NAT 網路位址轉譯 - 翻轉工作室

『網路位址轉譯』（Network Address Translator, NAT）的功能是做內部網路位址和外部網路位址之間的轉譯，一般企業將它作為合法 IP 位址和私有位址之間的轉譯功能。

網路規劃與管理技術：第 九章防火牆規劃與管理 上一頁    下一頁 9-3 網路位址轉譯 內容： 9-3-1NAT運作型態 9-3-2NAT防火牆規劃 9-3-3靜態NAT設定 9-3-4動態NAT設定 9-3-5埠口NAT設定 9-3-1NAT 運作型態 『網路位址轉譯』（Network AddressTranslator,NAT）的功能是做內部網路位址和外部網路位址之間的轉譯，一般企業將它作為合法 IP 位址和私有位址之間的轉譯功能。

目前IP 位址漸漸不足，因此對外網路位址不可能分配太多，便利用 NAT 來建構私有網路空間。

一般ISP 公司為了克服 IP 位址不足的問題，都給予客戶動態IP 位址，我們也可以透過 NAT將動態 IP 轉譯成私有網路空間。

一般吾人將 NAT 網路劃分為兩個區塊：內部(Inside) 與外部(Outside)，Inside 表示網路內使用私有IP 位址；Outside 網路使用合法 IP位址。

NAT 目的是將 Inside 的私有位址轉譯到Outside 的公有位址。

Cisco 路由器提供有三種NAT 運作型態，可分別選擇使用，如下： (A)『靜態 NAT』(Static NAT) 內部與外部位址是一對一的轉換，因此稱為靜態。

這種架構型態完全沒有減少使用合法 IP，完全著重於隱藏內部 IP 的功能，大多應用隱藏內部IP 位址，但又需要提供資源給外部主機使用的情況。

  圖9-7 StaticNAT (B)『動態 NAT』(Dynamic NAT) 內部與外部位址是多對多的關係。

此架構在運作當中也是一對一的關係，內部位址對應到外部 IP 隨時改變當中，如此可以減低外部攻擊者探測內部位址的機率。

它是將若干個外部 IP 做成一個『群組』(Pool)，並宣告某一網路區段內的主機可由此『群組』索取 IP，使用後立即釋放，又稱『群組 NAT』(Pooled NAT)。

如圖 9-8中 10個合法 IP被 250 個內部主機輪流使用。

  圖 9-8DynamicNAT (C) 『埠口位址轉換 NAT』(Port AddressTranslationNAT,PATNAT) PAT 是利用埠口位址轉換型的 NAT，也是一般坊間常用的 NAT 設定，它內部與外部位址之間是多對一的關係。

即是一個合法 IP 位址可以讓多個內部私有位址共用，之間就是利用埠口對應關係建立，即是『IP 位址+TCP 埠口』，如圖 9-9所示。

  圖 9-9PATNAT 當內部網路位址透過 NAT 轉換之後，內部網路位址有可能流露於外，一般為了分辨是合法位址或內部虛擬位址，都將私有位址的範圍設定在：（RFC 1918） ²  ClassA：10.0.0.0 ~10.255.255.255，IP Mask：255.0.0.0。

² ClassB：172.16.0.0 ~172.31.255.255，IP Mask：255.240.0.0。

²  ClassC：192.168.0.0 ~192.168.255.255，IP Mask：255.255.255.0。

一般ISP 網路收到上述IP 位址的封包(無論來源位址或目的位址) 時，便將它拋棄不予轉送。

9-3-2NAT防火牆規劃 (請匯入 NAT 防火牆_空白.pkt) (A)NAT 網路架構   圖 9-10NAT 防火牆架構 吾人規劃一套 NAT 防火牆架構如圖9-10 所示，採用設備如下： l  Cisco 路由器 1901：預設只有兩片 GigabitEthernet 介面卡，再增加 WANSerial 介面卡一只(s0/0/0, s0/01)。

取兩台當 NAT防火牆 (R1) 與外部路由器(R2)。

l  Cisco 交換器 1960 一部、主機PC 四部。

 (B) 網路環境規劃 l   圖 9-10網路環境的規劃如下： 網路區段 gateway 主機  IP 位址   連結介面 192.168.1.0/24 192.168.1.254 PC1 192.168.1.1 SW1(fa0/1) PC2 192.168.1.2 SW1(fa0/2) PC3 192.168.1.3 SW1(fa0/3) 120.118.166.0/24 120.118.166.254 R_PC4 120.118.166.1 SW2(fa0/1) l   路由器規劃 本網路使用了2 只路由器，其網路介面卡規劃如下： Router Routerport  IP 位址 Switchport NAT_R1 Gi0/0 192.168.1.254 SW1(Gi0/1) Se0/0/0 202.1.2.1 R2(S0/0/0) R_R2 Se0/0/0(DCE) 202.1.2.2 R1(Gi0/0) Gi0/0 120.118.166.254 R_PC4 l   RIPv2 規劃 Router Network_1 Network_2 Network_3 NAT_R1 192.168.1.0 202.1.2.0   R_R2 202.1.2.0 120.118.166    (C) 路由器介面與 RIPv2 設定 l  NAT_R1 設定： NAT_R1>en NAT_R1#configter NAT_R1(config)#int Gi0/0 NAT_R1(config-if)#ip address192.168.1.254255.255.255.0 NAT_R1(config-if)#no shutdown NAT_R1(config-if)#int s0/0/0 NAT_R1(config-if)#ip address202.1.2.1255.255.255.0 NAT_R1(config-if)#bandwidth 10 NAT_R1(config-if)#no shutdown NAT_R1(config-if)#exit NAT_R1(config)#ip routing NAT_R1(config)#router rip NAT_R1(config-router)#version 2 NAT_R1(config-router)#network 192.168.1.0 NAT_R1(config-router)#network 202.1.2.0 NAT_R1(config-router)#exit l  R_R2 設定： R_R2>en R_R2#configter R_R2(config)#int s0/0/0 R_R2(config-if)#ip address202.1.2.2255.255.255.0 R_R2(config-if)#bandwidth 10 R_R2(config-if)#clock rate56000 R_R2(config-if)#no shutdown R_R2(config-if)#int Gi0/0 R_R2(config-if)#ip address120.118.166.254255.255.255.0 R_R2(config-if)#no shutdown R_R2(config-if)#exit R_R2(config)#ip routing R_R2(config)#router rip R_R2(config-router)#version 2 R_R2(config-router)#network 202.1.2.0 R_R2(config-router)#network 120.118.166.0 R_R2(config-router)#exit (C) 網路連線測試：(請匯入 NAT_防火牆_介面設定) l  PC1：ping 120.118.166.1   [OK] l  R_PC4：ping 192.168.1.2   [OK] 9-3-3 靜態 NAT設定 (請匯入 NAT 防火牆_介面設定.pkt)   圖9-11 NAT_防火牆網路_介面設定 『靜態NAT』(Static NAT)：內部與外部位址是一對一的轉換關係，吾人規劃 NAT轉換如下： 內部 IP(私有位址) 外部 IP(合法位址) 192.168.1.1 202.1.2.10 192.168.1.2 202.1.2.11 192.168.1.250 202.1.2.12 (A)NAT 設定 l  NAR_R1 設定： n  設定靜態轉換表、 n  指定Inside/Outside 介面，如下： NAT_R1>en NAT_R1#configter NAT_R1(config)#ipnat insidesourcestatic192.168.1.1202.1.2.10 NAT_R1(config)#ipnat insidesourcestatic192.168.1.2202.1.2.11 NAT_R1(config)#ipnat insidesourcestatic192.168.1.250202.1.2.12 NAT_R1(config)#int Gi0/0 NAT_R1(config-if)#ip natinside NAT_R1(config-if)#int Se0/0/0 NAT_R1(config-if)#ip natoutside NAT_R1(config-if)#exit NAT_R1(config)#doshow ipnattranslation Pro  Insideglobal  Insidelocal  Outsidelocal   Outsideglobal ---   202.1.2.10   192.168.1.1    ---         --- ---   202.1.2.11   192.168.1.2    ---         --- ---   202.1.2.12   192.168.1.250  ---           --- (B) 網路連線測試：(請匯入 NAT_防火牆_static NAT.pkg) l  PC1：ping 120.118.166.1      [OK] l  R_PC4：ping 202.1.2.10       [OK] l  R_PC4：ping 192.168.1.250    [OK] l  R_PC4：http://192.168.1.250    [NO] l  R_PC4：http://202.1.2.12       [OK] (C) 結論 (請自行思考) l  由外部連線ping 到內部主機，為何無論採用合法或私有IP 位址皆可以成功？ l  為何外部電腦利用合法IP 連線到內部 HTTP_Server 可以成功，但用私有 IP 則無法成功？ 9-3-4 動態 NAT設定 (請匯入 NAT 防火牆_介面設定.pkt)   圖9-11 NAT_防火牆網路_介面設定 『動態NAT』(Dynamic NAT)內部與外部位址是多對多的關係，但對應之後也是一對一的關係。

當內部主機要求向外連線，則路由器分配一只合法 IP，轉換後向外連線，則該 IP 就被占用，當連線終止則再釋放。

吾人規劃 StaticNAT 與 DynamicNAT 同時存在，如下： 內部 IP(私有位址) 外部 IP(合法位址) 192.168.1.0/24 202.1.2.10~19(動態 NAT) 192.168.1.250 202.1.2.20  (靜態 NAT) (A)NAT 設定 l  NAR_R1 設定： n  設定內部網路範圍：192.168.1.0/24 (access-list) n  設定外部位址槽與分配IP：pool 名稱為 nat192，IP 位址是 202.1.2.10~202.1.2.19。

n  指定哪一個access-list 分配 IPPool。

n  指定Inside/Outside 介面。

NAT_R1#configter NAT_R1(config)#ipnat insidesourcestatic192.168.1.250202.1.2.20 NAT_R1(config)#access-list 1permit192.168.1.00.0.0.255 NAT_R1(config)#ipnat poolnat192202.1.2.10202.1.2.19netmask255.255.255.0 NAT_R1(config)#ipnat insidesourcelist1poolnat192 NAT_R1(config)#int Gi0/0 NAT_R1(config-if)#ip natinside NAT_R1(config-if)#int Se0/0/0 NAT_R1(config-if)#ip natoutside NAT_R1(config-if)#exit NAT_R1(config)#doshow ipnattranslation Pro Insideglobal Insidelocal  Outsidelocal  Outsideglobal --- 202.1.2.20   192.168.1.250  ---        ---   (B) 網路連線測試：(請匯入 NAT_防火牆_DynamicNAT.pkg) l  PC1：ping 120.118.166.1      [OK] l  R_PC4：ping 192.168.1.1        [OK] 再觀察 NAT_R1 轉換表如下： NAT_R1(config)#doshow ipnattranslation Pro   Insideglobal   Insidelocal     Outside local    Outsideglobal Icmp  202.1.2.10:10  192.168.1.1:10   120.118.166.1:10 120.118.166.1:10 icmp  202.1.2.10:11  192.168.1.1:11   120.118.166.1:11 120.118.166.1:11 icmp  202.1.2.10:12  192.168.1.1:12   120.118.166.1:12 120.118.166.1:12 icmp  202.1.2.10:1   192.168.1.1:1    120.118.166.1:1  120.118.166.1:1 icmp  202.1.2.10:2   192.168.1.1:2    120.118.166.1:2  120.118.166.1:2 icmp  202.1.2.10:3   192.168.1.1:3    120.118.166.1:3  120.118.166.1:3 icmp  202.1.2.10:4   192.168.1.1:4    120.118.166.1:4  120.118.166.1:4 ---    202.1.2.20    192.168.1.250      ---             --- 9-3-5 埠口 NAT設定 (請匯入 NAT 防火牆_介面設定.pkt)   圖9-11 NAT_防火牆網路_介面設定 『埠口位址轉換 NAT』 (PATNAT)是利用埠口位址轉換型的 NAT，內部與外部位址之間是多對一的關係。

即是一個合法 IP 位址可以讓多個內部私有位址共用。

之間就是利用埠口對應關係建立，吾人規劃 NAT轉換如下： 內部 IP(私有位址) 外部 IP(合法位址) 192.168.1.0/24 202.1.2.10(PATNAT) 192.168.1.250 202.1.2.20  (靜態 NAT) (A)NAT 設定 l   NAT_R1 設定： u  大多與DynamicNAT 相同。

u  僅在指定哪一個access-list 分配 IPPool 時加入 Overload，表示一個外部 IP 可以被重複使用。

NAT_R1#configter NAT_R1(config)#ipnat insidesourcestatic192.168.1.250202.1.2.20 [StaticNAT] NAT_R1(config)#access-list 1permit192.168.1.00.0.0.255        [內部 IP範圍] NAT_R1(config)#ipnat insidesourcelist1poolnat192 overload   [overload] NAT_R1(config)#ipnat poolnat192202.1.2.10202.1.2.10netmask255.255.255.0 NAT_R1(config)#int Gi0/0 NAT_R1(config-if)#ip natinside NAT_R1(config-if)#int se0/0/0 NAT_R1(config-if)#ip natoutside NAT_R1(config-if)#exit NAT_R1(config)#doshow ipnattranslation Pro Insideglobal Insidelocal    Outsidelocal   Outsideglobal ---  202.1.2.20   192.168.1.250  ---              --- (B) 網路連線測試：(請匯入 NAT_防火牆_PATNAT.pkg) l  PC1：ping 120.118.166.1      [OK] l  R_PC4：ping 192.168.1.1        [OK] l  再觀察NAT_R1 轉換表如下： NAT_R1(config)#doshow ipnattranslation Pro  Insideglobal  Insidelocal    Outside local     Outsideglobal Icmp 202.1.2.10:10 192.168.1.1:10 120.118.166.1:10   120.118.166.1:10 icmp 202.1.2.10:11 192.168.1.1:11 120.118.166.1:11   120.118.166.1:11 icmp 202.1.2.10:12 192.168.1.1:12 120.118.166.1:12   120.118.166.1:12 icmp 202.1.2.10:9  192.168.1.1:9 120.118.166.1:9    120.118.166.1:9 ---   202.1.2.201  92.168.1.250  ---               --- 翻轉工作室：粘添壽   網路規劃與管理技術： 第一章實習環境建立 第二章Internet網路簡介 第三章CiscoIOS命令彙集 第四章TCP/IP協定與分析 第五章應用系統協定與分析 第六章網路基本連線實作 第七章路由規劃與設定 第八章VLAN網路規劃與管理 第九章防火牆規劃與管理 9-1網路安全簡介 9-2防火牆架構 9-3網路位址轉譯 9-4IP封包過濾 9-5封包過濾表：ACL存取控制清單 9-6伺服主機防火牆 9-7屏蔽路由器防火牆 9-8具DNZ放火牆的私有網路 9-9自我挑戰：加強型DNZ網路 第十章VPN網路規劃與管理     翻轉電子書系列： 資訊與網路安全技術 電子商務安全概論 Java程式設計(一)含程式邏輯 Java 程式設計(二)含物件導向 資料庫系統概論(含邏輯設計) 資料庫程式設計-PHP+MySQL 網路規劃與管理技術 電腦網路與連結技術 TCP/IP協定與Internet網路 Linux伺服器管理-CentOS Unix/Linux系統管理實務