CCNP之BSCI中文读书笔记-2-
module2 network address translation
configuring ip nat with access lists
看看nat的术语,如下:
1.ip nat inside:属于内网部分内的需要翻译成外部地址的接口
2.ip nat outside:属于外网和路由器相连的接口或者是在它的路由表里没有运载的有ip nat inside地址空间的信息
当包在下面的接口之间进行路由的话就需要nat:
1.ip nat inside接口到ip nat outside接口
2.ip nat outside接口到ip nat inside接口
当有包要从inside路由到outside的时候,你就需要在nat表里建立条nat条目.nat条目把源ip地址从内部地址翻译为外部地址.当ip nat outside接口响应这个包的时候,包的目标ip地址将和ip nat表里的条目做比较.如果匹配的条目找到了,目标ip地址就被翻译成正确的内部地址,然后放到路由表里保证能够被路由到ip nat inside接口去;如果没有找到匹配的条目,包将被丢弃
地址超载(address overloading)是种在internet连接上很常见的现象.超载是使用nat将多个内部地址映射到一个或一些唯一的地址上去.nat使用tcp和udp端口来跟踪不同的会话
当路由器决定了从ip nat inside接口到ip nat outside接口的路径的时候,要建立包括源ip地址和源tcp和udp端口号的条目.每个设备被分配的有一个唯一的tcp或udp的端口号来进行区分
nat表包含以下信息:
1.协议:ip,tcp或udp
2.inside local ip address:port:等待nat翻译的内部地址以及端口号
3.inside global ip address:port:经过翻译了的地址.这些地址通常是全局的唯一地址
4.outside global ip address:port:isp分配给外网的ip地址
5.outside local ip address:port:看上去像是处于内网的外网主机的地址
ip nat和访问列表acl的结合使用的命令,如下:
1.ip nat {inside|outside}:接口命令,标记ip设备接口为内部或者外部,只有标记了内部或外部的接口才需要翻译
2.ip nat source list <acl number> pool <address_pool_name>:当包被发送到标记为ip nat inside的接口的时候,这个命令告诉路由器比较源地址和acl,然后acl告诉路由器查找地址池(address pool)看是否要进行翻译.acl许可的地址才能被nat翻译
3.ip nat pool <address_pool_name> <starting_ip_address> <ending_ip_address> {prefix-length <prefix-length>|netmask <netmask>}:这个命令创建翻译池,参数为起始地址到完结地址和前缀或者是掩码