PAT技術的用意和NAT是一樣的,只是運行方式有所不同,稍微複雜些,NAT及PAT技術是IT人員必須知道的知識之一,藉由使用Cisco IOS所提供的NAT及PAT技術,可以有效地使用IP位址資源。
PAT技術的IP位址轉換過程
這裡舉例說明PAT是如何做到內部私有IP位址及外部公有IP位址的轉換,假設網路架構示意圖如圖2所示。
|
▲圖2 網路架構示意圖。 |
在此網路架構示意圖內,中間是一台Cisco路由器設備,同時連接內部網路和網際網路,右邊是網際網路,右下方是網際網路內的其中一台電腦,其IP為140.115.3.1,而左邊是內部網路,分別有個人電腦、伺服器及PDA各一台,分別使用192.168.0.1、192.168.0.2及192.168.0.3這三個私有IP位址。而PAT技術將內部與外部的IP位址對應,對應關係如表3所示。
表3 內部IP位址與外部IP位址對應
假設現在伺服器(192.168.02)要傳送網路封包給外面那台電腦(140.115.3.1),其步驟如下所示:
1. 一開始伺服器會傳送封包給Cisco路由器設備,此
時,網路封包的來源端IP位址為192.168.0.2,目前為止還是使用內部的私有IP位址。而目的地IP位址是140.115.3.1。
2. 接著,Cisco路由器設備收到這個網路封包,現在
要轉送網路封包前往140.115.3.1這個目的地位址,但由於網路封包內的來源端IP位址依然為私有IP位址,這樣的IP位址是不允許在網際網路中使用的,不然的話,目的端電腦就沒有辦法回應封包給原本的來源端電腦。因此,Cisco路由器設備必須從對應表內取出192.168.0.2這個Inside Local位址所對應的Inside Global位址,也就是171.69.0.41:60002,並取代網路封包內的來源端IP位址,並且把封包送往目的地,此時網路封包內的來源端IP位址是171.69.0.41:60002。
3. 目的端電腦收到這個網路封包後,假若需要回傳資
料給原本的伺服器,則此台目的端電腦會取出網路封包中的來源端IP位址,也就是171.69.0.41:60002,然後把這個公有IP位址當作目的端IP位址來傳送網路封包。此時,網路封包內的來源端IP位址當然就是140.115.3.1自己這台電腦的位址。
4. 隨後,這個網路封包會被中間這台Cisco路由器設
備收到,並且發現封包內的目的端IP位址是171.69.0.41:60002,為了將封包送到正確的目的地,Cisco路由器設備會到NAT位址對應表中(PAT技術也是把PAT位址對應表儲存在NAT位址對應表),取出171.69.0.41:60002這個Inside Global位址所對應的Inside Local位址,亦即192.168.0.2,並用這個位址當作網路封包中的目的端IP位址,這樣一來,網路封包才能夠正確無誤地傳送到伺服器手上。
以上就是PAT技術的應用過程,當然PAT技術會去更改網路封包中的內容,不過只更改來源端IP位址及目的端IP位址,而網路封包中原本就會被修改的東西還是會被修改,例如TTL(Time to live)值。
檢視PAT設定值的方法
接下來最重要的莫過於如何檢視PAT/NAT設定,因此,底下開始介紹檢視PAT/NAT設定值的方法,這裡會介紹如何清除PAT/NAT位址轉換對應表,以及如何顯示PAT/NAT位址轉換對應表的資料。
清除PAT/NAT位址轉換對應表
前面提到,PAT技術與NAT技術一樣,就是幫忙做公有IP位址及私有IP位址之間的轉換動作,讓使用私有IP位址的電腦也能夠方便地存取外面的網際網路。這種位址的轉換對應,會儲存在NAT位址轉換對應表內,若要清除這樣的位址對應表,可透過下列指令來完成:
之前的文章提過,常用的NAT運行方式有三種:靜態(Static)NAT、動態(Dynamic)NAT及Overlapping。而上面這個指令可以清除所有動態對應的NAT位址轉換關係。如果只是要移除某一個動態NAT的位址對應關係,則可以執行以下的指令:
上面這個指令可以特別指定一個Inside的轉換對應關係,若要同時指定Inside和Outside的位址轉換對應關係,則使用以下的指令:
若想移除特定一筆包含Outside的位址轉換對應關係,則使用下列指令:
要注意的是,這裡的位址指定順序是Local位址在前面,而Global位址在後面。此處的順序與上一個指令剛好相反。
上面就是要刪除NAT位址轉換表中資料的指令,不過事實上NAT位址轉換表中的資料預設會自動逾時而被刪除,如果是NAT相關設定,則資料存在於NAT位址轉換表中24小時以後就會自動被刪除,除非重新設定這筆資料。而剛剛所說的全部移除指令是用來當這些資料還沒有逾時的時候,從NAT位址轉換表中移除。
顯示NAT/PAT位址轉換對應表
再來介紹如何顯示PAT位址轉換對應表的資料,與一般的Cisco設備指令類似,這裡也是使用show指令,指令格式如下所示:
由於PAT位址轉換的資料是存在NAT位址轉換對應表內,所以能夠依照NAT位址轉換對應表來觀察PAT設定。透過下面這個指令就可以顯示出NAT的位址轉換對應表,下面是執行這個指令之後的範例:
另外,還有一個指令可以顯示NAT位址轉換的統計資料,指令內容如下:
該範例的指令執行後,結果如下所示: