《广域网NAT技术PPT课件》由会员分享,可在线阅读,更多相关《广域网NAT技术PPT课件(31页珍藏版)》请在金锄头文库上搜索。
1、网络地址转换网络地址转换(Network Address Translation, NATNetwork Address Translation, NAT)杜瑞峰本章目标本章目标了解地址转换(NAT)的作用和工作原理了解各种NAT术语理解NAT的各种应用:转换内部LAN地址、复用内部地址、负载均衡和处理地址交叉掌握NAT的配置和排错本章结构本章结构网络地址转换网络地址转换NAT/PATNAT的优势缺点的优势缺点NAT的概念的概念NAT的术语的术语NAT概念和术语概念和术语NAT的配置的配置NAT的应用的应用静态静态NAT的配置的配置动态动态NAT的配置的配置PAT的配置的配置概述概述地址转换的
2、提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机,但不是每台主机都有合法的IP地址,为了使所有内部主机都可以连接因特网,需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机,具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务概述概述内部:机构内部的局域网外部:因特网内部本地地址:指内部网络(局域网内部)的主机地址,是指与外部地址相独立的地址域。RFC 1918 为私有、内部使用保留了A类、B类、C类地址范围各一个:A类10.0.0.0 - 10.255.255.255 B类172.16.0.0 - 172.31.255.255 C类
3、内部全局地址:是局域网的外部地址(在因特网上的全球唯一的IP地址)概述概述网络地址转换(NAT)是用于将一个地址域(如企业内部网Intranet)映射到另一个地址域(如国际互联网Internet)的标准方法。NAT允许一个机构专用 Intranet 中的主机透明地连接到公共域中的主机,无需内部主机全部拥有注册的 Internet 地址。NAT的原理由网络边界上的路由器改变IP包头,使目的地址、源地址或两个地址在包头中被不同地址替换,从而使一个使用私有地址的网络中的主机可以以合法地址出现在Internet上概述概述概述概述外部主机外部主机B外部主机外部主机CinternetNAT主机主机A123
4、4SA=10.1.1.1DA193.3.3.11内部局部地址内部局部地址外部局部地址外部局部地址主机主机A发出的包发出的包SA=192.2.2.1DA=10.1.1.1经过路由器转换的包经过路由器转换的包2内部全局地址内部全局地址外部全局地址外部全局地址经过路由器转换的包经过路由器转换的包SA=193.3.3.1DA=10.1.1.14外部局部地址外部局部地址内部局部地址内部局部地址SA=10.1.1.1DA=192.2.2.1外部主机外部主机B返回的包返回的包3外部全局地址外部全局地址内部全局地址内部全局地址局域网局域网PC2PC1Internet概述概述IP:202.0.0.1Port:3
5、010地址转换地址转换地址转换地址转换IP:202.0.0.1Port:3000IP 数据包数据包IP:192.168.0.1Port:3000IP:192.168.0.2Port:3010NAT的优缺点的优缺点NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用,如SNMP概述概述NAT的3种实现方式静态转换动态转换端口多路复用 静态静态NAT在静态NAT配置中,内部网络中的每个主机都被永久映射成外部网络中的某个本地合法地址。静态地址转换将内部本地地址与内部全局合法地址进行一对一的转换,且需要指定和哪个合法地址进行转换。静态NAT并
6、不能解决IP地址缺乏问题,这种地址转换技术是出于安全考虑,是为了隐藏内部主机的真实身份。适用情况:E_MAIL服务器、WWW服务器或FTP服务器等可以为外部用户提供的服务,这些服务器的IP地址必须采用静态地址转换,以便外部用户可以使用这些服务。NAT配置配置NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址,静态或地址池Router(config)#ip nat pool pool-name star-ip end-ip netmask netmask | prefix-length prefix-length type rotary4、指
7、定地址转换映射Router(config)#ip nat inside source static local-ip global-ip extendableRouter(config)#ip nat inside source list access-list-number pool pool-name overload5、在内部和外部端口上启用NAT定义地址池定义地址池静态静态NAT地址映射地址映射动态动态NAT或或PAT地址映射地址映射15静态静态NAT配置配置将内网地址、静态转换为合法的外部地址、,以便访问外网或被外网访问192.168.100.2192.168.100.254/24内
8、部网络内部网络192.168.100.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口Internet16静态静态NAT配置配置设置外部端口的IP地址:Router(config)#interface FastEthernet 0/0Router(config-if)#ip设置内部端口的IP地址:Router(config)#interface FastEthernet 1/0Router(config-if)#ip建立静态地址转换Router(config)#ip natRouter(config)#ip nat在内部和外部端口上启用NATRouter(c
9、onfig)#interface FastEthernet 0/0Router(config-if)#ip nat outsideRouter(config)#interface FastEthernet 1/0Router(config-if)#ip nat inside配置默认路由Router(config)#ip route 0.0.0.0 17静态静态NAT配置配置InternetSA192.168.100.2SA61.159.62.131DA61.159.62.131DA192.168.100.2NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP
10、192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.318同一内部局部地址映射到多个内部全局地址Router(config)#ip nat inside source static local-ip global-ip extendable配置实例Router(config)#ip nat inside source static tcp 192.168.100.2 61.159.62.131 extendableRouter(config)#ip nat inside source static
11、tcp 192.168.100.2 61.159.62.132 extendable19NAT端口映射端口映射NAT端口映射Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port extendableNAT端口映射配置示例Router(config)#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 80 extendableRouter(config)#ip nat inside
12、source static tcp 192.168.100.3 80 61.159.62.131 8080 extendable20动态动态NAT动态NAT是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络。动态地址转换也是将全局地址与内部合法地址进行一对一的转换,但是动态地址转换是从内部合法地址池选择一个未使用的内部全局合法地址对内部本地地址进行转换。 动态动态NAT配置配置将内部地址转换为合法地址,以便访问Internet172.168.100.2172.168.100.254/24内部网络内部网络172.168.100.161.159.62.130NATNAT内部端口
13、内部端口NATNAT外部端口外部端口Internet22定义一个标准的access-list规则以允许哪些内部地址可以进行地址转换Router(config)# access-list 列表号 permit 源地址 源地址子网掩码定义一个可以根据需要进行分配的全球地址池(内部全局合法地址池)Router(config)# ip nat pool 地址池名称 起始地址 终止地址 子网掩码将由 access-list 指定的内部地址与指定的内部合法地址池进行地址转换(如果数据包的源地址符合访问控制列表的规定则进行地址转换,否则不进行地址转换)Router(config)# ip nat insid
14、e source list 列表号 pool 地址池名称 动态动态NAT配置配置设置外部端口的IP地址:Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的IP地址:Router(config)#interface FastEthernet 1/0Router(config-if)#ip定义内部网络中允许访问外部网络的访问控制列表 Router(config)#access定义合法IP地址池Router(config)#ip nat
15、pool test0 61.159.62.131 61.159.62.190 netmask实现网络地址转换Router(config)#ip nat inside source list 1 pool test0在内部和外部端口上启用NAT,以及配置默认路由与静态NAT配置相同24动态动态NAT配置配置InternetSA172.168.100.2SA61.159.62.131DA61.159.62.131DA172.168.100.2NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP172.168.100.261.159.62.131155.34.2.
16、3TCP172.168.100.361.159.62.132155.34.2.325端口地址转换(端口地址转换(PAT)或复用动态)或复用动态NATPAT能使多个内部地址映射到同一个全球地址,所以PAT有时也被称为“多对一NAT”。使用PAT可以让成千上万的私有地址使用一个全球地址访问Internet。NAT设备通过映射TCP和UDP端口号来跟踪和记录不同的会话。PAT配置配置将内部网络地址转换为合法的地址,以便访问Internet10.1.1.210.1.1.254/24内部网络内部网络10.1.1.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口Inte
17、rnet27PAT配置配置设置外部端口的IP地址:Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的IP地址:Router(config)#interface FastEthernet 1/0Router(config-if)#ip定义内部网络中允许访问外部网络的访问控制列表 Router(config)#access定义合法IP地址池Router(config)#ip nat pool onlyone 61.159.62.131
18、netmask实现网络地址转换Router(config)#ip nat inside source list 1 pool onlyone overload在内部和外部端口上启用NAT,以及配置默认路由与静态NAT配置相同overloadoverload进行端口转换进行端口转换28PAT配置配置InternetSA10.1.1.2SA61.159.62.131DA61.159.62.131DA10.1.1.2NATNAT转换表转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.2:102861.159.62.131:1028155.34.2.3TCP10.1.1.2:1121261.159.62.131:11212155.34.2.329复用路由器外部接口地址复用路由器外部接口地址直接使用接口的IP地址作为转换后的源地址Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload复用路由器外网接口地址复用路由器外网接口地址作为转换后的源地址作为转换后的源地址30小结小结请思考:NAT的实现方式?NAT的配置步骤?NAT的4类地址分别是什么?31
