TCPIP路由交換技術(shù)(第二版)課件 項目8.7 掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及配置_第1頁
TCPIP路由交換技術(shù)(第二版)課件 項目8.7 掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及配置_第2頁
TCPIP路由交換技術(shù)(第二版)課件 項目8.7 掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及配置_第3頁
TCPIP路由交換技術(shù)(第二版)課件 項目8.7 掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及配置_第4頁
TCPIP路由交換技術(shù)(第二版)課件 項目8.7 掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及配置_第5頁
已閱讀5頁,還剩48頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

項目8部署和實施企業(yè)網(wǎng)與Internet互聯(lián)授課教師:管秀君吉林交通職業(yè)技術(shù)學院學習任務(wù)8.7掌握網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)及配置8.7.1網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)技術(shù)問題提出隨著Internet技術(shù)的飛速發(fā)展,起來越多的用戶加入到Internet,無論在辦公室、賓館、學校、公司及家庭,人們都需要接入Internet進行辦公、娛樂等,互聯(lián)網(wǎng)中任何兩臺主機間通信需要全球唯一的IP地址。目前,Internet的一個重要問題是IP地址需求急劇膨脹,IP地址空間已近衰竭,而NAT的使用恰好緩解了這個問題。解決方法還可以通過其它的一些技術(shù)來節(jié)省IP地址的使用,如:1.可變長子網(wǎng)掩碼(VLSM)2.無類域間路由(CIDR)3.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)4.IPv6:為解決IP地址耗盡問題,IPv6應(yīng)該是最終的解決手段,但是由于現(xiàn)有網(wǎng)絡(luò)都使用IPv4,絕大多數(shù)都不支持IPv6,要升級設(shè)備需要大量的資金,是一個長期且浩大的工程。什么是NATNAT(NetworkAddressTranslation)就是將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換到另外一個地址空間的行為。它使得一個使用私有地址的網(wǎng)絡(luò)中的主機以合法地址出現(xiàn)在Internet上。Internet/24/24為什么使用NAT?

內(nèi)網(wǎng)對Internet的訪問網(wǎng)絡(luò)安全保護技術(shù)節(jié)省IP地址在內(nèi)部局域網(wǎng)提供外部網(wǎng)絡(luò)服務(wù)為什么需要NAT?IP地址危機

IPv4地址空間不足在為企業(yè)內(nèi)部網(wǎng)絡(luò)、測試實驗室或家庭進行網(wǎng)絡(luò)編址時,可以使用私有地址,而不必每臺設(shè)備都花錢從ISP或注冊中心哪里獲得全球唯一的地址。但是這些地址在Internet上是不可被路由的。私有地址和公有地址因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡(luò)地址保留用做私有地址:

-55-55-55使用NAT的優(yōu)缺點優(yōu)點缺點節(jié)省合法地址引入延遲減少地址沖突的機會喪失端到端的IP跟蹤能力靈活連接Internet一些特定應(yīng)用可能無法正常工作,如IPSEC,GRE,L2TP等維持局域網(wǎng)的私密性,因為內(nèi)部IP地址是不公開的8.7.2

NAT的工作原理及方式NAT工作原理通常在以下幾種情況下會用到NAT轉(zhuǎn)換。(1)將私有的網(wǎng)絡(luò)接入Internet,而又沒有足夠的注冊IP地址;(2)兩個要求互聯(lián)的網(wǎng)絡(luò)的地址空間重疊;(3)改變了服務(wù)提供商,需要對網(wǎng)絡(luò)重新編址。NAT基本原理NAT:NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是一種地址映射技術(shù),將主機的私有IP地址映射為一個外部唯一可識別的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

內(nèi)網(wǎng)外網(wǎng)私有IP地址公用IP地址NAT的類型NAT(NetworkAddressTranslation)轉(zhuǎn)換后,一個內(nèi)部本地IP地址對應(yīng)一個全局IP地址。

NAT又分為:靜態(tài)NAT和動態(tài)NAT。NAPT(NetworkAddressPortTranslation或NPAT)轉(zhuǎn)換后,多個內(nèi)部本地地址對應(yīng)一個全局IP地址。NAT工作方式——靜態(tài)轉(zhuǎn)換NAT工作方式——動態(tài)轉(zhuǎn)換訪問過程NAT工作方式——動態(tài)轉(zhuǎn)換響應(yīng)過程NAPT與NAT的區(qū)別是什么NAT(NetworkAddressTranslation)轉(zhuǎn)換后,一個內(nèi)部本地IP地址對應(yīng)一個全局IP地址。不能同時滿足所有的內(nèi)部網(wǎng)絡(luò)主機與外部網(wǎng)絡(luò)通信的需要。NAPT(NetworkAddressPortTranslation或NPAT)轉(zhuǎn)換后,多個內(nèi)部本地地址對應(yīng)一個全局IP地址。NAPTNAPT只需要一個內(nèi)部全局地址就可以映射多個內(nèi)部本地地址,通過端口號來區(qū)分不同主機。

NAPT分為靜態(tài)NAPT及動態(tài)NAPT。常見的端口號FTP TCP 20,21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口:0-1023注冊端口:1024-49151動態(tài)或私有端口:49152-65535NAPT工作方式——靜態(tài)轉(zhuǎn)換訪問過程NAPT工作方式——靜態(tài)轉(zhuǎn)換響應(yīng)過程NAPT工作方式——動態(tài)轉(zhuǎn)換訪問過程NAPT工作方式——動態(tài)轉(zhuǎn)換響應(yīng)過程8.7.3

NAT的配置靜態(tài)NAT靜態(tài)NAT:

建立內(nèi)部本地地址和內(nèi)部全局地址的一對一的永久映射.永久的一對一IP地址映射關(guān)系需要向外部網(wǎng)絡(luò)提供信息服務(wù)的主機的IP地址必采用靜態(tài)NAT.靜態(tài)NAT配置步驟

靜態(tài)NAT配置基本步驟:①定義NAT翻譯規(guī)則②定義NAT轉(zhuǎn)換的內(nèi)部端口③定義NAT轉(zhuǎn)換的外部端口靜態(tài)NAT配置命令

1.定義內(nèi)部源地址與全局地址的靜態(tài)轉(zhuǎn)換關(guān)系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address說明:local-address:內(nèi)部私有地址;global-address:內(nèi)部全局地址2.定義連接內(nèi)部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定義連接外部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside靜態(tài)NAT的配置實例靜態(tài)NAT的配置實例——R1配置Router#configterminal

//進入全局配置模式Router(config)#hostnameR1

//命名路由器為R1R1(config)#interfaceFastEthernet0/1

//進入路由器F0/1口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatinside

//連接內(nèi)部網(wǎng)絡(luò)R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出當前模式R1(config)#interfaceSerial0/1/0

//進入路由器S0/1/0口R1(config-if)#ipaddress

//配置IP地址R1(config-if)#ipnatoutside

//連接外部網(wǎng)絡(luò)R1(config-if)#noshutdown

//激活端口R1(config-if)#exit

//退出當前模式R1(config)#ipnatinsidesourcestatic

192.192.192.3

//內(nèi)部地址靜態(tài)轉(zhuǎn)換成外網(wǎng)地址R1(config)#ipnatinsidesourcestatic

192.192.192.4

//內(nèi)部地址靜態(tài)轉(zhuǎn)換成外網(wǎng)地址R1(config)#ipnatinsidesourcestatic

192.192.192.5

//內(nèi)部地址靜態(tài)轉(zhuǎn)換成外網(wǎng)地址R1(config)#iproute

//配置默認路由靜態(tài)NAT的配置實例——R2配置Router#configterminal//進入全局配置模式Router(config)#hostnameR2//命名路由器為R2R2(config)#interfaceFastEthernet0/1//進入路由器F0/1口R2(config-if)#ipaddress//配置IP地址R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出當前模式R2(config)#interfaceSerial0/1/0//進入路由器S0/1/0口R2(config-if)#ipaddress//配置IP地址R2(config-if)#clockrate64000//配置時鐘頻率R2(config-if)#noshutdown//激活端口R2(config-if)#exit//退出當前模式靜態(tài)NAT的配置實例——結(jié)果驗證R1#showipnattranslations

ProInsideglobalInsidelocalOutsidelocalOutsideglobal---------------------------動態(tài)NAT動態(tài)NAT:建立內(nèi)部本地地址和內(nèi)部全局地址池的臨時映射.臨時的一對一IP地址映射關(guān)系適用于只訪問外網(wǎng)服務(wù),不提供信息服務(wù)的主機內(nèi)部主機數(shù)可以大于全局IP地址數(shù)動態(tài)NAT配置配置步驟(1)定義一個用于動態(tài)NAT轉(zhuǎn)換的內(nèi)部全局地址池指定內(nèi)部網(wǎng)絡(luò)接口(2)定義標準ACL,匹配該ACL的內(nèi)部本地地址可以動態(tài)轉(zhuǎn)換(3)配置內(nèi)部本地地址和內(nèi)部全局地址間的轉(zhuǎn)換關(guān)系(4)定義接口連接內(nèi)部網(wǎng)絡(luò)(5)定義接口連接外部網(wǎng)絡(luò)動態(tài)NAT配置命令(1)1.定義一個可以根據(jù)需要進行分配的全局IP地址池Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}說明:

address-pool:地址池的名稱(可任意設(shè)定)

start-address:在地址池中定義地址范圍的起始IP地址

end-address:在地址池中定義地址范圍的結(jié)束IP地址

netmaskmask:定義網(wǎng)絡(luò)掩碼

例:定義一個NAT地址池。Router(config)#ipnatpoolmynatpool00netmask2.定義一個標準訪問列表,只有匹配該列表的地址才可以進行動態(tài)地址轉(zhuǎn)換Router(config)#access-list<1-99>

permitIP地址反掩碼3.定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系:將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進行地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist標準ACL號

pool

地址池的名稱例如:將訪問控制列表用于NAT地址池。Router(config)#access-list

20

permit

55Router(config)#ipnatinsidesourcelist20

pool

mynatpool動態(tài)NAT配置命令(2)4.定義該接口連接內(nèi)部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside5.定義接口連接外部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如:Router(config)#interfacef0/0Router(config-if)#ipnat

insideRouter(config)#interfaces0/1/0Router(config-if)#ipnatoutside動態(tài)NAT配置命令(3)動態(tài)NAT配置實例仍然以圖8-30為例,與靜態(tài)NAT地址轉(zhuǎn)換示例不同的是,當私網(wǎng)用戶不需要獲取固定的公網(wǎng)地址時,就可以進行動態(tài)NAT配置。動態(tài)NAT實例配置過程路由器R1、R2基本配置及解釋請參照靜態(tài)NAT配置,此處不再重述。R1(config)#access-list1permit

55

//創(chuàng)建ACL允許網(wǎng)段NAT轉(zhuǎn)換R1(config)#ipnatpooltom

192.192.192.3

netmask

//配置名為tom的地址池,將合法外部地址段192.192.192.3至192.192.192.5

加入地址池。R1(config)#ipnatinsidesourcelist1pool

tom//將內(nèi)網(wǎng)的符合ACL1的數(shù)據(jù)包的源地址轉(zhuǎn)換為地址池tom中的地址。

動態(tài)NAT實例配置驗證先用內(nèi)網(wǎng)用戶PC0測試與外網(wǎng)用戶PC3的通信狀況,在查看路由器R1的動態(tài)NAT轉(zhuǎn)換列表內(nèi)容如下所示。R1#shoipnattranslationsPro

Insideglobal

Insidelocal

Outsidelocal

Outsideglobalicmp:1:1:1:1icmp:2:2:2:2icmp:3:3:3:3icmp:4:4:4:48.7.4

NAPT的配置靜態(tài)

NAPT與

動態(tài)NAPT靜態(tài)NAPT適用于需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機永久的一對一“IP地址+端口”映射關(guān)系動態(tài)NAPT只訪問外網(wǎng)服務(wù),不提供信息服務(wù)的主機臨時的一對一“IP地址+端口”映射關(guān)系靜態(tài)NAPT配置(1)定義靜態(tài)轉(zhuǎn)換關(guān)系Router(config)#ipnatinsidesourcestatic

protocollocal-iplocal-port

global-ipglobal-port其中:static為靜態(tài)轉(zhuǎn)換protocol

為TCP或UDP;local-ip

為本地地址;global-ip

為全局地址;local-port

為本地地址的服務(wù)端口號;global-port

為全局地址的服務(wù)端口號。靜態(tài)NAPT配置(2)定義端口類型

Router(config-if)#ipnat{inside|outside}其中:inside表示連接內(nèi)部網(wǎng)絡(luò)端口;outside表示連接外部網(wǎng)絡(luò)端口。

實例-

靜態(tài)NAPT配置公司W(wǎng)eb服務(wù)器主機地址為,需要將網(wǎng)站私有地址映射成全局合法地址,以便網(wǎng)站對外發(fā)布,使外網(wǎng)用戶可以訪問。靜態(tài)NAPT配置Router(config)#ipnatinsidesourcestatictcp80Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#iproutef0/1Router#showipnattranslations實例二

動態(tài)NAPT配置你是某公司的網(wǎng)絡(luò)管理員,公司只向ISP申請了一個合法的IP地址。假設(shè)你是該公司的網(wǎng)絡(luò)管理員,現(xiàn)要你在路由器上做適當配置,使內(nèi)網(wǎng)的計算機都能訪問互聯(lián)網(wǎng)。NATR1R2F0S0S0/24/24實例二

動態(tài)NAPT配置

例如:50個內(nèi)部節(jié)點可以用同一個全球地址5來瀏覽同一個網(wǎng)站(比如服務(wù)器63的80端口),但是每個節(jié)點都使用不同的源端口號。當Web服務(wù)器應(yīng)答5時,NAT設(shè)備用應(yīng)答數(shù)據(jù)包中的目的端口來決定它們是去往哪個內(nèi)部用戶,并將該內(nèi)部主機的IP地址放到包頭中。

配置動態(tài)NAPT1.定義全局IP地址池,對于NAPT,一般就定義一個IP地址Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask|prefix-length

prefix-length}2.定義編號標準訪問列表,只有匹配該列表的地址才轉(zhuǎn)換Routert(config)#access-listaccess-list-numberpermit

ip-addresswildcard

3.

定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系Router(config)#ipnatinsidesourcelist

access-list-number

pool

pool-nameoverload4.定義該接口連接內(nèi)部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatinside5.定義接口連接外部網(wǎng)絡(luò)Routert(config)#interfaceinterfa

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論