课程编码 NAT地址转换原理及配置.ppt

课程编码 NAT地址转换原理及配置,ISSUE 1.0,2,学习目标,理解NAT的工作原理熟悉NAT的配置实现验证、调试NAT掌握NAT高级应用技巧,学习完本课程，您应该能够：,3,课程内容,第一章 NAT工作原理第二章 NAT配置实现第三章 NAT验证、调试第四章 NAT高级应用,4,地址转换（NAT）,地址转换是在IP地址日益短缺的背景下出现的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了使所有的内部主机都可以访问Internet，需要进行地址转换。地址转换技术可以有效隐藏局域网内的主机，是一种有效的网络安全保护技术。地址转换可以按照用户的需要，在局域网内向外提供FTP、WWW、Telnet等服务。,5,地址类别（公有、私有）,公有地址和私有地址 公有地址是因特网上全球唯一的IP地址，由IANA统一分配。私有地址为RFC规定的保留IP地址段，仅用于内部网，不能与Internet直接通讯。,Internet（公有）,私有10.0.0.0/8,私有172.16.0.0/12,私有192.168.0.0/24,LAN A,LAN B,LAN C,6,NAT基本概念,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,192.168.0.2,210.0.0.2,NAT table,Inside Private IP,192.168.0.1,210.0.0.1,210.0.0.1-254,Address pool,Inside,Outside,Address Pool,IP Address,pool1,210.0.0.1-254,Address Pool,Inside Public IP,7,基于IP的转换（NAT）,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,192.168.0.2,210.0.0.2,NAT table,192.168.0.1,210.0.0.1,210.0.0.1-254,Address pool,1,3,2,4,5,Inside Private IP,Inside Public IP,8,基于端口的转换（PAT）,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,NAT table,192.168.0.2:1450,210.0.0.1:2228,210.0.0.1:80,TCP,192.168.0.1:1025,210.0.0.1:1838,210.0.0.1:80,TCP,Inside Public,Outside Public,Protocol,Inside Private,IP:Port,210.0.0.1-254,Address pool,NAT,1,3,4,5,2,IP:Port,IP:Port,9,DNS ALG,ALG：有些应用层协议在数据中携带IP地址信息，对它们作NAT时还要修改上层数据中的IP地址信息。还有一些非TCP、UDP的协议（如ICMP、PPTP），作上层NAT时，会对它们的特征参数（如ICMP的id参数）进行转换。,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,E0,DNS Server,DNS Client,WWW,192.168.0.2,210.0.0.2,NAT table,192.168.0.1,210.0.0.1,1,3,2,4,5,6,Inside Private IP,Inside Public IP,10,NAT处理流程（正向）,NAT正向处理流程：数据包从内网访问外网，NAT是如何进行处理的。,正向NAT表命中,入数据包,地址转换,Yes,检查NAT规则,No,ALG表命中,PAT,NO-PAT,路由转发,地址转换表表,YES,出数据包,No,No,CPU处理,11,NAT处理流程（反向）,NAT反向处理流程：数据包从外网返回内网，NAT是如何进行处理的。,NAT FIB表命中,入数据包,地址转换,Yes,NAT地址转换表,No,ALG表命中,Yes,路由转发,No,出数据包,No,Yes,CPU处理,Drop,Drop,12,课程内容,第一章 NAT工作原理第二章 NAT配置实现第三章 NAT验证、调试第四章 NAT高级应用,13,接口IP方式（EASY IP）,Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下配置：nat outbound acl-number interface no-pat注：no-pat指基于IP的地址转换，缺省为pat方式，即基于端口的地址转换。,HOST-A、HOST-B使用 S0接口的IP 地址作为地址转换后的公用IP地址,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,E0,14,静态映射方式,静态映射：在内部私有IP与外部公用IP之间建立一对一的映射关系。配置如下：（全局）nat static ip-addr1 ip-addr2（接口）nat outbound static,为HOST-A、HOST-B静态映射公用IP地址,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,E0,15,地址池方式,Address Pool：连续IP地址的集合，用于为内部用户动态分配公用地址。配置如下：（全局）nat address-group start-addr end-addr pool-name（接口）nat outbound acl-number pool-name no-pat,从地址池Pool中为HOST-A、HOST-B动态分配公用IP地址,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,E0,16,内部服务器方式,内部服务器：将（外部地址、端口）映射到内部的服务器上，使外部网络可访问内部服务器。配置如下：（接口）nat server global global-addr global-port inside inside-addr inside-port,为HOST-A、HOST-B的服务作静态映射（公用IP地址、端口）,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,E0,17,课程内容,第一章 NAT工作原理第二章 NAT配置实现第三章 NAT验证、调试第四章 NAT高级应用,18,验证调试,显示地址转换配置display nat设置地址转换连接有效时间nat aging-time tcp|udp|icmp seconds nat aging-time default清除地址转换连接nat reset,19,课程内容,第一章 NAT工作原理第二章 NAT配置实现第三章 NAT验证、调试第四章 NAT高级应用,20,（一）双向静态地址转换,双向地址转换：在内网侧将外网地址映射为私有地址，在外网侧将内网地址映射为公用地址。,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,NAT table,192.168.0.1,210.0.0.1,-,-,E0,1,3,4,5,2,Inside Private IP,Inside Public IP,Outside Private IP,Outside Public IP,192.168.0.5,202.0.0.1,-,-,21,（一）配置实现,私有地址映射（全局）nat static 192.168.0.1 210.0.0.1（全局）nat static 192.168.0.2 210.0.0.2（外网接口）nat outbound static公用地址映射（全局）nat static 202.0.0.1 192.168.0.5（内网接口）nat outbound static,22,（二）双向动态地址转换,双向地址转换：在内网侧将外网地址映射为私有地址，在外网侧将内网地址动态映射为公用地址。,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,NAT table,E0,192.168.0.1,210.0.0.1,192.168.0.5,202.0.0.1,1,3,4,5,2,Inside Private IP,Inside Public IP,Outside Private IP,Outside Public IP,23,（二）配置实现,私有地址映射（全局）nat address-group 210.0.0.1 210.0.0.254（外网接口）nat outbound 2000 pool1公用地址映射（全局）nat static 202.0.0.1 192.168.0.5（内网接口）nat outbound static,24,（三）基于DNS的地址转换,DNS地址转换：内网与外网通过DNS名字互相访问，内网主机的DNS服务器在外网侧，外网主机DNS服务器在内网侧。,192.168.0.1,192.168.0.2,Internet,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,192.168.0.2,210.0.0.2,NAT table,192.168.0.1,210.0.0.1,192.168.0.6,-,202.0.0.2,-,E0,DNS Server,DNS Server,202.0.0.2,Client,Client,HOST-D,-,-,192.168.0.5,202.0.0.1,1,3,4,2,5,Inside Private IP,Inside Public IP,Outside Private IP,Outside Public IP,25,（三）配置实现,DNS服务器地址映射（全局）nat static 192.168.0.1 210.0.0.1（全局）nat static 202.0.0.1 192.168.0.5（内网接口）nat outbound static（外网接口）nat outbound staticClient地址映射（全局）nat address-group 210.0.0.2 210.0.0.254 pool1（全局）nat address-group 192.168.0.6 192.168.0.10 pool2（内网接口）nat outbound 2000 pool1（内网接口）nat outbound 2001 pool2,26,（四）双出口地址转换,双出口地址转换：用户有多条Internet出口线路，私网地址需要作地址转换后才能访问外网，对于不同的目的地，应使用不同运营商的线路，以实现就近访问。,192.168.0.1,192.168.0.2,ChinaNET,HOST-C,HOST-B,HOST-A,202.0.0.1,NAT,S0,Cernet,HOST-D,202.0.0.2,S1,E0,27,（四）配置实现,线路一地址池（全局）nat pool 210.0.0.1 210.0.0.254 pool1线路二地址池（全局）nat pool 168.0.0.1 168.0.0.254 pool2创建ACL（全局）acl number 2000（全局）rule 0 permit source 192.168.0.0 0.0.0.255地址转换（外网接口一）nat outbound 2000 address-group pool1（外网接口二）nat outbound 2000 address-group pool2,28,总结,NAT的应用场合NAT的基本工作原理NAT的分类NAT的基本配置实现NAT的验证、调试方法NAT的高级应用技巧,29,参考资料,RFC 3022Traditional IP Network Address Translator(Traditional NAT)RFC2993Architectural Implications of NATRFC 2663IP Network Address Translator(NAT)Terminology and ConsiderationsRFC 3027Protocol Complications with the IP Network Address Translator,华为3Com技术有限公司,华为3Com公司网址:www.huawei-华为3Com技术论坛网址:forum.huawei-,