广域网NAT技术.ppt

网络地址转换(Network Address Translation,NAT),杜瑞峰,本章目标,了解地址转换（NAT）的作用和工作原理了解各种NAT术语理解NAT的各种应用：转换内部LAN地址、复用内部地址、负载均衡和处理地址交叉掌握NAT的配置和排错,本章结构,网络地址转换NAT/PAT,NAT的优势缺点,NAT的概念,NAT的术语,NAT概念和术语,NAT的配置,NAT的应用,静态NAT的配置,动态NAT的配置,PAT的配置,概述,地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务,概述,内部：机构内部的局域网外部：因特网内部本地地址：指内部网络（局域网内部）的主机地址，是指与外部地址相独立的地址域。RFC 1918 为私有、内部使用保留了A类、B类、C类地址范围各一个：A类10.0.0.0-10.255.255.255 B类172.16.0.0-172.31.255.255 C类内部全局地址：是局域网的外部地址（在因特网上的全球唯一的IP地址）,概述,网络地址转换（NAT）是用于将一个地址域（如企业内部网Intranet）映射到另一个地址域（如国际互联网Internet）的标准方法。NAT允许一个机构专用 Intranet 中的主机透明地连接到公共域中的主机，无需内部主机全部拥有注册的 Internet 地址。,NAT的原理由网络边界上的路由器改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换，从而使一个使用私有地址的网络中的主机可以以合法地址出现在Internet上,概述,概述,外部主机B,外部主机C,internet,主机A,局域网,PC2,PC1,Internet,概述,地址转换,NAT的优缺点,NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用，如SNMP,概述,NAT的3种实现方式静态转换动态转换端口多路复用,静态NAT,在静态NAT配置中，内部网络中的每个主机都被永久映射成外部网络中的某个本地合法地址。静态地址转换将内部本地地址与内部全局合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。,静态NAT并不能解决IP地址缺乏问题，这种地址转换技术是出于安全考虑，是为了隐藏内部主机的真实身份。适用情况：E_MAIL服务器、WWW服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。,NAT配置,NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池Router(config)#ip nat pool pool-name star-ip end-ip netmask netmask|prefix-length prefix-length type rotary4、指定地址转换映射Router(config)#ip nat inside source static local-ip global-ip extendableRouter(config)#ip nat inside source list access-list-number pool pool-name overload5、在内部和外部端口上启用NAT,定义地址池,静态NAT地址映射,动态NAT或PAT地址映射,15,静态NAT配置,将内网地址、静态转换为合法的外部地址、，以便访问外网或被外网访问,16,静态NAT配置,设置外部端口的IP地址：Router(config)#interface FastEthernet 0/0设置内部端口的IP地址：Router(config)#interface FastEthernet 1/0建立静态地址转换在内部和外部端口上启用NATRouter(config)#interface FastEthernet 0/0Router(config-if)#ip nat outsideRouter(config)#interface FastEthernet 1/0Router(config-if)#ip nat inside配置默认路由,17,静态NAT配置,Internet,NAT,NAT转换表,18,同一内部局部地址映射到多个内部全局地址Router(config)#ip nat inside source static local-ip global-ip extendable配置实例Router(config)#ip nat inside source static tcp 192.168.100.2 61.159.62.131 extendableRouter(config)#ip nat inside source static tcp 192.168.100.2 61.159.62.132 extendable,19,NAT端口映射,NAT端口映射Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port extendableNAT端口映射配置示例Router(config)#ip nat inside source static tcp 192.168.100.2 80 61.159.62.131 80 extendableRouter(config)#ip nat inside source static tcp 192.168.100.3 80 61.159.62.131 8080 extendable,20,动态NAT,动态NAT是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。动态地址转换也是将全局地址与内部合法地址进行一对一的转换，但是动态地址转换是从内部合法地址池选择一个未使用的内部全局合法地址对内部本地地址进行转换。,动态NAT配置,将内部地址，以便访问Internet,22,定义一个标准的access-list规则以允许哪些内部地址可以进行地址转换Router(config)#access-list 列表号 permit 源地址 源地址子网掩码定义一个可以根据需要进行分配的全球地址池（内部全局合法地址池）Router(config)#ip nat pool 地址池名称 起始地址 终止地址 子网掩码将由 access-list 指定的内部地址与指定的内部合法地址池进行地址转换（如果数据包的源地址符合访问控制列表的规定则进行地址转换，否则不进行地址转换）Router(config)#ip nat inside source list 列表号 pool 地址池名称,动态NAT配置,设置外部端口的IP地址：Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的IP地址：Router(config)#interface FastEthernet 1/0定义内部网络中允许访问外部网络的访问控制列表 定义合法IP地址池实现网络地址转换Router(config)#ip nat inside source list 1 pool test0在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同,24,动态NAT配置,Internet,NAT,NAT转换表,25,端口地址转换（PAT）或复用动态NAT,PAT能使多个内部地址映射到同一个全球地址，所以PAT有时也被称为“多对一NAT”。使用PAT可以让成千上万的私有地址使用一个全球地址访问Internet。NAT设备通过映射TCP和UDP端口号来跟踪和记录不同的会话。,PAT配置,将内部网络地址，以便访问Internet,27,PAT配置,设置外部端口的IP地址：Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的IP地址：Router(config)#interface FastEthernet 1/0定义内部网络中允许访问外部网络的访问控制列表 定义合法IP地址池实现网络地址转换Router(config)#ip nat inside source list 1 pool onlyone overload在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同,overload进行端口转换,28,PAT配置,Internet,NAT,NAT转换表,29,复用路由器外部接口地址,直接使用接口的IP地址作为转换后的源地址Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload,复用路由器外网接口地址作为转换后的源地址,30,小结,请思考：NAT的实现方式？NAT的配置步骤？NAT的4类地址分别是什么？,31,