中職教育一年級上學(xué)期電子與信息《網(wǎng)絡(luò)地址轉(zhuǎn)換NAT技術(shù)》教學(xué)課件

網(wǎng)絡(luò)地址轉(zhuǎn)換NAT目錄（NAT）的基本知識1（NAT）的分類及配置2NAT基本概念NAT基本概念NAT概念：NAT(NetworkAddressTranslation)網(wǎng)絡(luò)地址轉(zhuǎn)換，是一種IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標(biāo)準(zhǔn)，是把內(nèi)部私有網(wǎng)絡(luò)地址轉(zhuǎn)換成合法外部公有網(wǎng)絡(luò)地址的技術(shù)。由于當(dāng)前TCP/IP協(xié)議版本IPv4，具有天生缺陷，IP地址數(shù)量不夠多，難以滿足目前爆炸性增長的IP需求；如果專用網(wǎng)絡(luò)的計算機要訪問Internet，則組織機構(gòu)在連接Internet的設(shè)備上至少需要一個公有IP地址，然后采用NAT技術(shù)，將內(nèi)部網(wǎng)絡(luò)的計算機私有IP地址轉(zhuǎn)換為公有IP地址，從而讓使用私有IP地址的計算機能夠和Internet中的計算機進行通信。NAT分類NAT類型靜態(tài)NAT動態(tài)NAT動態(tài)NAPT靜態(tài)NAT靜態(tài)NAT：在路由器中，將內(nèi)網(wǎng)IP地址固定的轉(zhuǎn)換為外網(wǎng)IP地址，通常應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)服務(wù)器的場景。靜態(tài)NAT的工作過程如圖所示。動態(tài)NAT動態(tài)NAT：將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址池中的一個IP地址（公有地址）。動態(tài)NAT和靜態(tài)NAT的在地址轉(zhuǎn)換上很相似，只是可用的公有IP地址不是被某個專用網(wǎng)絡(luò)的計算機所永久獨自占有。動態(tài)NAT的工作過程如圖所示。

動態(tài)NAPT動態(tài)NAPT：以IP地址及端口號（TCP或UDP）為轉(zhuǎn)換條件，將內(nèi)部網(wǎng)絡(luò)的私有IP地址及端口號轉(zhuǎn)換成外部公有IP地址及端口號。在靜態(tài)NAT和動態(tài)NAT中，都是“IP地址”到“IP地址”的轉(zhuǎn)換關(guān)系，而動態(tài)NAPT，則是“IP地址+端口”到“IP地址+端口”的轉(zhuǎn)換關(guān)系。動態(tài)NAPT的工作過程如圖所示。

靜態(tài)NAPT靜態(tài)NAPT：在路由器中以“IP+端口”形式，將內(nèi)網(wǎng)IP及端口固定轉(zhuǎn)換為外網(wǎng)IP及端口，應(yīng)用在允許外網(wǎng)用戶訪問內(nèi)網(wǎng)計算機特定服務(wù)的場景。靜態(tài)NAPT的工作工程如圖所示。

靜態(tài)NAT配置示例案例6-5靜態(tài)NAT配置示例案例背景與要求：如圖所示，Jan16公司通過路由器R1接入到Internet，相關(guān)背景和需求如下。公司向Internet申請了2個公網(wǎng)IP：200.10.1.2和200.10.1.3。公司的Web服務(wù)器需要以靜態(tài)NAT方式對外提供服務(wù)，映射IP為200.10.1.3。靜態(tài)NAT配置示例案例配置思路為各設(shè)備接口配置IP地址；在路由器R1配置NAT，將Web服務(wù)器映射到200.10.1.3。案例配置過程路由器R1配置其他設(shè)備IP配置（省略）[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.0.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd200.10.1.224[R1-GigabitEthernet0/0/1]natstaticglobal200.10.1.3inside192.168.0.2[R1-GigabitEthernet0/0/1]quit靜態(tài)NAT配置示例案例驗證在路由器R1上執(zhí)行【displaynatstatic】命令，查看公有IP地址與私有IP地址的映射關(guān)系。<R1>displaynatstaticStaticNatInformation:Interface:GigabitEthernet0/0/1GlobalIP/Port:200.10.1.3/----InsideIP/Port:192.168.0.2/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:255.255.255.255Description:----Total:1靜態(tài)NAT配置示例在公網(wǎng)主機PC1中，執(zhí)行【ping200.10.1.3】命令，測試與內(nèi)網(wǎng)WEB服務(wù)器的連通性，結(jié)果顯示可以成功連接Web服務(wù)器。PC>ping200.10.1.3Ping200.10.1.3:32databytes,PressCtrl_CtobreakFrom200.10.1.3:bytes=32seq=1ttl=127time=47msFrom200.10.1.3:bytes=32seq=2ttl=127time=47msFrom200.10.1.3:bytes=32seq=3ttl=127time=47msFrom200.10.1.3:bytes=32seq=4ttl=127time=31msFrom200.10.1.3:bytes=32seq=5ttl=127time=63ms

---200.10.1.3pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=31/47/63ms動態(tài)NAT配置示例案例背景與要求：如圖所示，Jan16公司通過路由器R1接入Internet，相關(guān)背景和需求如下。公司向Internet申請了1批公網(wǎng)IP：200.10.1.1~200.10.1.20。公司內(nèi)網(wǎng)計算機（192.168.1.0/24）可通過路由器R1隨機映射到公網(wǎng)，實現(xiàn)內(nèi)外網(wǎng)互訪。動態(tài)NAT配置思路案例配置思路為各設(shè)備接口配置IP地址；在路由器R1配置公網(wǎng)IP地址池；在路由器R1配置ACL規(guī)則，該規(guī)則定義了可用于映射公網(wǎng)的主機；在路由器R1配置動態(tài)NAT，將符合ACL規(guī)則的主機自動映射到公網(wǎng)地址池IP中。案例配置過程路由器R1主要配置

[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.1.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd200.10.1.124[R1]nataddress-group1200.10.1.2200.10.1.20[R1]acl2000[R1-acl-basic-2000]rule5permitsource192.168.1.00.0.0.255[R1-acl-basic-2000]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat案例驗證案例驗證在路由器R1上執(zhí)行【displaynataddress-groupgroup-index】命令，查看NAT地址池配置信息或執(zhí)行【displaynatoutbound】命令，查看動態(tài)NAT配置信息。[R1]displaynataddress-group1NATAddress-GroupInformation:--------------------------------------IndexStart-addressEnd-address1200.10.1.2200.10.1.20[R1]displaynatoutboundNATOutboundInformation:----------------------------------------------------------------InterfaceAclAddress-group/IP/InterfaceType----------------------------------------------------------------GigabitEthernet0/0/120001no-pat----------------------------------------------------------------Total:1NAPT配置示例NAPT配置示例案例背景與要求：如圖所示，Jan16公司通過動態(tài)NAT實現(xiàn)了內(nèi)網(wǎng)主機和公網(wǎng)之間的通信，但隨著公司員工的不斷增加，有限的公網(wǎng)IP地址已不能滿足所有員工上網(wǎng)需求，公司希望采用NAPT來解決更多員工的外網(wǎng)接入需求。案例配置思路案例配置思路為各設(shè)備接口配置IP地址；在路由器R1配置公網(wǎng)IP地址池；在路由器R1配置ACL規(guī)則，該規(guī)則定義了可用于映射公網(wǎng)的主機；在路由器R1配置NAPT，將符合ACL規(guī)則的主機自動映射到公網(wǎng)地址池IP中。案例配置過程案例配置過程路由器R1主要配置[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.1.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd200.10.1.124[R1]nataddress-group1200.10.1.2200.10.1.20[R1]acl2000[R1-acl-basic-2000]rule5permitsource192.168.1.00.0.0.255[R1-acl-basic-2000]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1案例驗證案例驗證私網(wǎng)主機PC1和PC2中，執(zhí)行【ping200.10.1.201】命令，測試內(nèi)網(wǎng)主機與外網(wǎng)的連通性，結(jié)果顯示可以成功連接外網(wǎng)。PC>ping200.10.1.201Ping200.10.1.201:32databytes,PressCtrl_CtobreakFrom200.10.1.201:bytes=32seq=1ttl=127time=15msFrom200.10.1.201:bytes=32seq=2ttl=127time=15msFrom200.10.1.201:bytes=32seq=3ttl=127time=32msFrom200.10.1.201:bytes=32seq=4ttl=127time=31msFrom200.10.1.201:bytes=32seq=5ttl=127time=16ms---200.10.1.201pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=15/21/32ms案例驗證在路由器R1上執(zhí)行【displaynatsessionall】命令，查看NAPT會話信息。[R1]dispnatsessionallNATSessionTableInformation:Protocol:ICMP(1)SrcAddrVpn:192.168.1.1