重點(diǎn)3:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(必會)_第1頁
重點(diǎn)3:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(必會)_第2頁
重點(diǎn)3:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(必會)_第3頁
重點(diǎn)3:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(必會)_第4頁
重點(diǎn)3:網(wǎng)絡(luò)地址轉(zhuǎn)換NAT(必會)_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

第0頁網(wǎng)絡(luò)地址轉(zhuǎn)換NAT前言隨著Internet的發(fā)展和網(wǎng)絡(luò)應(yīng)用的增多,有限的IPv4公有地址已經(jīng)成為制約網(wǎng)絡(luò)發(fā)展的瓶頸。為解決這個問題,NAT(Network

Address

Translation,網(wǎng)絡(luò)地址轉(zhuǎn)換)技術(shù)應(yīng)需而生。NAT技術(shù)主要用于實(shí)現(xiàn)內(nèi)部網(wǎng)絡(luò)的主機(jī)訪問外部網(wǎng)絡(luò)。一方面NAT緩解了IPv4地址短缺的問題,另一方面NAT技術(shù)讓外網(wǎng)無法直接與使用私有地址的內(nèi)網(wǎng)進(jìn)行通信,提升了內(nèi)網(wǎng)的安全性。本章節(jié)我們將了解NAT的技術(shù)背景,學(xué)習(xí)不同類型NAT的技術(shù)原理、使用場景。第1頁目標(biāo)學(xué)完本課程后,您將能夠:?

了解NAT的技術(shù)背景?

掌握NAT的分類和技術(shù)原理?

掌握不同場景下如何選用不同類型的NAT技術(shù)第2頁目錄NAT概述靜態(tài)NAT動態(tài)NATNAPT、Easy-IPNAT

Server第3頁NAT產(chǎn)生背景隨著互聯(lián)網(wǎng)用戶的增多,IPv4的公有地址資源顯得越發(fā)短缺。同時IPv4公有地址資源存在地址分配不均的問題,這導(dǎo)致部分地區(qū)的IPv4可用公有地址嚴(yán)重不足。為解決該問題,使用過渡技術(shù)解決IPv4公有地址短缺就顯得尤為必要。互聯(lián)網(wǎng)用戶0公有IPv4地址第4頁私網(wǎng)IP地址公有地址:由專門的機(jī)構(gòu)管理、分配,可以在Internet上直接通信的IP地址。私有地址:組織和個人可以任意使用,無法在Internet上直接通信,只能在內(nèi)網(wǎng)使用的IP地址。A、B、C類地址中各預(yù)留了一些地址專門作為私有IP地址:?

A類:

~

55? B類:

~

55?

C類:

~

55Internet企業(yè)辦公園區(qū)/16校園網(wǎng)/8家庭網(wǎng)絡(luò)/16咖啡廳/16小型廠房園區(qū)/16第5頁NAT技術(shù)原理PC0/24Web服務(wù)器

NAT:對IP數(shù)據(jù)報文中的IP地址進(jìn)行轉(zhuǎn)換,是一種在現(xiàn)網(wǎng)中被廣泛部署的技術(shù),一般部署在網(wǎng)絡(luò)出口設(shè)備,例如路由器或防火墻上。NAT的典型應(yīng)用場景:在私有網(wǎng)絡(luò)內(nèi)部(園區(qū)、家庭)使用私有地址,出口設(shè)備部署NAT,對于“從內(nèi)到外”的流量,網(wǎng)絡(luò)設(shè)備通過NAT將數(shù)據(jù)包的源地址進(jìn)行轉(zhuǎn)換(轉(zhuǎn)換成特定的公有地址),而對于“從外到內(nèi)的”流量,則對數(shù)據(jù)包的目的地址進(jìn)行轉(zhuǎn)換。通過私有地址的使用結(jié)合NAT技術(shù),可以有效節(jié)約公網(wǎng)IPv4地址。私有網(wǎng)絡(luò)NAT源IP:0目的IP:源IP:

目的IP:源IP:目的IP:0源IP:

目的IP:1243第6頁54Internet目錄NAT概述靜態(tài)NAT動態(tài)NATNAPT、Easy-IPNAT

Server第7頁靜態(tài)NAT原理私有地址公有地址/24Web服務(wù)器

NAT/2454Internet靜態(tài)NAT:每個私有地址都有一個與之對應(yīng)并且固定的公有地址,即私有地址和公有地址之間的關(guān)系是一對一映射。支持雙向互訪:私有地址訪問Internet經(jīng)過出口設(shè)備NAT轉(zhuǎn)換時,會被轉(zhuǎn)換成對應(yīng)的公有地址。同時,外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)時,其報文中攜帶的公有地址(目的地址)也會被NAT設(shè)備轉(zhuǎn)換成對應(yīng)的私有地址。私有網(wǎng)絡(luò)/24NAT映射表第8頁靜態(tài)NAT轉(zhuǎn)換示例訪問Internet時,源地址會被轉(zhuǎn)換為。Internet的回包目的地址為,目的地址會被轉(zhuǎn)換為。Internet上的主機(jī)主動訪問,報文的目的地址會被出口設(shè)備NAT轉(zhuǎn)換為。的回包源地址,經(jīng)過出口設(shè)備時會被NAT轉(zhuǎn)換為。源IP:目的IP:1源IP:

目的IP:3源IP:目的IP:4源IP:

目的IP:2/24Web服務(wù)器

NAT/24/24源IP:目的IP:2源IP:

目的IP:4源IP:目的IP:3源IP:

目的IP:1外網(wǎng)主機(jī)54Internet第9頁靜態(tài)NAT配置介紹第10頁[Huawei-GigabitEthernet0/0/0]natstatic

global{global-address}

inside{host-address

}1.

方式一:接口視圖下配置靜態(tài)NATglobal參數(shù)用于配置外部公有地址,inside參數(shù)用于配置內(nèi)部私有地址。2.

方式二:系統(tǒng)視圖下配置靜態(tài)NAT[Huawei]

nat

static

global

{

global-address}

inside

{host-address

}配置命令相同,視圖為系統(tǒng)視圖,之后在具體的接口下開啟靜態(tài)NAT。[Huawei-GigabitEthernet0/0/0]natstatic

enable在接口下使能nat

static功能。靜態(tài)NAT配置示例/24Web服務(wù)器

GE0/0/1R1

NAT私有網(wǎng)絡(luò)/2454/24在R1上配置靜態(tài)NAT將內(nèi)網(wǎng)主機(jī)的私有地址一對一映射到公有地址。[R1]interface

GigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ip

address

24[R1-GigabitEthernet0/0/1]nat

static

global

inside

[R1-GigabitEthernet0/0/1]nat

static

global

inside

[R1-GigabitEthernet0/0/1]nat

static

global

inside

Internet第11頁目錄NAT概述靜態(tài)NAT動態(tài)NATNAPT、Easy-IPNAT

Server第12頁動態(tài)NAT原理Not

UseNot

UseNot

Use/24Web服務(wù)器

NAT/24/2454Internet私有網(wǎng)絡(luò)動態(tài)NAT:靜態(tài)NAT嚴(yán)格地一對一進(jìn)行地址映射,這就導(dǎo)致即便內(nèi)網(wǎng)主機(jī)長時間離線或者不發(fā)送數(shù)據(jù)時,與之對應(yīng)的公有地址也處于使用狀態(tài)。為了避免地址浪費(fèi),動態(tài)NAT提出了地址池的概念:所有可用的公有地址組成地址池。當(dāng)內(nèi)部主機(jī)訪問外部網(wǎng)絡(luò)時臨時分配一個地址池中未使用的地址,并將該地址標(biāo)記為“In

Use”。當(dāng)該主機(jī)不再訪問外部網(wǎng)絡(luò)時回收分配的地址,重新標(biāo)記為“Not

Use”。NAT地址池第13頁Select動態(tài)NAT轉(zhuǎn)換示例(1)/24Web服務(wù)器

NAT/24/24In

UseNot

UseNot

Use源IP:目的IP:1源IP:

目的IP:2STEP

1選擇一個地址池中未使用的地址作為轉(zhuǎn)換后的地址,同時將該地址的標(biāo)記變?yōu)椤癐n

Use”。私有地址公有地址STEP

2生成一個臨時的NAT映射表。InternetNAT地址池NAT映射表第14頁Match動態(tài)NAT轉(zhuǎn)換示例(2)/24Web服務(wù)器

NAT/24/24私有地址公有地址源IP:

目的IP:3源IP:目的IP:4查找NAT映射表,根據(jù)公有地址查找私有地址,并進(jìn)行IP數(shù)據(jù)報文目的地址轉(zhuǎn)換。Internet第15頁NAT映射表-----------------------------動態(tài)NAT配置介紹第16頁[Huawei]

nat

address-group

group-index

start-address

end-address1.

創(chuàng)建地址池配置公有地址范圍,其中g(shù)roup-index為地址池編號,start-address、end-address分別為地址池起始地址、結(jié)束地址。2.

配置地址轉(zhuǎn)換的ACL規(guī)則[Huawei]

acl

number[Huawei-acl-basic-number]

rule

permit

source

source-address

source-wildcard配置基礎(chǔ)ACL,匹配需要進(jìn)行動態(tài)轉(zhuǎn)換的源地址范圍。3.

接口視圖下配置帶地址池的NAT

Outbound[Huawei-GigabitEthernet0/0/0]

nat

outbound

acl-number

address-group

group-index

[

no-pat

]接口下關(guān)聯(lián)ACL與地址池進(jìn)行動態(tài)地址轉(zhuǎn)換,no-pat參數(shù)指定不進(jìn)行端口轉(zhuǎn)換。動態(tài)NAT配置示例[R1]nat

address-group

1

[R1]acl2000[R1-acl-basic-2000]rule

5permit

source

55[R1-acl-basic-2000]quit[R1]interface

GigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound

2000

address-group

1

no-pat/24Web服務(wù)器

NATR1私有網(wǎng)絡(luò)/24第17頁/24在R1上配置動態(tài)NAT將內(nèi)網(wǎng)主機(jī)的私有地址動態(tài)映射到公有地址。InternetGE0/0/1目錄NAT概述靜態(tài)NAT動態(tài)NATNAPT、Easy-IPNAT

Server第18頁NAT映射表私有網(wǎng)絡(luò)NAPT原理動態(tài)NAT選擇地址池中的地址進(jìn)行地址轉(zhuǎn)換時不會轉(zhuǎn)換端口號,即No-PAT(No-Port

Address

Translation,非端口地址轉(zhuǎn)換),公有地址與私有地址還是1:1的映射關(guān)系,無法提高公有地址利用率。NAPT(Network

Address

and

Port

Translation,網(wǎng)絡(luò)地址端口轉(zhuǎn)換):從地址池中選擇地址進(jìn)行地址轉(zhuǎn)換時不僅轉(zhuǎn)換IP地址,同時也會對端口號進(jìn)行轉(zhuǎn)換,從而實(shí)現(xiàn)公有地址與私有地址的1:n映射,可以有效提高公有地址利用率。/24Web服務(wù)器

NAT/24/24私有地址:端口公有地址:端口:10321:1025:17087:102654NAT地址池-------------Internet第19頁Select映射表NAPT轉(zhuǎn)換示例(1)源::10321目的::801源::1025目的::802Step

1選擇一個地址池中的地址,同時轉(zhuǎn)換源IP、端口。Step

2同時生成一個臨時的NAT映射表,其中記錄:[轉(zhuǎn)換前源IP:端口],[轉(zhuǎn)換后IP:端口]。私有地址:端口公有地址:端口:10321:1025:17087:1026/24Web服務(wù)器

NAT/24/24NAT地址池-------------Internet第20頁NAPT轉(zhuǎn)換示例(2)/24Web服務(wù)器

NAT/24/24查找NAT映射表,根據(jù)[公有地址:端口]信息查找對應(yīng)的[私有地址:端口],并進(jìn)行IP數(shù)據(jù)報文目的地址、端口轉(zhuǎn)換。源::80目的::10253源::80目的::103214InternetNAT映射表Match第21頁私有地址:端口公有地址:端口:10321:1025:17087:1026NAPT配置示例[R1]nat

address-group

1

[R1]acl2000[R1-acl-basic-2000]rule

5permit

source

55[R1-acl-basic-2000]quit[R1]interface

GigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound

2000

address-group

1/24Web服務(wù)器

NATR1私有網(wǎng)絡(luò)/24/24在R1上配置NAPT讓內(nèi)網(wǎng)所有私有地址通過訪問公網(wǎng)。54GE0/0/1Internet第22頁NAT映射表Easy

IP/24Web服務(wù)器

NATEasy

IP:實(shí)現(xiàn)原理和NAPT相同,同時轉(zhuǎn)換IP地址、傳輸層端口,區(qū)別在于Easy

IP沒有地址池的概念,使用接口地址作為NAT轉(zhuǎn)換的公有地址。Easy

IP適用于不具備固定公網(wǎng)IP地址的場景:如通過DHCP、PPPoE撥號獲取地址的私有網(wǎng)絡(luò)出口,可以直接使用獲取到的動態(tài)地址進(jìn)行轉(zhuǎn)換。私有網(wǎng)絡(luò)/24/24私有地址:端口公有地址:端口:10321:1025:17087:102654第23頁InternetEasy

IP配置示例[R1]acl2000[R1-acl-basic-2000]rule

5permit

source

55[R1-acl-basic-2000]quit[R1]interface

GigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound

2000/24Web服務(wù)器

NATR1私有網(wǎng)絡(luò)/24第24頁/24在R1上配置Easy-IP讓內(nèi)網(wǎng)所有私有地址通過訪問公網(wǎng)。54GE0/0/1Internet目錄NAT概述靜態(tài)NAT動態(tài)NATNAPT、Easy-IPNAT

Server第25頁私有網(wǎng)絡(luò)NAT

Server使用場景NATServer:指定[公有地址:端口]與[私有地址:端口]的一對一映射關(guān)系,將內(nèi)網(wǎng)服務(wù)器映射到公網(wǎng),當(dāng)私有網(wǎng)絡(luò)中的服務(wù)器需要對公網(wǎng)提供服務(wù)時使用。外網(wǎng)主機(jī)主動訪問[公有地址:端口]實(shí)現(xiàn)對內(nèi)網(wǎng)服務(wù)器的訪問。私有地址:端口公有地址:端口0:80:80Web服務(wù)器

054NATNAT映射表Internet第26頁NAT

Server轉(zhuǎn)換示例源::80目的::478194源:0:80

目的::478193源::47819目的::801源::47819

目的:0:802

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論