网络地址转换的配置方法.ppt.ppt

《网络地址转换的配置方法.ppt.ppt》由会员分享，可在线阅读，更多相关《网络地址转换的配置方法.ppt.ppt（44页珍藏版）》请在三一办公上搜索。

1、,新疆轻工职业技术学院计算机工程系,网络地址转换(NAT),本章主要介绍网络地址转换NAT技术。1.了解NAT的原理、技术应用、类型及不同类型NAT的配置方法。2.通过实验掌握Cisco网络设备NAT的配置命令，相关信息显示等操作。3.通过实训来强化理论知识和操作技能的结合。,0 NAT案例与用途,随着Internet的飞速发展，IP地址即将耗尽，IPv6应该是最终的解决手段。IPv6的全面实现还需要一段很长的时间。需要一种过渡的解决手段，来暂时的解决IP地址耗尽的问题。NAT能解决令人头痛的IP地址紧缺的问题，而且能使得内外网络隔离，提供一定的网络安全保障。,一、案例,问题1：企业不想让外部

2、网络用户知道自己的网络内部结构，我们可以采用路由器将内网与外网隔离的方案，但如何才能保证内网用户正常访问外网资源？问题2：企业申请的公网 IP地址很少，而内部网络用户很多，如何才能使内网的每个用户都可以正常访问外网？,二、技术路线,情况1：可以通过NAT将内部网络与外部Internet 隔离开，使外部用户根本不知道通过NAT设置的内部IP地址。情况2：可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。,三、预备知识,9.1 NAT技术的概念和用途9.2 NAT技术的应用9.3 NAPT网络地址端口转换9.4常规NAT操作和NAT的配置9.5 NAPT的配置,1

3、 NAT技术的概念和用途,NAT(Network Address Translation,网络地址转换)在一个网络内部，根据需要可以随意自定义IP地址，而不需要经过申请。允许专用网络上的多台 PC 使用的专用地址：10.0.0.010.255.255.255，172.16.0.0172.16.255.255，192.168.0.0192.168.255.255。在网络内部，各计算机间通过内部的IP地 址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地 址（即经过申请的IP地址）进行通信。,一、设置NA

4、T所需路由器的硬件配置和软件配置,NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet。外部端口可以为路由器上的任意端口。设置NAT功能的路由器的IOS应支持NAT功能(本例所用路由器为isco2501，其IOS为11.2版本以上支持NAT功能)。,二、NAT示意图,三、NAT的地址,i

5、nside local(内部本地地址)：在自有网络中分配给私有主机的地址，一般情况下该地址是RFC1918中定义的私有地址。inside local地址的特点是只会出现在自有网络中并且一定是给私有主机使用的。inside global(内部全局地址)：私有主机在非自有网络中使用的地址，通常情况下inside global地址是从合法的全球统一可寻址空间中分配的地址，也就是通常所说的共有IP。inside global地址的特点是只会出现在非自有网络中并且一定是给私有主机使用的。outside local(外部本地地址)：非私有主机在自有网络内表现出来的IP地址。该地址是自有网络的管理员为本网络

6、以外的设备所准备的用于在自有网络内使用的 IP地址。outside local地址的特点是只会出现在自有网络内，但是供给非私有主机使用的。outside global(外部全局地址)：非私有主机在自有网络以外的区域使用的IP地址，是非私有主机所在网络的管理员负责管理分配的。outside global地址的特点是不会出现在自有网络中而且不是给私有主机使用，不归自有网络的管理员负责。,四、NAT地址转换示意图,五、NAT的类型,静态地址转换 动态地址转换 复用动态地址转换,2 NAT技术的应用,一、NAT工作过程,如图9-4所示，PC1 要与Internet主机PC2通信，PC1发送源地址为19

7、2.168.1.1，目的地址为166.111.80.200的IP报文，IP报文将被路由到边界路由器，路由器收到这个IP报文后，将源地址改变为公有地址202.204.65.2,并记录私有地址为192.168.1.1与公有地址202.204.65.2间的地址映射存入地址映射表中，然后发出修改后的IP报文；当PC2收到报文后，回复报文到达路由器后，路由器再根据地址映射表中地址的对应关系，把目的地址转换为PC1的地址，这样就完成了私有地址PC与Internet主机的通信。,二、静态NAT转换,静态转换是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，内部地址与全局地

8、址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。当外出的数据包到达边缘网关时，从NAT表中查找相应的静态转换条目，检索出对应的全局地址，并替换数据包中的源地址(内部地址)，而当外部的数据包要通过边缘网关的时候，目的地址(全局地址)被替换成相应的内部地址。,二、静态NAT转换（续）,DA为目标地址,SA为源地址,三、动态NAT转换,动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。动态转换将可用的全局地址集定义成

9、NAT池(NAT pool)。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态的从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。,三、动态NAT转换（续1）,外出的数据包到达边缘网关的时候，首先检查NAT表，看是否已经建立映射。如果没有，则动态的从NAT池中映射一个全局地址，建立转换条目，并替换源地址。当连接终止时，转换条目被删除，全局地址被NAT池回收。,三、动态NAT转换（续2）,3 NAPT网络地址端口转换,网络端口地址转换(Network address port translatin，NAPT)

10、是动态转换的一种变形。它可以使多个内部节点共享一个全局IP地址。NAPT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。在Internet中使用NAPT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过NAPT接入Internet。,NAPT转换,如下图所示，假设内部节点10.1.1.3，10.1.1.2都用源端口1723向外发送数据包。NAPT路由器把这两个内部地址都转换成全局地址192.168.2.2，而使用不同的源

11、端口号：1492,1723。当接收方收到的源端口号为1492，则返回的数据包在边缘网关处，目的地址和端口被转换为10.1.1.3:1723；而接收到的源端口号为1723的，目的被映射到10.1.1.2:1723。,NAPT转换（续）,4 常规NAT操作和NAT的配置,静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。,一、静态NAT 配置,1.在内部本地地址与内部合法地址之间建立静态地

12、址转换在全局设置状态下输入Ip nat inside source static 内部本地地址 内部合法地址 如：ip nat inside source static 10.1.1.2 192.168.2.3/将内部地址转化为外部地址（注：可以根据实际需要定义多个内部端口及多个外部端口。）2.指定连接网络的内部端口在端口设置状态下输入ip nat inside 如：interface e0/配置接口e0(为连接内部网的接口)ip address 10.1.1.9 255.255.255.0/定义该接口的IP地址ip nat inside/配置为内部接口3.指定连接外部网络的外部端口在端口设置

13、状态下输入ip nat outside 如：interface s0/配置接口s0(为连接外部公用网的接口)ip address 172.16.2.1 255.255.255.0/定义该接口的IP地址ip nat outside/配置为外部接口,二、静态NAT 配置实例1,（1）在内部本地地址与内部合法地址之间建立静态地址转换。（2）指定连接网络的内部端口（3）指定连接外部网络的外部端口。可以根据实际需要定义多个内部端口 及多个外部端口。,1、配置过程及命令,r1(config)#ip nat inside source static 10.1.1.2 200.200.200.3r1(conf

14、ig)#ip nat inside source static 10.1.1.3 200.200.200.4r1(config)#interface f0/0r1(config-if)#ip nat inside r1(config)#int s0/0r1(config-if)#ip nat outside,2、配置过程及命令（续）,r1#debug ip nat IP NAT debugging is on00:11:09:NAT:s=10.1.1.2-200.200.200.3,d=2.2.2.2 4093600:11:09:NAT*:s=2.2.2.2,d=200.200.200.3-1

15、0.1.1.2 4093600:11:10:NAT*:s=10.1.1.2-200.200.200.3,d=2.2.2.2 40938r1#sh ip nat translations Pro Inside global Inside local Outside local Outside global-200.200.200.3 10.1.1.2-200.200.200.4 10.1.1.3-,三、静态NAT 配置实例2,实例：应用端口NAT地址转换功能。将2501的E0口作为内部端口，S作为外部端口。192.168.1.0/24网段采用端口地址转换。假设企业只申请了一个合法的IP地址202

16、.98.38.1，这个地址配在S0口。如图9-7所示。,1、配置过程及命令,Routeren/进入特权模式Router#con ter/进入全局模式Router(config)#host RouterARouterA(config)#inter E0/配置端口E0RouterA(config-if)#exitRouterA(config)#access-list 1 permit 192.168.1.0 0.0.0.255/配置允许地址转换的内部本地地址范围RouterA(config)#ip nat inside source list 1 interface e0/配置内部本地地址与内部全

17、局地址的映射关系RouterA(config)#ip nat inside source list 1 interface serial 0RouterA(config)#inter e0/配置端口E0,2、配置过程及命令,RouterA(config-if)#ip address 192.168.1.1 255.255.255.0/配置端口E0的IP地址RouterA(config-if)#ip nat inside/配置为内部接口RouterA(config-if)#no shut/启动接口RouterA(config-if)#exitRouterA(config)#inter s0/配置

18、端口S0RouterA(config-if)#ip address 202.98.38.1 255.255.255.0/配置端口S0的IP地址RouterA(config-if)#ip nat outside/配置为外部接口RouterA(config-if)#no shut/启动接口RouterA(config-if)#end,四、动态NAT设置,动态地址转换的基本配置步骤1.定义内部合法地址池在全局设置模式下，使用如下命令：ip nat pool 地址池名称 起始IP地址 终止IP地址 netmask 子网掩码（其中地址池名称可以任意设定）。2.定义一个标准的access-list规则以允

19、许哪些内部地址可以进行动态地址转换。在全局设置模式下，使用如下命令：Access-list 标号 permit 源地址 通配符（标号为1-99间整数）3.将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。在全局设置模式下，使用如下命令：ip nat inside source list 访问列表标号 pool内部地址池名字4.指定与内部网络相连的内部端口在端口设置状态下使用命令：ip nat inside5.指定与外部网络相连的外部端口在端口设置状态下使用命令：Ip nat outside,五、动态NAT设置实例,1、动态NAT配置命令1,r1(config)#i

20、p nat pool NAT 200.200.200.3 200.200.200.50 netmask 255.255.255.0r1(config)#access-list 1 permit 10.1.1.0 0.0.0.255r1(config)#ip nat inside source list 1 pool NATr1(config)#interface f0/0r1(config-if)#ip nat inside r1(config)#int s0/0r1(config-if)#ip nat outside,2、动态NAT配置命令2,r1#debug ip nat 00:45:40

21、:NAT:s=10.1.1.2-200.200.200.3,d=2.2.2.2 3893000:45:40:NAT*:s=2.2.2.2,d=200.200.200.3-10.1.1.2 3893000:46:03:NAT:s=10.1.1.3-200.200.200.4,d=2.2.2.2 3896100:46:03:NAT*:s=2.2.2.2,d=200.200.200.4-10.1.1.3 3896100:46:27:NAT:s=10.1.1.4-200.200.200.5,d=2.2.2.2 3899300:46:27:NAT*:s=2.2.2.2,d=200.200.200.5-1

22、0.1.1.4 38993,3、动态NAT配置命令3,r1#sh ip nat translations Pro Inside global Inside local Outside local Outside global-200.200.200.3 10.1.1.2-200.200.200.4 10.1.1.3-200.200.200.5 10.1.1.4-r1#clear ip nat translation*r1#sh ip nat translations,六、动态NAT设置实例2,实例4：本实例实现动态NAT地址转换功能。将路由器RouterA的2501的E0作为内部端口，同步端口

23、S0作为外部端口(RouerA:E0：10.1.1.1；S0：202.114.1.1)。其中10.1.1.2，10.1.1.3，10.1.1.4的内部本地地址，配置动态地址转换，以实现局域网与Internet的通信。内部全局地址范围为202.114.1.2，202.114.1.3，202.114.1.4。(图9-12)。,动态NAT配置命令,路由器RouterA配置如下：Routeren/进入特权模式Router#configure terminal/进入全局模式Router(config)#host RouterA/命名路由器为RouterARouterA(config)#ip nat po

24、ol bbc 202.114.1.2 202.114.1.4 netmask 255.255.255.0/配置地址池bbc的地址范围为202.114.1.2 到202.114.1.4RouterA(config)#access-list 1 permit 10.1.1.0 0.0.0.255/定义允许地址转换的内部本地地址网段为10.1.1.0RouterA(config)#ip nat inside source list 1 pool bbc/内部和外部之间建立转换关系RouterA(config)#interface e0/配置端口E0RouterA(config-if)#ip addr

25、ess 10.1.1.1 255.255.255.0/配置端口E0的IP地址RouterA(config-if)#ip nat inside/配置端口E0为内部接口RouterA(config-if)#no shutdown/启动接口RouterA(config-if)#exitRouterA(config)#interface s 0/配置端口S0RouterA(config-if)#ip address 202.114.1.1 255.255.255.0/配置端口S0的IP地址RouterA(config-if)#ip nat outside/配置端口S0为外部接口RouterA(conf

26、ig-if)#clock rate 64000/设置时钟频率RouterA(config-if)#no shutdown/启动接口RouterA(config-if)#end,5 NAPT配置,端口地址转换首先是一种动态地址转换，但是它可以允许多个内部本地地址共用一个内部合法地址。只申请到少量IP地址但却经常同时有多于合法地址个数的用户上外部网络的情况，这种转换极为有用。注意：当多个用户同时使用一个IP地址，外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机。,一、NAPT配置步骤,1、在全局设置模式下，定义内部合地址池ip nat pool 地址池名字 起始IP地址

27、终止IP地址 子网掩码2、在全局设置模式下，定义一个标准的access-list规则，以允许哪些内部本地地址可以进行动态地址转换。access-list 标号 permit 源地址 通配符（其中标号为199之间的整数）。3、在全局设置模式下，设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换。ip nat inside source list 访问列表标号 pool 内部合法地址池名字 overload4、在端口设置状态下，指定与内部网络相连的内部端口ip nat inside5、在端口设置状态下，指定与外部网络相连的外部端口ip nat outside,二、NAPT配置实例,三、N

28、APT配置命令,r1(config)#ip nat pool NAT 200.200.200.3 200.200.200.50 netmask 255.255.255.0r1(config)#access-list 1 permit 10.1.1.0 0.0.0.255r1(config)#ip nat inside source list 1 pool NAT overloadr1(config)#interface f0/0r1(config-if)#ip nat inside r1(config)#int s0/0r1(config-if)#ip nat outside r1(confi

29、g)#ip route 0.0.0.0 0.0.0.0 200.200.200.2,四、PAT配置结果显示,r1#sh ip nat translations Pro Inside global Inside local Outside local Outside globalicmp 200.200.200.3:1792 10.1.1.4:1792 2.2.2.2:1792 2.2.2.2:1792icmp 200.200.200.3:1024 10.1.1.2:1792 2.2.2.2:1792 2.2.2.2:1024,五、NAT排错,6、小结,1.Why（为何要学习NAT）2.Principle（NAT的原理）3.How（如何配置NAT）,7、思考题,1.什么是NAT？2.NAPT与动态NAT的差别是什么？3.用_令清除NAT转换表中所有的动态地址转换条目。4.用_命令查看NAT的活跃的转换。5.用_命令查看NAT转换的统计信息。6.NAT有_、_、_三种类型。,