收藏
下载资源

可变长子网掩码和NAT.doc

上传人:hs****ma 文档编号:560127887 上传时间:2023-08-22 格式:DOC 页数:5 大小:58KB
返回 下载 相关 举报
可变长子网掩码和NAT.doc_第1页
第1页 / 共5页
可变长子网掩码和NAT.doc_第2页
第2页 / 共5页
可变长子网掩码和NAT.doc_第3页
第3页 / 共5页
可变长子网掩码和NAT.doc_第4页
第4页 / 共5页
可变长子网掩码和NAT.doc_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《可变长子网掩码和NAT.doc》由会员分享,可在线阅读,更多相关《可变长子网掩码和NAT.doc(5页珍藏版)》请在金锄头文库上搜索。

1、可变长子网掩码和NAT首先IPv4面临的一个主要问题就是地址耗尽,为了解决这个问题,采用了超网, 采用可变长子网掩码,采用NAT,采用私网地址。什么是可变长子网掩码。RFC1878中定义了可变长子网掩码(Variable Length Subnet Mask.VLSM)VLSM规定了如何在一个进行了子网划分的网络中的不同部分中用不同的子网掩码。这对于网络内部不同网段需要不同大小子网的情形来说非常有效。也就是说可变长子网掩码能够在同一个网络地址空间内使用一个以上的子网掩码,实施可变长子网掩码我们经常称为划分一个子网,并且它可以用来提高地址编码的效率。例如:有一个网络210.31.233.0/24

2、,可以把它划分成两个子网,210.31.233.0/25和210.31.233.128/25 ,然后可以把210.31.233.0/25再划分成两个子网210.31.233.0/26和210.31.233.64/26。如果需要还可以再划分下去,这样一个C类地址就可以充分利用。如果不采用可变长子网掩码,要耗掉多个C类地址,这是很不划算的。在实际工程中,可以进一步将网络划分成三级或者更多级子网,同时,可以考虑使用全0和全1子网以节省网络地址空间。举例:有一个C类地址207.21.24.0,八个部门使用这个地址段。 0 207.21.24.0 /27 1 207.21.24.32 /27 2 207

3、.21.24.64 /27 3 207.21.24.96 /27 4 207.21.24.128 /27 5 207.21.24.160 /27 6 207.21.24.192 /27 7 207.21.24.224 /27这里有个问题需要注意,在有些工程实践中,可能有人会说全0的子网是不能使用的,因为为了避免奇异。我们知道网络有A类(255.0.0.0)、B类(255.255.0.0)、C类(255.255.255.0)。那么如果把 207.21.24.0 255.255.255.0 划分以后, 0 207.21.24.0 /27 1 207.21.24.32 /27 2 207.21.24

4、.64 /27 3 207.21.24.96 /27 4 207.21.24.128 /27 5 207.21.24.160 /27 6 207.21.24.192 /27 7 207.21.24.224 /27当配置rip路由时,router(config-router)# network 207.21.24.0 (这是有类路由),这时就产生奇异了,因为系统可能不知道子网,可能就把它当做一个C网,而不是这个207.21.24.0/27 这个子网。所以rip 1 是不支持可变长子网掩码的。通过使用可变长子网掩码,可以让位于不同接口的同一网络编号的网络使用不同的掩码,这样可以节省IP地址,充分利

5、用有效的IP地址空间。Router1和Router2的E0口均使用了C类地址192.1.0.0作为网络地址,Router1的E0口的网络地址为192.1.0.128,掩码为255.255.255.192。Router2的E0口的网络地址为192.1.0.64,掩码为255.255.255.192。这样就把C类地址分配给两个网段,既划分两个子网,起到了节约地址的作用。如果不用可变长子网掩码,那么,Router1和Router2的E0口是的地址是冲突的,而使用了可变长子网掩码Router1和Router2的E0口是在不同的网段。同样,两个路由器的S0口也采用了可变长子网掩码,实际上是192.200

6、.10.4/30这个网段,即192.200.10.5和192.200.10.6这两个地址可用。使用30掩码,在路由器的设置中很常见。 NAT.网络地址转换(NAT)是用于将一个地址域(如:专用Intranet)映射到另一个地址域(如:Internet)的标准方法。NAT允许一个机构专用的Intranet中的主机透明地连接到公网域中的主机,无需内部主机拥有注册的(以及越来越缺乏的)Internet。NAT技术使得一个私有网络可以通过internet注册IP连接到外部网络,位于inside网络和outside网络中的NAT路由器在发送数据包之前,负责把内部IP翻译成外部合法地址。在配置PIX防火墙

7、时就是这样设置的。 内部网络主机不可能同时与外部网络通信,所以只有一部分内部地址需要翻译。NAT的翻译可以采用静态翻译(static translation)和动态翻译(dynamic translation)两种。静态翻译将内部地址和外部地址一对一进行翻译。通常如web服务器可能是私网地址,它要向外部发送消息,这时就要一对一进行翻译。 当NAT需要确认哪个地址需要翻译,翻译时采用哪个地址pool时,就使用了动态翻译。NAT有三种类型:静态NAT(Static NAT)、动态地址NAT(Pooled NAT)、网络地址端口转换NATP(Port-Level NAT)。其中静态NAT设置起来是最

8、为简单和最容易实现的一种,内部网络中的每个主机都被永久地映射成外部网络中的某个合法地址。而动态地址NAT则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。NAPT则是把内部地址映射到外部网络的一个IP地址的不同端口上。根据不同的需要,三种NAT方案各有利弊。动态地址NAT只是转换IP地址,它为每一个内部的IP地址分配一个临时的外部IP地址,主要应用于拨号,对于频繁的远程连接也可以采用动态NAT。当远程用户连接上之后,动态地址NAT就会分配给它一个IP地址,用户断开时,这个IP地址就会被释放,而留待以后使用。网络地址端口转换NAT(Network Address port

9、 Translation)是人们比较熟悉的一种转换方式。NATP普遍应用于接入设备中,它可以将中小型网络隐蔽在一个合法的IP地址后面。NATP与动态NAT不同,它将内部链接映射到外部网络中的一个单独的IP地址上,同时在该地址上加上一个由NAT设备选定的TCP端口号。下面看一下在防火墙上做NATP的状态:PixFirewall#sh xlatePAT Global 61.187.123.163(65310) Local 192.168.0.9(52384)PAT Global 61.187.123.163(65118) Local 192.168.0.9(52315)PAT Global 61.

10、187.123.163(64956) Local 172.18.6.253(4491)NAT(Network Address Translaton)起到将内部私有地址翻译成外部合法的全局地址的功能,它使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。当建立内部网的时候,建议使用以下地址组用于主机,这些地址是由Network Working Group(RFC 1918)保留用于私有网络地址分配的。Class A:10.1.1.1 to 10.254.254.254Class B: 172.16.1.1 to 172.31.254.254Class C: 192.168.1.

11、1 to 192.168.254.254NAT的配置首先要学习NAT的几个相关概念:Inside Local IP address:指定于内部网络的主机地址,全局唯一,但为私有地址。Inside Global IP address:代表一个或更多内部IP到外部网络的合法IP。Outside Global IP address:外部网络主机的合法IP。Outside Local IP address:外部网络的主机地址,看起来是内部网络的,是私有地址。NAT所用的语法1.定义一个标准访问列表access-list access-list-number permit source source-w

12、ildcard 2.定义一个全局地址池ip nat pool name start-ip end-ip netmask netmask | prefix-length prefix-length type rotary 3.建立动态地址翻译ip nat inside source list access-list-number | name pool name overload | static local-ip global-ip 4.指定内部和外部端口ip nat inside | outside NAT配置 ip nat pool C2501 202.96.38.1 202.96.38.

13、62 netmask 255.255.255.192interface Ethernet0ip address 10.1.1.1 255.255.255.0ip nat inside!interface Serial 0ip address 202.200.10.5 255.255.255.252ip nat outside!ip route 0.0.0.0 0.0.0.0 Serial 0access-list 2 permit 10.0.0.0 0.0.0.255! Dynamic NAT!ip nat inside source list 2 pool C2501 overloadlin

14、e console0exec-timeout 0 0!line vty 0 4end路由器的Ethernet0口为inside端口,即此端口连接内部网络,并且此端口所连接的网络应该被翻译。Senal0口为outside端口,其拥有合法的IP地址(由NIC或服务提供商所分配的合法的IP地址),来自网络10.1.1.0/24的主机将从IP地址池中选择一个地址作为自己的合法地址,经由S0口访问Internet。命令ip nat inside source list 2 pool C2501 overload 中的参数overload,将允许多个内部地址使用相同的全局地址(一个合法的IP地址,它是由N

15、IC或服务提供商所分配的)。 命令 ip nat pool C2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192 定义了全局的地址范围。 NAT配置举例version 12.0service timestamps debug uptimeservice timestamps log uptimeno service password-encryption!hostname nat-r1!enable secret $1$FEQr$INhRecYBeCb.UpTQ3b9myp!ip subnet-zer0 /* 启用非零的子网 */!interface Ethernet0ip address 172.18.150.150 255.255.0.0no ip dire

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号