本帖最后由 terence 于 2018-9-26 20:21 编辑
NAT地址转换问题:
( 运营商的设备上屏蔽了私网的A,B,C,D类ip地址,地址转换只有当NAT表象存在的时候外部才可以访问内部网段 )
1. static 1:1-NAT 只改变地址,不改变端口号,并且NAT转换表象永存
2. Static-feature 当内网主机需要1:1映射到公网时,可以指定需要转换的端口号来保障安全性
3. Dynamic-1:1-nat 地址转换,地址段转换为一个地址池地址,一 一对应,不改变端口号
4. 策略型 NAT 转换 当公网ip有多个运营商时,可以对不同的源地址转换为不同的publicy ip,进行流量分流
5. pat转换,一个公网地址提供给多个私网ip使用,高端口数量*公网ip数量=可以为私网提供nat服务的host数量
RS-NAT配置:
• Dynamic-M-to-M nat:
Ip nat pool nat-pool 61.128.1.10 61.128.1.20 netmask 255.255.255.0 prefix-length /24 // 定义nat地址池范围
(+type match-host ) 地址转换时,主机位不动,每次转换都是固定IP
Interface gi0/1
ip nat inside // 定义内网接口
Interface gi0/2
ip nat outside // 定义公网接口
Ip access-list 10 permit 192.168.1.0 0.0.0.255 // 定义需要转换的网络
Ip nat inside source list 10 pool nat-pool // 将list地址段转换为 nat-pool ip地址池地址,静态多对多NAT
• PAT: // 私网ip,以不同的随机高端口号区分私网的每一个ip地址,表象为40多秒
Ip nat inside source list 10 interface gi0/2 // pat转换
• Pat-pool-overload // + overload 地址池的地址段循环使用,地址数量*高端口数量为可以为私网转换的ip数量
Ip nat pool pat-pool 61.128.1.1 61.128.1.10 prefix-length 24 // 定义一个地址池pat的
Ip nat inside source list 10 pool pat-pool overload // 地址段转换为池的转换方式为循环转换,
• Static 1-to-1 // 静态的一对一地址翻译,表象永存。
Ip nat inside source static 192.168.1.1 61.128.1.1 // 将192地址翻译到61段公网ip
• Static-Feature // 只翻译部分端口
ip nat inside source static tcp 192.168.1.1 23 interface gi0/2 23 只静态转换23端口的telnet功能
( 可以修改 转换后的端口号)
• 策略型NAT // 不同的源访问 相同的目的 ip ,转换为不同的publicy地址去访问,可以进行运行商公网流量分担
access-list 111 permit tcp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq 80
access-list 112 permit tcp 192.168.1.0 0.0.0.255 host 8.8.8.8 eq 80
ip nat pool abc 61.128.1.2 61.128.1.2 prefix-length 24
ip nat pool abc1 202.1.100.1 202.1.100.1 prefix-length 24
ip nat inside source list 111 pool abc
ip nat inside source list 112 pool abc1 // 匹配acl和pool池
Show ip nat translations // 查看转换表象
ASA-NAT配置:
两种NAT配置方式
1.Object NAT
All NAT rules that are configured as a parameter of a network object are
considered to be network object NAT rules. Network object NAT is a quick and
easy way to configure NAT for a single IP address, a range of addresses, or a
subnet.
(在Object NAT配置中,NAT策略被配置为一个网络对象的参数。Object NAT被认为是一种快速而简单的配置方式,用于为单一的一个IP地址,一个网络范围和一个网段配置NAT)
2.Twice NAT(可以理解为Policy NAT)
Twice NAT lets you identify both the source and destination address in a single
rule. Specifying both the source and destination addresses lets you specify that
a source address should be translated to A when going to destination X, but be
translated to B when going to destination Y.
(Twice NAT能够允许你指定源和目的地址在一个策略中。因为能够指定源和目的地址,所以你可以让一个源地址在去往目的X的时候,转换为A,当去往目的地址Y的时候,转换为B)
NAT的分类(1)
1. Static NAT—A consistent mapping between a real and mapped IP address. Allows bidirectional traffic initiation.
(一个持久的映射,映射一个真实地址到一个映射后地址,允许双向流量)
2. Dynamic NAT—A group of real IP addresses are mapped to a (usually smaller) group of mapped IP addresses, on a first come, first served basis. Only the real host can initiate traffic.
(一个组的真实地址映射到一组映射后地址,映射后地址往往比真实地址数量少,遵循先来先服务的原则。只有真实的主机才可以发起连接)
NAT的分类(2)
3. Dynamic Port Address Translation (PAT)—A group of real IP addresses
are mapped to a single IP address using a unique source port of that IP address.
(一个组真实地址映射到一个使用唯一源端口的映射地址)
4. Identity NAT—A real address is statically transalted to itself, essentially bypassing NAT. You might want to configure NAT this way when you want to translate a large group of addresses, but then want to exempt a smaller subset of addresses.
(一个地址被静态的转换到自己,本质上就是旁路掉NAT。当你转换一大组地址,但却想把其中一小部分地址旁路掉NAT的时候,使用这个技术,特别适用于旁路VPN流量)8.3之前NAT BYPASS使用NAT 0 + ACL
8.3版本NAT与8.3之后版本的NAT配置不同
8.3之前版本NAT
Nat (inside) 1 10.1.1.0 255.255.255.0 -----------匹配转换网段 1 为NAT ID号 最大为2的31次方
Global ( outside ) 1 202.100.1.101-202.100.1.200----------转换为地址段
Show xlate-----------查看nat转换表
Nat-control---------------流量没有nat处理过防火墙不放行
大于7.0 ios的nat默认关闭此功能-----------------8.3之后nat-control被取消了
NAT顺序
第一部分:Twice NAT
遵循先匹配先服务原则Twice可以随意调整顺序
第二部分:Object NAT
静态转换优先于动态转换
如果类型相同,按照如下方式排序
1.地址范围
2.IP地址数字大小
4.Object名字排序
第三部分:Twice NAT
遵循先匹配先服务原则
after-auto先敲先优先
关于nat对ipsec造成的影响
当NAT设备就是加密点自身时
NAT转换,不转换感兴趣匹配的源目ip段即可,或者静态转换感兴趣流的ip自己到自己
当NAT设备在加密点背后时,
1:静态nat转换,将加密点私网ip到对端公网ip的流量静态转换为本地nat设备的公网ip或其他地址,思科设备默认开启NATT穿越,4500端口载荷esp流量,ike流量默认为500端口,想双向发起连接建立需要放行outside-to-inside udp 500-4500,关闭natt的话需要放行esp流量
2:PAT时,端口会被修改,导致每次HASH不一致完成不了完整性校验,需要在写crypto isakmp nat keepalive 30 在一端设备上,此命令只维护4500端口的会话,并且命令开始前需要清除ipsec的所有会话不建立连接,双向建立连接一样需要放行outside-to-inside 500-4500端口,多数厂家默认开启