網(wǎng)絡地址轉換

1、Ruijie University 網(wǎng)絡地址轉換page2內 容 Contents 網(wǎng)絡地址轉換概述1 靜態(tài)NAT2 動態(tài)NAT3 NAPT4 NAT配置案例5page31、網(wǎng)絡地址轉換概述page4NAT概念l 地址空間不足帶來的問題l 注冊IP地址空間將要耗盡，而internet的規(guī)模仍在持續(xù)增長l 隨著internet的增長，骨干互聯(lián)網(wǎng)路由選擇表中的IP路由條目也在增加，這引發(fā)了路由選擇算法的擴展問題l 網(wǎng)絡地址轉換NAT（Network Address Translation）l NAT是一種大型網(wǎng)絡中節(jié)約注冊IP地址數(shù)量，并簡化IP尋址管理任務的機制。NAT已經(jīng)標準化并在RFC161

2、3中描述l 它是一個IETF(Internet Engineering Task Force, Internet工程任務組)標準，允許一個整體機構以一個公用IP地址出現(xiàn)在Internet上l 它是一種把內部私有網(wǎng)絡地址翻譯成合法公網(wǎng)IP地址的技術page5 NAT的用途l 解決地址空間不足的問題l IPv4的空間已經(jīng)嚴重不足，NAT可以大量節(jié)省公網(wǎng)IPl 私有IP地址網(wǎng)絡與公網(wǎng)互聯(lián)l 私有IP網(wǎng)絡無法直接在公網(wǎng)上通信，NAT技術可以將其轉化為合法的公網(wǎng)地址使私有網(wǎng)絡與公網(wǎng)實現(xiàn)互聯(lián)l 使用未注冊的公網(wǎng)IP地址與公網(wǎng)互聯(lián)l 內網(wǎng)使用的是未注冊的公網(wǎng)IP，通過NAT技術也能正常與internet互聯(lián)

3、l 網(wǎng)絡改造中，避免更改地址帶來的風險l 內網(wǎng)改造不需要重新更換與外網(wǎng)互聯(lián)地址，只需更改映射關系l 內網(wǎng)改造出現(xiàn)地址重疊，NAT技術可以屏蔽重疊page6NAT術語術語術語定義定義內部本地IP地址分配給內部網(wǎng)絡中的主機的IP地址，通常這種地址來自RFC 1918指定的私有地址空間。內部全局IP地址內部全局IP地址，對外代表一個或多個內部本地IP地址，通常這種地址來自全局惟一的地址空間，通常是ISP提供的。外部全局IP地址外部網(wǎng)絡中的主機的IP地址，通常來自全局可路由的地址空間。外部本地IP地址在內部網(wǎng)絡中看到的外部主機的IP地址簡單轉換條目將一個IP地址映射到另一個IP地址（通常被稱為網(wǎng)絡地址

4、轉換）的轉換條目。擴展轉換條目將一個IP地址和端口對映射到另一個IP地址和端口（通常被稱為端口地址轉換）對的轉換條目。page7NAT術語page8NAT分類l 根據(jù)NAT的映射方式可分為：l 靜態(tài)NAT：手動建立一個內部IP地址到一個外部IP地址的映射關系l 該方式經(jīng)常用于企業(yè)網(wǎng)的內部設備需要能夠被外部網(wǎng)絡訪問到的場合l 動態(tài)NAT：將一個內部IP地址轉換為一組外部IP地址（地址池）中的一個IP地址l 常用于整個公司共用多個公網(wǎng)IP地址訪問Internet時l 超載（Overloading）NAT：動態(tài)NAT的一種特殊形式，利用不同端口號將多個內部IP地址轉換為一個外部IP地址，也稱為PAT

5、、NAPT或端口復用NATl 常用于整個公司共用1個公網(wǎng)IP地址訪問Internet時page92、靜態(tài)NATpage10靜態(tài)NAT的工作過程lHostA發(fā)數(shù)據(jù)包給HostB，通過路由器時，源地址被轉換為lHostB回復HostA，通過路由器時，目的地址被轉換為page11配置靜態(tài)NATl 配置靜態(tài)內部源地址轉換l 指定一個內部接口和一個外部接口l (config-if)# ip nat inside | outside l 配置靜態(tài)轉換條目l (config)#ip nat inside source static loca

6、l-ip interface interface | global-ip l 配置靜態(tài)端口地址轉換l 指定一個內部接口和一個外部接口l (config-if)# ip nat inside | outside l 配置靜態(tài)端口轉換條目l (config)# ip nat inside source static tcp | udp local-ip local-port interface interface | global-ip global-portpage12配置靜態(tài)NAT示例l (config)#interface f0/0l (config-if)#ip nat insidel (

7、config)#interface serial2/0l (config-if)#ip nat outsidel (config)#ip nat inside source static page13練習11-1l 靜態(tài)NAT配置 請根據(jù)下面的拓撲圖進行網(wǎng)絡設備配置，使得路由器通過地址對vlan 10及vlan 20提供Web及FTP服務。page143、動態(tài)NATpage15動態(tài)NAT的工作過程lHostA發(fā)數(shù)據(jù)包給HostB，通過路由器時，源地址被轉換為地址池中的一個地址lHostB回復HostA，

8、通過路由器時，目的地址被轉換為page16配置動態(tài)NATl 配置動態(tài)NATl 指定一個內部接口和一個外部接口l (config-if)# ip nat inside | outside l 定義IP訪問控制列表l (config)#access-list access-list-number permit | deny l 定義一個地址池l (config)# ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length l 配置動態(tài)轉換條目l (conf

9、ig)# ip nat inside source list access-list-number interface interface | pool pool-name page17配置示例page18練習11-2l 動態(tài)NAT配置練習 如下拓撲所示，RA屬于公司內部網(wǎng)專用路由器配置了默認路由并且所擁有的公網(wǎng)ip段為.10.12，RB為公司內部服務器專用路由器，用于對外提供Web及Ftp服務，但其他端口禁止公網(wǎng)ip訪問。此外，為了保證安全，只允許PC0訪問公司的Web服務，PC1訪問Ftp服務，并且均能使用ping指令對外測試網(wǎng)絡連通性。請根據(jù)上述需求進行相應的網(wǎng)絡配置。page194、N

10、APTpage20NAPT 的工作過程page21配置NAPTl 指定一個內部接口和一個外部接口l (config-if)# ip nat inside | outside l 定義IP訪問控制列表l (config)#access-list access-list-number permit | deny l 定義一個地址池l (config)#ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length l 配置動態(tài)轉換條目l (config)#ip nat inside source

11、 list access-list-number interface interface | pool pool-name overloadl 配置NAPT轉換中，必須使用overload關鍵字，這樣路由器才會將源端口也進行轉換，已達到地址超載的目的。如果不指定overload關鍵字，路由器將執(zhí)行動態(tài)NAT轉換。page22配置示例page235、NAT配置案例page24l 實現(xiàn)以下需求l 1、內部主機（/24）能訪問公網(wǎng)l 2、內部服務器私有ip：00，對外提供www 服務。配置案例24/24R2NPEPCWeb serve

12、r/24/30Nat地址池地址池pool 為為 /24Web server映射成映射成/24/30L3 SW00/24/30/30page25定義接口和ACL25/24R2NPEPCWeb server/24Gi0/0 /30Gi0/1 /30L3 SW00/24/3020

13、/30Outside外網(wǎng)口外網(wǎng)口Inside內網(wǎng)口內網(wǎng)口interface GigabitEthernet 0/0 ip nat insideinterface GigabitEthernet 0/1 ip nat outsideip access-list standard 1 10 permit 55 定義NAT設備的內外網(wǎng)口定義進行NAT的ACL用戶列表page26 定義NAT地址池和服務器對外映射 ip nat pool natpool prefix-length 24 address 202.112

14、.192.254 match interface GigabitEthernet 0/1/24R2NPEPCWeb server/24Gi0/0 /30Gi0/1 /30L3 SW00/24/30/30Outside外網(wǎng)口外網(wǎng)口Inside內網(wǎng)口內網(wǎng)口pool-name前綴長度前綴長度 start-ip end-ip定義地址池page27定義端口映射27/24R2NPEPCWeb server10.10.10.

15、0/24Gi0/0 /30Gi0/1 /30L3 SW00/24/30/30Outside外網(wǎng)口外網(wǎng)口Inside內網(wǎng)口內網(wǎng)口協(xié)議協(xié)議global-addresslocal-addressip nat inside source static tcp 00 80 80PORTPORTpage28 定義轉換方法及轉換關聯(lián)l ip nat inside source list 1 pool natpool overload28202

16、.100.99.0/24R2NPEPCWeb server/24Gi0/0 /30Gi0/1 /30L3 SW00/24/30/30Outside外網(wǎng)口外網(wǎng)口Inside內網(wǎng)口內網(wǎng)口ACL號號pool-name定義轉換方法page29驗證和診斷NAT轉換l 顯示活動的轉換條目Router#show ip nat translations access-list-number | icmp | tcp | udp verbose l 顯示轉換的統(tǒng)計信息Router