专题7网络地址转换NAT.ppt

《专题7网络地址转换NAT.ppt》由会员分享，可在线阅读，更多相关《专题7网络地址转换NAT.ppt（42页珍藏版）》请在三一办公上搜索。

1、专题7 网络地址转换NAT,专题背景,IP地址即将耗尽，通过NAT技术将其私网地址转换为公网地址，这样既可保证网络互通，又节省了公网地址。应用场景举例：某省移动分公司，几百工作人员要 求都能上网，其 它时间可以上网，同时公司的WWW 服务器需要能够让 外网访问。,需求分析,业务类型生产业务：缴费系统、运营分析系统办公业务：OA系统IP通信业务：电视电话会议系统网管业务：NM系统流量访问模型本地访问远程访问大规模用户接入接入数量巨大组网原则高可靠性高性价比,解决方案,解决方案NAT网络地址转换技术NAT Network Address Translation是指将网络地址从一个地址空间转换为另一

2、个地址空间的行为；一种把内部私有网络地址翻译成合法IP地址的技术。拓扑图,专题目标,学完本专题，您应该能够：理解NAT技术出现的历史背景理解NAT的分类及原理配置常见NAT应用处理常见NAT问题本专题重点：地址转换（NAT）的作用和工作原理理解NAT的各种应用,专题内容,主要内容5.1 NAT概述5.2 NAT工作原理5.3 NAT配置与实现,5.1 NAT概述,网络地址转换概述,NAT简介NAT Network Address Translation是指将网络地址从一个地址空间转换为另一个地址空间的行为；一种把内部私有网络地址翻译成合法IP地址的技术。NAT的原理改变IP包头，使目的地址、源

3、地址或两个地址在包头中被不同地址替换NAT将网络划分为内部网络（inside）和外部网络（outside）公有地址：统一分配保证全球唯一私有地址：在内部网络内自行分配，内部唯一NAT的应用对NAT的连接支持有限NAT功能通常被集成到路由器、防火墙,NAT组网和常用术语-1,公网：指使用IANA分配的公有IP地址空间的网络私网：指使用独立于外部网络的私有IP地址空间的内部网NAT设备：介于公网和私网之间的设备，负责执行公有地址和私有地址之间的转换,私网,公网,HostA,HostB,Internet,Server,地址池,Internet,NAT设备,NAT组网和常用术语-2,内部局部地址：指分

4、配给内网上主机的IP地址。内部全局地址：分配给内部主机以用于NAT处理的地址。外部局部址址：外部主机呈现在内网中的地址，私有地址外部全局地址：分配给外部网络上主机的IP地址。外部主机的真实地址,私网,公网,HostA,HostB,Internet,Server,地址池,Internet,NAT设备,NAT的应用场景及实现方式,内网访问外网的internet环境动态PAT/NATPAT技术外网访问内网的server环境静态NAT,5.2 NAT的基本原理,静态NAT(Static NAT）,静态地址转换原理静态NAT是建立内部本地地址与内部合法地址进行一对一永久映射。静态地址转换原理适用的环境

5、外部网络需要通定固定的全局路由地址访问内部主机、服务器，为外部用户提供的服务功能。,静态NAT工作流程,Internet,2 NAT转换,NAT转换表,外部主机,外部主机,静态NAT配置,静态地址转换基本配置步骤：接口IP地址配置指定连接网络的内部端口 在端口设置状态下输入：Ip nat inside 指定连接外部网络的外部端口 在端口设置状态下输入：Ip nat outside 在内部本地地址与内部合法地址之间建立静态地址转换。在全局下：Ip nat inside source static 内部本地地址内部合法地址 注：可以根据实际需要定义多个内部端口及多个外部端口。,静态NAT配置举例-

6、1,Internet,NAT外部端口,NAT内部端口,61.159.62.129,将内部网络地址转换为合法的外部地址将服务器地址192转换成61,静态NAT配置举例-2,路由器上的静态NAT配置,动态NAT(Pooled）,动态地址转换原理：动态地址转换也是将本地地址与内部合法地址一对一的转换，但是动态地址转换是从内部合法地址池中动态地选择一个末使用的地址对内部本地地址进行转换动态NAT配置步骤第一步设置内部和外部接口地址第二步定义内部网络中允许访问外部的访问控制列表第三步定义合法的地址池第四步指定网络地址转换映射第五步在内部和外部端口上启用NAT,动态NAT配置实例-1,将内部网络地址转换为

7、合法的外部地址61.159.62.130-61.159.62.190,Internet,NAT外部端口,NAT内部端口,61.159.62.129,动态NAT配置实例-2,路由器上的动态NAT配置,PAT,使用PAT，可以将多个内部本地地址映射到一个内部全局地址，用“内部全局地址+TCP/UDP端口号”来对应“一个内部主机+端口号”PAT配置步骤第一步设置内部和外部接口地址第二步定义内部网络中允许访问外部的访问控制列表第三步定义合法的地址池第四步指定网络地址转换映射第五步在内部和外部端口上启用NAT,PAT的工作流程,Internet,2 NAT转换,NAT转换表,外部主机,外部主机,PAT配

8、置案例-1,将内部网络地址，转换为合法的外部地址,Internet,NAT外部端口,NAT内部端口,61.159.62.129,PAT配置案例-2,路由器上的PAT配置,PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址,PAT接口复用,地址转换过程中，也直接使用接口的IP地址作为转换后的源地址,Internet,局域网,PC2,PC1,5.3 NAT配置与实现,NAT综合应用案例,PAT接入与内部服务器发布在R2上配置PAT使内部所有主机能访问外网使用一条静态NAT将WEB的80端发布出来供外部用户访问。,利用ACL控制地址转换,可以使用访问控制列表来决定哪些

9、主机可以访问Internet，哪些不能。,Internet,局域网,PC2,PC1,设置访问控制列表控制PC1可以通过地址转换访问Internet,而PC2则不行。,NAT实现负载-1,NAT实现负载分担在R2上进行NAT配置，使WEB1和WEB2实验负载分担。,R1,F0/0,F0/1,R2,F0/1,F0/0,WEB1,WEB2,NAT实现负载-2,R2(config)#ip route 0.0.0.0 R2(config)#ip nat pool web 192.168.10.5 192.168.10.6 prefix-length 24 type rotary/定义一个 名为WEB的N

10、AT地址池R2(config)#access-list 50 permit 42.18.8.8/创建一个访问控制列表来定义全局地址R2(config)#ip nat inside destination list 50 pool web/链接池和全局地址R2(config)#int f0/0R2(config-if)#ip nat insideR2(config-if)#int f0/1R2(config-if)#ip nat outside,负载均衡配置,NAT解决地址重叠-1,NAT解决地址重叠通过在R1上配置NAT，实现两个重叠网段间PCA 通过PCB的域名PING通PCB。,NAT解决

11、地址重叠-2,R1(config)#access-list 1 permit 172.16.1.0 0.0.0.255 定义内部需要转换的地址范围R1(config)#ip nat pool net-2 192.168.10.1 192.168.10.254 prefix-length 24 定义外部转内部的地址池R1(config)#ip nat inside source list 1 interface FastEthernet0/1 overload 用PAT定义内部到外部的转换R1(config)#ip nat outside source list 1 pool net-2 定义外

12、部地址对应地址池net-2R1(config)#ip route 0.0.0.0 172.16.100.2 定义一条默认路由R1(config)#int f0/1R1(config-if)#ip nat outside 在外部接口上启用NATR1(config)#int f0/0R1(config-if)#ip nat inside 在内部接口上启用NATR2的配置R2只需要配置三个接口并启用，定义一条默认路由R2(config)#ip route 0.0.0.0 172.16.100.1DNS的配置安装DNS服务，建立。并为PCB添加A记录,NAT检查与排错,常见问题动态地址池中是否有正确的

13、范围的地址动态地址池中是否有重复的地址静态映射的地址与动态地址池中的地址之间是否有重复访问列表是否指明了要转换的正确地址，是否漏掉一些地址，是否包括了一些不该包括的地址是否指明了正确的内部和外部接口,NAT检查与排错(续),测试连通性，检查NAT 配置命令show ip nat translationsshow ip nat statisticsNAT的debug调试Routerdebug ip natNat:s=10.1.1.1-192.168.2.1,d=172.16.2.2 0Nat:s=172.16.2.2,d=192.168.2.1-10.1.1.1 0Nat:s=10.1.1.1-

14、192.168.2.1,d=172.16.2.2 1清除NAT 配置命令clear ip nat translation*/清除NAT转换表中的所有条目clear ip nat translation inside local-ip global-ip/清除包含内部转换条目clear ip nat translation outside local-ip global-ip/清除包含外部转换条目,NAT总结,优点：节省IP地址，能够处理地址重复的情况，增加了灵活性，消除了地址重新编号，隐藏了内部的IP地址。缺点：增加了延迟，丢失了端到端IP的跟踪过程，不能够支持一些特定的应用程序（如MSN5.

15、0以下版本），需要更多的内存来储存一个NAT表，需要更多的CPU来进行处理NAT的过程。NAT的一些不足 由于NAT对IP和TCP/UDP报文的处理，使得一些服务在使用上会出现异常 信头的checksum需要重新计算 IPSec等加密服务由于不能让NAT修改Ip报头，所以会工作异常 ICMP报文被修改 DNS解析时需要静态的NAT FTP需要服务器打开被动模式，并采用PASV传送文件,专题总结,专题总结,NAT的概述NAT的常见术语NAT的应用场景NAT的工作原理静态NAT的工作原理动态NAT的工作原理PAT 的工作原理NAT的常见配置与实现,课后实验,实验名称,NAT组网实验,实验目标,边界设备Internet对接企业用户访问InternetInternet用户访问内部服务器,课后作业,组建中小型企业网络,课后作业,什么是NAT？NAT的工作原理NAT的分类静态NAT的工作流程动态NAT的工作流程PAT的工作流程,