A侧NAT服务器（210.21.12.140） B机器在另一个私网（192.168.0.5） B侧NAT服务器（210.15.27.140） C机器在公网（210.15.27.166）作为A和B之间的中介 A机器连接过C机器，假使是 A（192.168.0.4:5000）-> A侧NAT（转换后210.21.12.140:8000）-> C（210.15.27.166:2000） B机器也连接过C机器，假使是 B（192.168.0.5:5000）-> B侧NAT（转换后210.15.27.140:8000）-> C（210.15.27.166:2000） A机器连接过C机器后，A向C报告了自己的内部地址（192.168.0.4:5000），此时C不仅知道了A的外部地址 （C通过自己看到的210.21.12.140:8000）、也知道了A的内部地址。同理C也知道了B的外部地址（210.15.27.140:8000）和 内部地址（192.168.0.5:5000）。之后，C作为中介，把A的两个地址告诉了B，

IPSec的NAT穿越详细介绍

IPSec的NAT穿越详细介绍 1. 前言 IPSec提供了端到端的IP通信的安全性，但在NAT环境下对IPSec的支持有限，AH协议是肯定不能进行NAT的了，这和AH设计的理念是相违背的；ESP协议在NAT环境下最多只能有一个VPN主机能建立VPN通道，无法实现多台机器同时在NAT环境下进行ESP通信。关于IPSec在NAT环境下的需求问题在RFC3715中进行了描述。 NAT穿越(NATTraversal，NAT-T)就是为解决这个问题而提出的，在RFC3947，3948中定义，在RFC4306中也加入了NAT-T的说明，但并没废除RFC3947，3948，只是不区分阶段1和阶段2。该方法将ESP协议包封装到UDP包中（在原ESP协议的IP包头外添加新的IP头和UDP 头），使之可以在NAT环境下使用的一种方法，这样在NAT的内部网中可以有多个IPSec 主机建立VPN通道进行通信。 2. IKE协商使用UDP封装 RFC3947主要描述如何检测是否存在NAT设备，并如何在IKE中协商使用UDP来封装IPSec 数据包。 本帖隐藏的内容 2.1 检测 功能是检测通信中是否存在NAT设备和对方是否支持NAT-T。 正常的IKE协商使用的UDP包的源和目的端口都是500，如果存在NAT设备，大多数情况下该UDP包的源端口部分会改变，只有少数情况不改。接收方如果发现UDP源端口不是500，那可以确定数据是经过了NAT设备。另外，确定NAT的位置也是重要的，在检测对方失效（DPD）时，应该尽量由在NAT设备后面的一方主动进行DPD探测，而从另一方探测有可能会失败。检测对方是否支持NAT-T是通过交换vendor ID载荷来实现的，如果自身支持NAT-T，在IKE 开始交互就要发送这种载荷，载荷内容是“RFC 3947”的MD5值，也就是十六进制的“4a131c81070358455c5728f20e95452f”。 判断是否在NAT设备后面是通过发送NAT-D(NAT-Discovery)载荷来实现的，载荷内容是IP 地址和UDP端口的HASH值，NAT-D载荷格式如下，载荷类型值是20： 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 1 2 3 4 5 6 7 8 +---------------+---------------+---------------+---------------+ | Next Payload | RESERVED | Payload length | +---------------+---------------+---------------+---------------+ ~ HASH of the address and port ~ +---------------+---------------+---------------+---------------+ HASH值的计算方法如下，具体HASH是根据协商来确定的： HASH = HASH(CKY-I | CKY-R | IP | Port) CKY-I和CKY-R是协商发起方和响应方的cookie。 协商中双方各自至少要发送两个NAT-D载荷，第一个载荷是对方的地址和端口的HASH，后面的载荷是自己的地址和端口，如果本地有多个地址，则要发送多个载荷，包括所有地址和