項(xiàng)目7私有網(wǎng)絡(luò)接入Internet

-1-通信工程系

《交換與路由技術(shù)》精品課程項(xiàng)目名稱：

私有地址網(wǎng)絡(luò)接入Internet

教學(xué)目標(biāo)-2-通信工程系

《交換與路由技術(shù)》精品課程理解NAT的概念、及其工作原理理解NAT的工作原理和過程掌握在路由器上配置NATIPv4地址資源的緊缺為了解決IPv4地址資源的緊缺，在RFC1918中規(guī)定了在企業(yè)內(nèi)部使用的私有地址空間。私有地址是指可不經(jīng)過申請直接在內(nèi)部私有網(wǎng)絡(luò)中使用的地址，私有地址不能出現(xiàn)在公共網(wǎng)絡(luò)上。而公有地址是指局域網(wǎng)的外部地址（即在因特網(wǎng)上的全球唯一的IP地址）。因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡(luò)地址保留用做私有地址：A類：10.0.0.0～10.255.255.255；B類：172.16.0.0～172.31.255.255；C類：192.168.0.0～192.168.255.255。使用私有地址的網(wǎng)絡(luò)Internet192.168.0.0/24192.168.0.0/24192.168.0.0/24LAN1LAN2LAN3NAT的基本概念NAT（NetworkAddressTranslation，簡稱NAT）稱為網(wǎng)絡(luò)地址轉(zhuǎn)換，它是在IP地址日益短缺的情況下提出的。它是一種把內(nèi)部網(wǎng)絡(luò)的私有地址翻譯成合法的公共網(wǎng)絡(luò)的公有IP地址的技術(shù)。NAT可以有效的節(jié)約Internet公網(wǎng)IP地址，使得所有的內(nèi)部主機(jī)都可以使用有限的外部合法地址連接到Internet網(wǎng)絡(luò)。地址轉(zhuǎn)換技術(shù)還可以有效的隱藏內(nèi)部局域網(wǎng)中的主機(jī)，因此地址轉(zhuǎn)換同時也是一種有效的網(wǎng)絡(luò)安全保護(hù)技術(shù)。NAT的優(yōu)點(diǎn)（1）可以節(jié)省公網(wǎng)IP地址，緩解IP地址資源匱乏的問題；（2）減少和消除地址沖突發(fā)生的可能性；（3）小型網(wǎng)絡(luò)可以通過NAT的方式，靈活地接入Internet；（4）對外界隱藏內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，維持局域網(wǎng)的私密性。NAT的缺點(diǎn)（1）使用NAT必然要引入額外的延遲；（2）喪失端到端的IP跟蹤能力；（3）一些特定應(yīng)用可能無法正常工作，如地址轉(zhuǎn)換對于報(bào)文內(nèi)容中含有有用的地址信息的情況很難處理；（4）地址轉(zhuǎn)換由于隱藏了內(nèi)部主機(jī)地址，有時候會使網(wǎng)絡(luò)調(diào)試變得復(fù)雜。

NAT的工作原理

Internet內(nèi)網(wǎng)10.1.1.1內(nèi)部本地地址網(wǎng)絡(luò)地址轉(zhuǎn)換表（簡化）內(nèi)部全局地址10.1.1.2HostB177.20.7.310.1.1.210.1.1.1AASA10.1.1.1DDA10.1.1.1199.168.2.3199.168.2.2BBSA199.168.2.2CDA199.168.2.2NAT的工作原理

10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetServer198.76.29.4/24地址池（198.76.28.11～20）InternetS=10.0.0.1D=198.76.29.4S=198.76.28.11D=198.76.29.4S=198.76.29.4D=198.76.28.11S=198.76.29.4D=10.0.0.110.0.0.2198.76.28.12NATtableInsideAddress10.0.0.1198.76.28.11GlobalAddress123465NAT的工作方式

一對一轉(zhuǎn)換一對一轉(zhuǎn)換是指在進(jìn)行地址轉(zhuǎn)換過程中，一個私有地址對應(yīng)轉(zhuǎn)換為一個合法的公有地址，私有地址和公有地址是一對一的關(guān)系。一對一轉(zhuǎn)換可以存在靜態(tài)NAT和動態(tài)一對一轉(zhuǎn)換兩種方式。

一對多轉(zhuǎn)換

為了更有效的節(jié)約公有地址，使用了一對多超載（Overloading）方式。一對多超載是指在進(jìn)行轉(zhuǎn)換時將內(nèi)部私有地址轉(zhuǎn)換成一個外部合法的IP地址和某個傳輸層的端口號的組合，即“私有IP+端口號→公有IP+端口號”。一對多轉(zhuǎn)換包括一對多超載和PAT（PortAddressTranslation，稱為端口地址轉(zhuǎn)換）兩種方式。

靜態(tài)一對一轉(zhuǎn)換Internet內(nèi)網(wǎng)10.1.1.210.1.1.2HostB177.20.7.32SA10.1.1.23SA199.168.2.210.1.1.310.1.1.4DA199.168.2.24DA10.1.1.2510.1.1.310.1.1.2199.168.2.3199.168.2.2NATtable內(nèi)部本地地址內(nèi)部全局地址10.1.1.4199.168.2.41動態(tài)一對一轉(zhuǎn)換Internet內(nèi)網(wǎng)10.1.1.210.1.1.2HostB177.20.7.32SA10.1.1.24SA199.168.2.210.1.1.310.1.1.4DA199.168.2.25DA10.1.1.26NATtable內(nèi)部本地地址池本部全局地址池1310.1.1.2

199.168.2.210.1.1.3199.168.2.310.1.1.4199.168.2.4一對多超載Internet內(nèi)網(wǎng)10.1.1.1HostB177.21.7.32SA10.1.1.110.1.1.210.1.1.3DA199.168.2.25DA10.1.1.16SA199.168.2.24NATtable1內(nèi)部全局地址:端口號外部全局地址:端口號協(xié)議內(nèi)部本地地址:端口號

TCP10.1.1.2:1723199.168.2.2:5723177.21.7.3:23

TCP10.1.1.3:1723199.168.2.2:5492177.21.7.3:233TCP10.1.1.1:1024199.168.2.2:5024177.21.7.3:23

PAT轉(zhuǎn)換Internet內(nèi)網(wǎng)10.1.1.1HostB177.21.7.310.1.1.210.1.1.3DA199.168.2.25NATtable1內(nèi)部全局地址:端口號外部全局地址:端口號協(xié)議內(nèi)部本地地址:端口號

TCP10.1.1.2:1723199.168.2.1:5723177.21.7.3:23

TCP10.1.1.3:1723199.168.2.1:5492177.21.7.3:233TCP10.1.1.1:1024199.168.2.1:5024177.21.7.3:23

199.168.2.1靜態(tài)NAT配置

啟動NAT功能配置靜態(tài)轉(zhuǎn)換關(guān)系定義內(nèi)外部接口ZXR10(config)#ipnatstartZXR10(config)#ipnatinsidesourcestatic{tcp|udp}<local-ip><local-port><global-ip><global-port>

1）定義內(nèi)部接口ZXR10(config-if)#ip

natinside2）定義外部接口ZXR10(config-if)#ip

natoutside靜態(tài)NAT轉(zhuǎn)換配置實(shí)例

配置命令詳見教材圖7-6基礎(chǔ)知識第一步：在全局配置模式，啟動NAT功能。RouterA(config)#ip

nat

start第二步：配置靜態(tài)NAT轉(zhuǎn)換規(guī)則，將內(nèi)部主機(jī)192.168.1.1發(fā)出的數(shù)據(jù)包中的源地址轉(zhuǎn)換為210.31.235.1發(fā)送到外部網(wǎng)絡(luò)。RouterA(config)#ip

natinsidesourcestatic192.168.1.1210.31.235.1第三步：進(jìn)入接口配置模式，配置IP地址，指定此接口為NAT的內(nèi)部接口。RouterA(config)#interfacefei_0/1RouterA(config-if)#ipaddress192.168.1.254255.255.255.0RouterA(config-if)#ip

nat

inside基礎(chǔ)知識第四步：進(jìn)入另一個接口的配置模式，配置IP地址，指定此接口為NAT的外部接口。RouterA(config)#interfaceserial_0/2RouterA(config-if)#ipaddress12..0.0.1255.255.255.252RouterA(config-if)#ip

nat

outside注意：為了讓上述NAT正常工作，還需要為路由器A，B配置路由器信息。（1）為路由器A配置默認(rèn)路由

RouterA(config)#iproute0.0.0.00.0.0.012.0.0.2（2）為了讓路由器B配置靜態(tài)路由

RouterA(config)#iproute210.31.235.1255.255.255.25512.0.0.1在完成上述配置后，主機(jī)A就可以訪問外部網(wǎng)絡(luò)了，我們可以利用ping命令進(jìn)行測試動態(tài)NAT配置

啟動NAT功能配置NAT轉(zhuǎn)換的地址池定義訪問控制列表配置轉(zhuǎn)換規(guī)則定義內(nèi)外部接口ZXR10(config)#ipnatpool<pool-name><start-address><end-address>prefix-length<prefix-length>ZXR10(config)#ipnatinsidesourcelist<list-number>pool<pool-name>[overload]示例示例1：配置一對一動態(tài)轉(zhuǎn)換。ZXR10(config)#access-list3permit10.1.1.00.0.0.255ZXR10(config)#ipnatpoolp1170.1.1.1170.1.1.254prefix-length24ZXR10(config)#ipnatinsidesourcelist3poolp1示例2：一對多超載轉(zhuǎn)換。ZXR10(config)#access-list3permit10.1.1.00.0.0.255ZXR10(config)#ipnatpoolp1170.1.1.1170.1.1.254prefix-length24ZXR10(config)#ipnatinsidesourcelist3poolp1overload動態(tài)NAT配置實(shí)例詳細(xì)配置步驟詳見圖7-7動態(tài)NAT配置實(shí)例第一步：在全局配置模式下，啟動NAT功能。RouterA(config)#ip

nat

start第二步：配置名為dyn-nat的地址池，將合法外部地址段210.31.235.1至210.31.235.6加入地址池。RouterA(config)#ip

natpooldyn-nat210.31.235.1210.31.235.6prefix-length24第三步：配置標(biāo)準(zhǔn)ACL，列表號為1，匹配從源地址網(wǎng)段10.0.0.0/8發(fā)出的數(shù)據(jù)包RouterA(config)#aclstandardnumber1RouterA(config-stan-acl)#rule1permit192.168.1.00.0.0.255第四步：配置NAT轉(zhuǎn)換語句，將內(nèi)網(wǎng)的符合ACL1的數(shù)據(jù)包的源地址轉(zhuǎn)換為地址池dyn-nat中的地址。RouterA(config)#ip

natinsidesourcelist1pooldyn-nat動態(tài)NAT配置實(shí)例第五步：進(jìn)入接口配置模式，配置IP地址，指定此接口為NAT的內(nèi)部接口。RouterA(config)#interfacefei_0/1RouterA(config-if)#ipaddress192.168.1.254255.255.255.0RouterA(config-if)#ip

nat

inside第六步：進(jìn)入另一個接口的配置模式，配置IP地址，指定此接口為NAT的外部接口。RouterA(config)#interfaceserial_0/2RouterA(config-if)#ipaddress12.0.0.1255.255.255.252RouterA(config-if)#ip

nat

outside動態(tài)NAT配置實(shí)例注意：為了讓上述NAT正常工作，還需要為路由器A、B配置路由信息。如下：（1）為路由器A配置默認(rèn)路由：

RouterA(config-)#iproute0.0.0.00.0.0.012.0.0.2（2）為路由器B配置靜態(tài)路由：

RouterB(config-if)#iproute210.31.235.0255.255.255.24812..0.0.1在完成上述配置后，主機(jī)A就可以訪問外部網(wǎng)絡(luò)了。我們可以利用ping命令進(jìn)行測試。