企業(yè)網(wǎng)絡(luò)規(guī)劃與實施 課件 第12章 網(wǎng)絡(luò)地址轉(zhuǎn)換

第12章網(wǎng)絡(luò)地址轉(zhuǎn)換12.1NAT的原理與配置12.2PAT的原理與配置本章小結(jié)

12.1NAT的原理與配置

12.1.1NAT的原理1.?NATNAT(NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)產(chǎn)生的背景是由于上網(wǎng)需求量巨大，導(dǎo)致IPv4公網(wǎng)地址短缺。如圖12.1所示，內(nèi)部網(wǎng)絡(luò)中的主機(jī)可以使用私有地址，共用幾個公網(wǎng)地址，由路由器做地址轉(zhuǎn)換，從而實現(xiàn)上網(wǎng)的需求。

圖12.1NAT(1)

那么路由器如何進(jìn)行地址轉(zhuǎn)換呢？路由器使用公網(wǎng)地址替換源IP地址，然后將數(shù)據(jù)包轉(zhuǎn)發(fā)出去，如圖12.2所示。圖12.2NAT(2)

當(dāng)數(shù)據(jù)包返回時，路由器又如何處理呢？路由器會記錄一張NAT轉(zhuǎn)換表。為了便于理解，我們看一下簡化的NAT轉(zhuǎn)換表，如表12-1所示。當(dāng)數(shù)據(jù)包返回時，路由器根據(jù)NAT轉(zhuǎn)換表再做處理。

2.?NAT的類型

對于NAT的分類及名稱，各廠商都有不同的標(biāo)準(zhǔn)。

NAT分為靜態(tài)NAT和動態(tài)NAT。

1)?靜態(tài)NAT

靜態(tài)NAT實現(xiàn)了私有地址和公網(wǎng)地址的一對一映射，一個公網(wǎng)IP地址只會分配給唯一且固定的內(nèi)網(wǎng)主機(jī)。靜態(tài)轉(zhuǎn)換是雙向的，即內(nèi)外網(wǎng)雙方可以互相訪問。

2)?動態(tài)NAT

動態(tài)NAT基于地址池來實現(xiàn)私有地址和公網(wǎng)地址的轉(zhuǎn)換，雖然也是一對一映射，但不是固定的，在華為也稱其為BasicNAT。動態(tài)轉(zhuǎn)換是單向的，即只能從內(nèi)網(wǎng)去訪問外網(wǎng)，反之則不能訪問。

12.1.2動態(tài)NAT的配置

如圖12.3所示，使用eNSP搭建實驗環(huán)境，該環(huán)境供本章所有實驗使用。

動態(tài)NAT在實際工作中很少用到，這里通過一個實驗來熟悉其配置，要求將內(nèi)部網(wǎng)絡(luò)地址10.1.1.0/24轉(zhuǎn)換為公網(wǎng)地址200.1.1.1～200.1.1.10/28來訪問外網(wǎng)，測試PC1能ping通Server3并抓包查看其地址轉(zhuǎn)換過程。

圖12.3動態(tài)NAT配置案例

在路由器G0/0/2接口處抓包，源地址已做轉(zhuǎn)換，如圖12.4所示。圖12.4動態(tài)NAT抓包

此時在Server3上ping不通PC1，說明動態(tài)NAT是單向的，如圖12.5所示。圖12.5動態(tài)NAT的單向測試

動態(tài)NAT的地址轉(zhuǎn)換過程如圖12.6所示。圖12.6動態(tài)NAT地址的轉(zhuǎn)換過程

12.1.3靜態(tài)NAT的配置

使用eNSP搭建實驗環(huán)境，如圖12.7所示。

要求將內(nèi)部IP地址10.1.1.11/24、10.1.1.12/24靜態(tài)轉(zhuǎn)換為外部公有IP地址200.1.1.11/28、200.1.1.12/28，以便其訪問外網(wǎng)(Server3)或被外網(wǎng)(Server3)訪問，然后驗證靜態(tài)NAT是雙向轉(zhuǎn)換的，并且進(jìn)行抓包分析。

圖12.7靜態(tài)NAT配置案例

查看NAT配置，如圖12.8所示。圖12.8查看NAT配置

(4)?測試：分別在Server1和Server2上可以ping通Server3。

在路由器G0/0/2口抓包，源地址已做轉(zhuǎn)換，如圖12.9所示。

圖12.9靜態(tài)NAT抓包(1)

在交換機(jī)Ethernet0/0/3口抓包，目的地址已做轉(zhuǎn)換，如圖12.10所示。圖12.10靜態(tài)NAT抓包(2)

12.2PAT的原理與配置

12.2.1PAT的原理PAT分為動態(tài)PAT和靜態(tài)PAT。1.動態(tài)PAT動態(tài)PAT改變外出數(shù)據(jù)包的源IP地址和源端口并進(jìn)行端口地址的轉(zhuǎn)換，內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法的外部IP地址來訪問互聯(lián)網(wǎng)，從而最大限度地節(jié)約IP地址資源。與動態(tài)NAT一樣，動態(tài)PAT也是單向的。

動態(tài)PAT包括NAPT和EasyIP，NAPT允許多個內(nèi)部地址映射到同一個公有地址的不同端口；而EasyIP屬于NAPT的一種特例，允許將多個內(nèi)部地址映射到網(wǎng)關(guān)出接口地址上的不同端口，即公有地址直接使用網(wǎng)關(guān)設(shè)備的外網(wǎng)口。

2.靜態(tài)PAT

靜態(tài)PAT改變數(shù)據(jù)包的IP地址和端口號。與靜態(tài)NAT一樣，靜態(tài)PAT也是雙向的。

實際應(yīng)用中一般是將內(nèi)網(wǎng)的服務(wù)器發(fā)布出去，由外網(wǎng)發(fā)起向內(nèi)網(wǎng)的訪問，華為稱之為NATServer。

12.2.2動態(tài)PAT的配置

1.?NAPT的配置案例

如圖12.11所示，公司要求將內(nèi)部網(wǎng)絡(luò)10.1.1.0/24轉(zhuǎn)換為一個公網(wǎng)地址200.1.1.10/28來實現(xiàn)上網(wǎng)(即可以訪問Server3)。

圖12.11NAPT配置案例

查看NAPT配置，如圖12.12所示。圖12.12查看NAPT配置

路由器G0/0/2口抓包，可以看到源端口為1320，如圖12.13所示。圖12.13NAPT抓包

總結(jié)NAPT的地址轉(zhuǎn)換過程如圖12.14所示。圖12.14NAPT地址轉(zhuǎn)換過程

2.?EasyIP的配置案例

公司路由器外部接口是動態(tài)IP，如何使內(nèi)部網(wǎng)絡(luò)主機(jī)10.1.1.0/24利用PAT上網(wǎng)？

公司要求將內(nèi)部網(wǎng)絡(luò)主機(jī)10.1.1.0/24轉(zhuǎn)換為路由器外部接口來實現(xiàn)上網(wǎng)(即可以訪問Server3)，如圖12.15所示。圖12.15EasyIP配置案例

查看EasyIP配置，如圖12.16所示。圖12.16查看EasyIP配置

在路由器G0/0/2口抓包，可以看到源端口為40，如圖12.17所示。圖12.17EasyIP抓包

12.2.3靜態(tài)PAT的配置

我們介紹實際應(yīng)用比較多的NATServer，即將內(nèi)網(wǎng)的服務(wù)器發(fā)布出去，由外網(wǎng)發(fā)起向內(nèi)網(wǎng)的訪問。

如圖12.18所示，將內(nèi)部地址10.1.1.11/24的80端口靜態(tài)轉(zhuǎn)換為公網(wǎng)地址200.1.1.11/28的80端口，將內(nèi)部地址10.1.1.12/24的21端口靜態(tài)轉(zhuǎn)換為公網(wǎng)地址200.1.1.12/28的21端口，以便被外網(wǎng)(Client2)訪問。圖12.18NATServer配置案例

查看NATServer配置，如圖12.19所示。圖12.19查看NATServer配置

在交換機(jī)E0/0/3口抓包，可以看到源端口為2050，如圖12.20所示。圖12.20NATServer抓包

本章小結(jié)

NAT(NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)是改變數(shù)據(jù)包的IP地址，PAT技術(shù)(PortAddressTranslation，端口地址轉(zhuǎn)換)是改變數(shù)據(jù)包的IP地址和端口號，PAT能夠大量節(jié)省公網(wǎng)的IP地址，因此在實際工作中被廣泛應(yīng)用。NAT分為靜態(tài)NAT和動態(tài)NAT(華為稱之為BasicNAT)，PAT分為動態(tài)PAT(包括NAPT和EasyIP)和靜態(tài)PAT(實際應(yīng)用中比較多的是NATServer)。

靜態(tài)NAT實現(xiàn)了私有地址和公網(wǎng)地址的一對一映射，一個公網(wǎng)IP地址只會分配給唯一且固定的內(nèi)網(wǎng)主機(jī)。靜態(tài)轉(zhuǎn)換是雙向的，即內(nèi)外網(wǎng)雙方可以互相訪問。

動態(tài)NAT基于地址池來實現(xiàn)私有地址和公網(wǎng)地址的轉(zhuǎn)換，雖然也是一對一映射，但不是固定的，動態(tài)轉(zhuǎn)換是單向的，即只能從內(nèi)網(wǎng)去訪問外網(wǎng)，反之則不能訪問。

動態(tài)PAT改變外出數(shù)據(jù)包的源IP地址和源端口并進(jìn)行端口地址的轉(zhuǎn)換，內(nèi)部網(wǎng)絡(luò)的所有主機(jī)均可共享一個合法的外部IP地址來訪問互聯(lián)網(wǎng)，從而最大限度地節(jié)約IP地址資源。與動態(tài)NAT一樣，動態(tài)PAT也是單向的。

動態(tài)PAT包括NAPT和EasyIP，NAPT允許多個內(nèi)部地址映射到同