使用本地和全局NAT术语

下载选项

  • PDF     (538.2 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (214.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (137.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 12 月 9 日
文档 ID:4606

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍并澄清了内部本地、内部全局、外部本地和外部全局的网络地址转换(NAT)术语。     

    先决条件

    要求

    本文档没有任何特定的要求。

    使用的组件

    本文档不限于特定的软件和硬件版本。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    规则

    有关文档约定的更多信息,请参考 Cisco 技术提示约定。

    术语定义

    Cisco 定义了下列术语:

    • 内部本地地址 - 分配到内部网络上某一主机的 IP 地址。这是配置为计算机操作系统的参数的地址或通过 DHCP 等动态地址分配协议接收的地址。此地址可能不是由网络信息中心 (NIC) 或服务提供商分配的合法 IP 地址。

    • 内部全局地址 - 由 NIC 或服务提供商分配的合法 IP 地址,代表与外界通信的一个或多个内部本地 IP 地址。

    • 外部本地地址 - 外部主机显示给内部网络的 IP 地址。它不一定是合法地址,是从内部可路由地址空间中分配的。

    • 外部全局地址 - 由主机所有者为外部网络上的主机分配的 IP 地址。此类地址是从全局可路由地址或网络空间分配的。

    这些定义所涉及的许多内容需要做进一步的解释。对于本示例,本文档先按本地地址定义,然后按全局地址定义重新定义这些术语。请记住,内部和外部这两个术语属于 NAT 定义。使用NAT配置命令将NAT路由器上的接口定义为内部或外部, ip nat inside destination   和  ip nat outside source .然后,可以将这些接口连接到的网络分别视为内部网络或外部网络。

    • 本地地址 - 本地地址是出现在网络内部的所有地址。

    • 全局地址 - 全局地址是出现在网络外部的所有地址。

    源自网络内部的数据包有一个内部本地地址充当数据包的源地址,有一个外部本地地址充当数据包的目标地址,而数据包驻留在网络的内部。当同一个数据包切换到外部网络时,数据包的来源当前称为“内部全局地址”,数据包的目标称为“外部全局地址”。

    反之,如果数据包来源于网络的外部(尽管它位于外部网络),其源地址被称为“外部全局地址”。数据包的目标称为内部全局地址。如果同一个数据包切换到内部网络,则该数据包的源地址称为“外部本地地址”,该数据包的目标称为“内部本地地址”。

    此图像提供一个示例。

    Source Address Known as Outside Local Address源地址称为外部本地地址

    Examples

    这些部分将更仔细地研究这些术语,并使用此拓扑和示例。

    Topology and Examples拓扑和示例

    定义内部本地地址和内部全局地址

    在下面的配置中,当 NAT 路由器在其源地址为 10.10.10.1 的内部接口上接收数据包时,源地址会转换为 172.16.68.5。这也意味着当 NAT 路由器在其目标地址为 172.16.68.5 的外部接口上接收数据包时,目标地址会转换为 10.10.10.1。

    ip nat inside source static 10.10.10.1 172.16.68.5 

!--- Inside host is known by the outside host as 172.16.68.5.


interface s 0
ip nat inside

interface s 1
ip nat outside

    您可以发出 show ip nat translations 命令,以验证路由器中的NAT转换。在理想情况下, show ip nat translations 命令如下所示:

    Router#show ip nat translations

Pro     Inside global      Inside local       Outside local      Outside global
---     172.16.68.5        10.10.10.1            —                 ---

    当数据包从内部网络传输到外部网络时,  show ip nat translations  命令如下所示:

    Router#show ip nat translations

Pro    Inside global       Inside local        Outside local      Outside global
icmp   172.16.68.5:15      10.10.10.1:15       172.16.68.1:15     172.16.68.1:15
---    172.16.68.5         10.10.10.1             —                 ---

    :在NAT转换的此输出中,协议条目显示ICMP,因为Ping用于验证条目。Outside Local和Outside Global条目可以具有外部主机的相同IP地址,即172.16.68.1。

    本地地址是出现在内部网云中的地址。全局地址是出现在外部网云中的地址。根据 NAT 的配置方式,此内部地址是唯一被转换的地址。因此,内部本地地址与内部全局地址不同。

    下面是当数据包位于内部网络和外部网络时的外观。

    Packet Appearance on Inside Network and Outside Network数据包在内部网络和外部网络中的外观

    定义外部本地地址和外部全局地址

    在下面的配置中,当 NAT 路由器在其源地址为 172.16.68.1 的外部接口上接收数据包时,源地址会转换为 10.10.10.5。这也意味着如果 NAT 路由器在其目标地址为 10.10.10.5 的内部接口上接收数据包时,目标地址会转换为 172.16.68.1。

    ip nat outside source static 172.16.68.1 10.10.10.5

!--- Outside host is known to the inside host as 10.10.10.5.


interface s 0
ip nat inside

interface s 1
ip nat outside

    在理想情况下, show ip nat translations 命令如下所示:

    Router#show ip nat translations

Pro    Inside global       Inside local       Outside local      Outside global
         --- ---                ---            10.10.10.5          172.16.68.1

    当数据包从外部网络移动到内部网络时, show ip nat translations命令如下所示:

    Router#show ip nat translations

Pro     Inside global     Inside local       Outside local        Outside global
          --- ---           ---              10.10.10.5           172.16.68.1
icmp    10.10.10.1:37     10.10.10.1:37      10.10.10.5:37        172.16.68.1:37

    注意:内部全局和内部本地条目可以具有内部主机的相同IP地址,即10.10.10.1。

    本地地址是出现在内部网云中的地址。全局地址是出现在外部网云中的地址。在本示例中,根据 NAT 的配置方式,仅会转换外部地址。因此,外部本地地址与外部全局地址不同。

    下面是当数据包位于内部网络和外部网络时的外观。

    Packet Appearance数据包外观

    定义所有本地和全局地址

    在下面的配置中,当 NAT 路由器在其源地址为 10.10.10.1 的内部接口上接收数据包时,源地址会转换为 172.16.68.5。与IP地址10.10.10.1对应的接口是Inside Local Address,而与IP地址172.16.68.5对应的接口是Inside Global Address。当 NAT 路由器在其源地址为 172.16.68.1 的外部接口上接收数据包时,源地址会转换为 10.10.10.5。

    这也意味着当 NAT 路由器在其目标地址为 172.16.68.5 的外部接口上接收数据包时,目标地址会转换为 10.10.10.1。此外,当 NAT 路由器在其目标地址为 10.10.10.5 的内部接口上接收数据包时,目标地址会转换为 172.16.68.1。

    ip nat inside source static 10.10.10.1 172.16.68.5

!--- Inside host is known to the outside host as 172.16.68.5.


ip nat outside source static 172.16.68.1 10.10.10.5 

!--- Outside host is known to the inside host as 10.10.10.5.


interface s 0
ip nat inside

interface s 1
ip nat outside

    在理想情况下, show ip nat translations 命令如下所示:

    Router#show ip nat translations

Pro   Inside global      Inside local        Outside local       Outside global
         --- ---           ---                10.10.10.5          172.16.68.1
       172.16.68.5        10.10.10.1           —                   ---

    本地地址是出现在内部网云中的地址,全局地址是出现在外部网云中的地址。根据这种情况下 NAT 的配置方式,内部地址和外部地址都需要转换。因此,内部本地地址不同于内部全局地址,外部本地地址不同于外部全局地址。

    从两端发起数据包传输时,会显示  show ip nat translations 命令如下所示:

    Router#show ip nat translations

Pro Inside global      Inside local       Outside local      Outside global
---      ---                ---           10.10.10.5         172.16.68.1
icmp 10.10.10.1:4      10.10.10.1:4       10.10.10.5:4       172.16.68.1:4
icmp 172.16.68.5:39    10.10.10.1:39      172.16.68.1:39     172.16.68.1:39
---  172.16.68.5       10.10.10.1           —                 ---

    下面是当数据包位于内部网络和外部网络时的外观。

    Packets on Inside and Outside Networks内部和外部网络上的数据包

    总之,当我们考虑数据包在网络中出现的位置时,术语“本地”和“全局”实际上相当直接。当全局地址出现在网络的外部时,本地地址出现在网络的内部。

    相关信息

    修订历史记录

    版本 发布日期 备注
    1.0
    21-Sep-2001
    初始版本
    TAC Authored

    由思科工程师提供

    此文档是否有帮助?

    Feedback反馈

    联系我们