網(wǎng)絡(luò)地址轉(zhuǎn)換

1、網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換Network Address Translation組網(wǎng)技術(shù)：NAT主要內(nèi)容p NAT的概念和作用p NAT的分類p 靜態(tài)NAT的配置p 動(dòng)態(tài)Pool NAT的配置p 動(dòng)態(tài)Port NAT （PAT）的配置 組網(wǎng)技術(shù)：NAT提出問題pClass A:pClass B:pClass C:1-126128-191192-223127 is lost, why?各類地址范圍：各類地址范圍：組網(wǎng)技術(shù)：NAT保留地址特殊地址：特殊地址： 回送地址回送地址 微軟保留地址塊微軟保留地址塊組網(wǎng)技術(shù)：NAT公網(wǎng)地址與私有地址p1. 公網(wǎng)地址必須被

2、注冊p2. 私有地址被保留，使用于內(nèi)部網(wǎng)絡(luò)的主機(jī)或用于不連接到Internet上的網(wǎng)絡(luò)內(nèi)部識別主機(jī)。NATNAT組網(wǎng)技術(shù)：NAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）pNAT是指把局域網(wǎng)內(nèi)部私有地址與Internet全局地址（公網(wǎng)地址）建立起對應(yīng)關(guān)系，這種對應(yīng)關(guān)系稱為映射。p 使用內(nèi)部地址的主機(jī)在訪問Internet時(shí)或被Internet上的主機(jī)訪問時(shí)，數(shù)據(jù)報(bào)均在該局域網(wǎng)的網(wǎng)關(guān)(路由器)上進(jìn)行地址之間的轉(zhuǎn)換。網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換 NAT組網(wǎng)技術(shù)：NAT網(wǎng)絡(luò)地址轉(zhuǎn)換 （NAT）組網(wǎng)技術(shù)：NATNAT術(shù)語（術(shù)語（NAT Terms）p1. Inside local address 指定給指定給內(nèi)部主機(jī)使用的地

3、址內(nèi)部主機(jī)使用的地址p2. Inside global address 內(nèi)部全局地址內(nèi)部全局地址。從。從ISP或或NIC注冊的地址，即內(nèi)部主機(jī)地址被注冊的地址，即內(nèi)部主機(jī)地址被NAT轉(zhuǎn)換的外部轉(zhuǎn)換的外部地址地址p3. Address Pool地址池地址池，NIC或或ISP分配使用的多分配使用的多個(gè)地址個(gè)地址組網(wǎng)技術(shù)：NATNAT的優(yōu)點(diǎn)的優(yōu)點(diǎn)p節(jié)約全局地址的使用，多個(gè)內(nèi)部地址可共享一個(gè)全局地址上網(wǎng)。p由于采用NAT的內(nèi)部主機(jī)在Internet上不直接可見，可以在一定程度上減少被攻擊的風(fēng)險(xiǎn)，增強(qiáng)網(wǎng)絡(luò)的安全性。p網(wǎng)絡(luò)負(fù)載均衡。組網(wǎng)技術(shù)：NATNAT的實(shí)現(xiàn)的實(shí)現(xiàn)pNAT設(shè)置在內(nèi)部網(wǎng)與外部公用網(wǎng)的連接處

4、的路由器上。p路由器至少有一個(gè)Inside (內(nèi)部)端口及一個(gè)Outside (外部)端口。內(nèi)部端口連接內(nèi)部網(wǎng)絡(luò)用戶使用內(nèi)部專用IP地址外部端口連接的是外部的網(wǎng)絡(luò)，如Internet，使用公網(wǎng)IP地址 。組網(wǎng)技術(shù)：NATNAT的分類的分類pNAT分為靜態(tài)NAT和動(dòng)態(tài)NAT，動(dòng)態(tài)NAT又分為地址池轉(zhuǎn)換(Pool NAT) 和 端口地址轉(zhuǎn)換/復(fù)用地址轉(zhuǎn)換(Port NAT)p靜態(tài)NATp動(dòng)態(tài)NATp復(fù)用NAT（Port NAT）組網(wǎng)技術(shù)：NAT靜態(tài)靜態(tài)NATp 將內(nèi)部專用地址與全局合法地址進(jìn)行一對一的轉(zhuǎn)換，且需要指定和哪個(gè)合法地址進(jìn)行轉(zhuǎn)換。p 如果內(nèi)部網(wǎng)絡(luò)有E-mail服務(wù)器或FTP服務(wù)器等可以為

5、外部用戶共用的服務(wù)，這些服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。 如： 組網(wǎng)技術(shù)：NATPc1:-Pc2:-Pc3:-Pc4:-?X靜態(tài)NAT組網(wǎng)技術(shù)：NAT動(dòng)態(tài)動(dòng)態(tài)NAT（ Pool NAT）Pc1:-Pc2:-Pc3:-Pc4:-?pPo

6、ol NAT執(zhí)行專用地址與全局地址的一對一轉(zhuǎn)換，但全局地址與專用地址的對應(yīng)關(guān)系不是一成不變的，它是從全局地址池(pool)中動(dòng)態(tài)地選擇一個(gè)全局地址與一個(gè)內(nèi)部專用地址相對應(yīng)。組網(wǎng)技術(shù)：NAT復(fù)用地址轉(zhuǎn)換Port NATpPort NAT可以允許多個(gè)內(nèi)部本地地址共用一個(gè)全局合法地址。當(dāng)只申請到少量全局合法IP地址，但卻經(jīng)常同時(shí)有多個(gè)用戶上外部網(wǎng)絡(luò) (例如：Internet)時(shí)，這種轉(zhuǎn)換是很有用的。p一個(gè)全局地址可以和最多達(dá)65535個(gè)內(nèi)部地址建立映射，即從理論上說一個(gè)全局地址就可供6萬多個(gè)內(nèi)部地址通過NAT連接Internet。p它可以將中小型的網(wǎng)絡(luò)隱藏在一個(gè)合法的IP地址后面。只要在該地址上加上

7、一個(gè)由NAT設(shè)備選定的TCP端口號。組網(wǎng)技術(shù)：NATPort NATp：1333p：1334p：1335 組網(wǎng)技術(shù)：NATPAT特征組網(wǎng)技術(shù)：NAT靜態(tài)靜態(tài)NAT的配置的配置(1)指定參與轉(zhuǎn)換的內(nèi)部專用地址與全局合法地址router(config)# ip nat inside source static專用地址專用地址 全局地址全局地址(2)指定參與轉(zhuǎn)換的局域網(wǎng)端口router(config)# interface ethernet 0router(config-if

8、)# ip address ip-address mask router(config-if)# ip nat insiderouter(config-if)# no shutdown組網(wǎng)技術(shù)：NAT靜態(tài)靜態(tài)NAT的配置的配置(3)指定參與轉(zhuǎn)換的廣域網(wǎng)端口router(colafig)# interface serial 0router(config-if)# ip address ip-address maskrouter(config-if)# ip nat outsiderouter(config-if)# no shutdown組網(wǎng)技術(shù)：NAT靜態(tài)NAT例子p內(nèi)部網(wǎng)絡(luò)有WWW、E-ma

9、il、FTP三臺服務(wù)器，它們使用內(nèi)部本地地址，要求正確配置靜態(tài)地址轉(zhuǎn)換，使Internet上的主機(jī)能訪問這三臺服務(wù)器。其中三個(gè)全局地址是 和 ，路由器S0端口地址是：；E0端口地址是：路由器配置如下：路由器配置如下：配置靜態(tài)地址映射關(guān)系配置靜態(tài)地址映射關(guān)系Router(config)# ip nat inside source static Router(config)# ip nat inside source static 192.1

10、68.1.3 Router(config)# ip nat inside source static 配置端口配置端口E0E0Router(config)# int E0Router(config-if)# ip addr Router(config-if)# ip nat insideRouter(config-if)# no shutdown配置端口配置端口S0S0Router(config)# int S0Router(config-if)# ip addr 202.98

11、.38.1 Router(config-if)# ip nat outsideRouter(config-if)# no shutdown組網(wǎng)技術(shù)：NAT靜態(tài)NAT配置實(shí)例組網(wǎng)技術(shù)：NAT靜態(tài)NAT配置實(shí)例pr1(config)#ip nat inside source static pr1(config)#ip nat inside source static pr1(config)#interface f0/0pr1(config-if)#ip nat inside pr1(c

12、onfig)#int s0/0pr1(config-if)#ip nat outside 組網(wǎng)技術(shù)：NAT靜態(tài)NAT配置實(shí)例pr1# debug ip nat IP NAT debugging is on00:11:09: NAT: s=-, d= 4093600:11:09: NAT*: s=, d=- 4093600:11:10: NAT*: s=-, d= 40938pr1# sh ip nat translations

13、Pro Inside global Inside local Outside local Outside global- - - - -組網(wǎng)技術(shù)：NATPool NAT的配置的配置(1)定義全局地址池(申請到的合法IP地址)，地址池名稱可任取。 Router(config)# ip nat pool 地址池名稱地址池名稱 起始全局起始全局IP地址地址 結(jié)束結(jié)束IP地址地址 netmask 子網(wǎng)掩碼子網(wǎng)掩碼(2）配置訪問控制列表，指定哪些專用地址允許進(jìn)行轉(zhuǎn)換,其中列表號取值199。 Router(conf

14、ig)# access-1ist 列表號列表號 permit 源源IP地址地址 通通配符掩碼配符掩碼例:若允許網(wǎng)絡(luò)的全部主機(jī)進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換，則可使用命令 Router(config)# access-list 1 permit 55(3) 在專用地址與全局地址之間建立動(dòng)態(tài)地址轉(zhuǎn)換Pool NAT。 Router(config)# ip nat inside source list 列表號列表號 pool 地址池名地址池名稱稱例：若地址池名稱為SSSS，列表號為1，則 Router(config)# ip nat inside sou

15、rce list 1 Pool SSSS表示把a(bǔ)ccess-list 1允許的內(nèi)部地址映射成地址池SSSS定義的全局地址。Pool NAT的配置的配置如圖所示，局域網(wǎng)使用內(nèi)部本地地址24，要求正確配置動(dòng)態(tài)地址轉(zhuǎn)換，以實(shí)現(xiàn)局域網(wǎng)與Internet的通信。全局地址范圍為。Pool NAT的配置例子的配置例子路由器配置如下：路由器配置如下：配置全局地址池配置全局地址池router(config)#ip nat pool internet netmask 配置允許

16、地址轉(zhuǎn)換的內(nèi)部本地地址范圍配置允許地址轉(zhuǎn)換的內(nèi)部本地地址范圍router(config)#access-list 1 permit 55配置內(nèi)部本地地址與內(nèi)部全局地址的映射關(guān)系配置內(nèi)部本地地址與內(nèi)部全局地址的映射關(guān)系router(config)#ip nat inside source list 1 pool internet配置端口配置端口EOrouter(config)#interface Ethernet0router(config)#ip address 19216811 2552552550router(config)#ip nat inside

17、router(config)#no shutdown配置端口配置端口S0router(config)#interface Serial0router(eonfig)#ip address 20298381 2552552550router(config)#ip nat outsiderouter(config)#no shutdown組網(wǎng)技術(shù)：NAT動(dòng)態(tài)NAT配置實(shí)例組網(wǎng)技術(shù)：NAT動(dòng)態(tài)NAT配置實(shí)例pr1(config)#ip nat pool NAT 0 netmask pr1(config)#access-l

18、ist 1 permit 55pr1(config)#ip nat inside source list 1 pool NATpr1(config)#interface f0/0pr1(config-if)#ip nat inside pr1(config)#int s0/0pr1(config-if)#ip nat outside 組網(wǎng)技術(shù)：NAT動(dòng)態(tài)NAT配置實(shí)例r1# debug ip nat 00:45:40: NAT: s=-, d= 3893000:45:40: NAT*: s=,

19、 d=- 3893000:46:03: NAT: s=-, d= 3896100:46:03: NAT*: s=, d=- 3896100:46:27: NAT: s=-, d= 3899300:46:27: NAT*: s=, d=- 38993組網(wǎng)技術(shù)：NAT動(dòng)態(tài)NAT配置實(shí)例pr1#sh ip nat translations

20、 Pro Inside global Inside local Outside local Outside global - - - - - - - -pr1#clear ip nat translation *pr1#sh ip nat translations (1)定義全局地址池(申請到的合法IP地址)，地址池名稱可任取。 Router(config)# ip nat pool 地址池名稱地址池名稱 起始全局起始全局IP地址地址 結(jié)束結(jié)束IP地址地址

21、netmask 子網(wǎng)掩碼子網(wǎng)掩碼(2)配置訪問控制列表，指定哪些專用地址被允許進(jìn)行轉(zhuǎn)換。 Router(config)# access-1ist 列表號列表號 permit 源源IP地址地址 通配通配符掩碼符掩碼Port NAT的配置的配置例如，若允許網(wǎng)絡(luò)的全部主機(jī)進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換，則可使用命令 Router(config)# access-list 1 permit 55(3)在專用地址與全局地址之間建立端口地址轉(zhuǎn)換：Router(config)# ip nat inside source list 列表號列表號 pool 地址地址

22、池名稱池名稱 overload注意：此處比Pool NAT配置多了一個(gè)“overload”。Port NAT的配置的配置Overload表示復(fù)用，端口地址轉(zhuǎn)換即是表示復(fù)用，端口地址轉(zhuǎn)換即是對某個(gè)（些）地址的復(fù)用對某個(gè)（些）地址的復(fù)用組網(wǎng)技術(shù)：NATPAT配置實(shí)例 (PAT Example)組網(wǎng)技術(shù)：NATPAT配置實(shí)例 (PAT Example)pr1(config)#ip nat pool NAT 0 netmask pr1(config)#access-list 1 permit 55pr1(config)#ip nat inside source list 1 pool NAT overloadpr1(config)#interface f0/0pr1(config-if)#ip nat insi