《網(wǎng)絡(luò)設(shè)備安全》課件第10章 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第1頁(yè)
《網(wǎng)絡(luò)設(shè)備安全》課件第10章 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第2頁(yè)
《網(wǎng)絡(luò)設(shè)備安全》課件第10章 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第3頁(yè)
《網(wǎng)絡(luò)設(shè)備安全》課件第10章 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第4頁(yè)
《網(wǎng)絡(luò)設(shè)備安全》課件第10章 網(wǎng)絡(luò)地址轉(zhuǎn)換NAT_第5頁(yè)
已閱讀5頁(yè),還剩26頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

培養(yǎng)目標(biāo)通過(guò)本章的學(xué)習(xí),希望您能夠:掌握網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的概念掌握NAT的類(lèi)型及應(yīng)用場(chǎng)合掌握NAT工作原理及配置方法1公用和私有IP編址所有公有Internet地址都必須在所屬地域的相應(yīng)Internet注冊(cè)管理機(jī)構(gòu)(RIR)注冊(cè)。與公有IP地址不同,私有IP地址是保留的數(shù)值塊,任何人均可以使用。何謂NAT?2何謂NAT?NAT就像大辦公室中的前臺(tái)接待員??蛻?hù)撥打您辦公室的總機(jī)號(hào)碼,這是客戶(hù)知道的唯一號(hào)碼。NAT有很多用途,但最主要的用途是讓網(wǎng)絡(luò)能使用私有IP地址以節(jié)省IP地址。NAT將不可路由的私有內(nèi)部地址轉(zhuǎn)換成可路由的公有地址。NAT還能在一定程度上增加網(wǎng)絡(luò)的私密性和安全性,因?yàn)樗鼘?duì)外部網(wǎng)絡(luò)隱藏了內(nèi)部IP地址。R2執(zhí)行NAT過(guò)程,將主機(jī)的內(nèi)部私有地址轉(zhuǎn)換為公有、外部、可路由的地址。2何謂NAT??jī)?nèi)部本地地址

—通常不是RIR或服務(wù)器提供商分配的IP地址,極有可能是RFC1918私有地址。圖中,IP地址192.168.10.10被分配給內(nèi)部網(wǎng)絡(luò)上的主機(jī)PC1。內(nèi)部全局地址

—當(dāng)內(nèi)部主機(jī)流量流出NAT路由器時(shí)分配給內(nèi)部主機(jī)的有效公有地址。當(dāng)來(lái)自PC1的流量發(fā)往Web服務(wù)器209.165.201.1時(shí),路由器R2必須進(jìn)行地址轉(zhuǎn)換。本例中,PC1的內(nèi)部全局地址使用IP地址209.165.200.226。外部全局地址

—分配給Internet上主機(jī)的可達(dá)IP地址。例如,Web服務(wù)器的可達(dá)IP地址為209.165.201.1。外部本地地址

—分配給外部網(wǎng)絡(luò)上主機(jī)的本地IP地址。大多數(shù)情況下,此地址與外部設(shè)備的外部全局地址相同。NAT如何工作?2何謂NAT??jī)?nèi)部主機(jī)(192.168.10.10)希望與外部Web服務(wù)器(209.165.201.1)通信。它發(fā)送數(shù)據(jù)包給配置了NAT的網(wǎng)絡(luò)邊界網(wǎng)關(guān)R2。R2讀取數(shù)據(jù)包的目的IP地址,并檢查數(shù)據(jù)包是否符合規(guī)定的轉(zhuǎn)換標(biāo)準(zhǔn)。NAT如何工作?2何謂NAT?R2有一個(gè)ACL,它確定內(nèi)部網(wǎng)絡(luò)中可進(jìn)行轉(zhuǎn)換的有效主機(jī)。因此,R2將內(nèi)部本地IP地址轉(zhuǎn)換成內(nèi)部全局IP地址,本例中為209.165.200.226。它將此本地與全局地址映射關(guān)系存儲(chǔ)在NAT表中。NAT如何工作?2何謂NAT?路由器將數(shù)據(jù)包發(fā)送到目的地。NAT如何工作?2何謂NAT?當(dāng)Web服務(wù)器回應(yīng)時(shí),數(shù)據(jù)包回到R2的全局地址(209.165.200.226)。NAT如何工作?2何謂NAT?R2參考NAT表,發(fā)現(xiàn)這是原先轉(zhuǎn)換的IP地址。因此,它將內(nèi)部全局地址轉(zhuǎn)換成內(nèi)部本地地址,然后將數(shù)據(jù)包轉(zhuǎn)發(fā)給IP地址為192.168.10.10的PC1。如果它沒(méi)有找到映射關(guān)系,數(shù)據(jù)包將被丟棄。NAT轉(zhuǎn)換有兩種類(lèi)型2何謂NAT?動(dòng)態(tài)NAT:使用公有地址池,并以先到先得的原則分配這些地址。當(dāng)具有私有IP地址的主機(jī)請(qǐng)求訪問(wèn)Internet時(shí),動(dòng)態(tài)NAT從地址池中選擇一個(gè)未被其它主機(jī)占用的IP地址。這就是到目前為止所介紹的映射。靜態(tài)NAT:使用本地地址與全局地址的一對(duì)一映射,這些映射保持不變。靜態(tài)NAT對(duì)于必須具有一致的地址、可從Internet訪問(wèn)的Web服務(wù)器或主機(jī)特別有用。這些內(nèi)部主機(jī)可能是企業(yè)服務(wù)器或網(wǎng)絡(luò)設(shè)備。NAT過(guò)載2何謂NAT?NAT過(guò)載(有時(shí)稱(chēng)為端口地址轉(zhuǎn)換或PAT)將多個(gè)私有IP地址映射到一個(gè)或少數(shù)幾個(gè)公有IP地址。因?yàn)槊總€(gè)私有地址也會(huì)用端口號(hào)加以跟蹤。大多數(shù)家用路由器就是這樣工作的。NAT過(guò)載2何謂NAT?當(dāng)NAT處理各數(shù)據(jù)包時(shí),它使用端口號(hào)(本例中為1331和1555)來(lái)識(shí)別發(fā)起數(shù)據(jù)包的客戶(hù)端。NAT過(guò)載將SA變成客戶(hù)端的內(nèi)部全局IP地址,同樣會(huì)附加端口號(hào)。下一可用端口2何謂NAT?NAT過(guò)載會(huì)嘗試保留源端口號(hào)。下一可用端口2何謂NAT?但是,如果此源端口已被使用,NAT過(guò)載會(huì)從適當(dāng)?shù)亩丝诮M0-511、512-1023或1024-65535開(kāi)始分配第一個(gè)可用端口號(hào)。當(dāng)沒(méi)有端口可用時(shí),如果配置了一個(gè)以上的外部IP地址,則NAT過(guò)載將會(huì)使用下一IP地址,再次嘗試分配原先的源端口。NAT與NAT過(guò)載之間的區(qū)別2何謂NAT?NAT一般只按公有IP地址與私有IP地址之間的一對(duì)一對(duì)應(yīng)關(guān)系轉(zhuǎn)換IP地址。NAT過(guò)載則會(huì)同時(shí)修改發(fā)送者的私有IP地址和端口號(hào)。NAT過(guò)載選擇對(duì)公有網(wǎng)絡(luò)上主機(jī)可見(jiàn)的端口號(hào)。NAT將傳入的數(shù)據(jù)包路由給其內(nèi)部目的地時(shí),將以公有網(wǎng)絡(luò)上主機(jī)給出的傳入源IP地址為依據(jù)。利用NAT過(guò)載,一般只需一個(gè)或極少的幾個(gè)公有IP地址。3使用NAT的利弊4配置靜態(tài)NAT靜態(tài)NAT為內(nèi)部地址與外部地址的一對(duì)一映射。靜態(tài)NAT允許外部設(shè)備發(fā)起與內(nèi)部設(shè)備的連接。首先需要定義要轉(zhuǎn)換的地址,然后在適當(dāng)?shù)慕涌谏吓渲肗AT。4配置靜態(tài)NAT5配置動(dòng)態(tài)NAT動(dòng)態(tài)NAT則是將私有IP地址映射到公有地址。這些公有IP地址源自NAT池。動(dòng)態(tài)NAT不是創(chuàng)建到單一IP地址的靜態(tài)映射,而是使用內(nèi)部全局地址池。5配置動(dòng)態(tài)NAT6配置NAT過(guò)載僅有一個(gè)公有IP地址時(shí),過(guò)載配置通常把該公有地址分配給連接到ISP的外部接口。所有內(nèi)部地址離開(kāi)該外部接口時(shí),均被轉(zhuǎn)換為該地址。使用interface關(guān)鍵字來(lái)標(biāo)識(shí)外部IP地址,因此沒(méi)有定義NAT池。利用overload

關(guān)鍵字,可以將端口號(hào)添加到轉(zhuǎn)換中。為單一公有IP地址配置NAT過(guò)載6配置NAT過(guò)載為單一公有IP地址配置NAT過(guò)載6配置NAT過(guò)載當(dāng)ISP提供了一個(gè)以上公有IP地址時(shí),NAT過(guò)載將使用地址池。這種配置與動(dòng)態(tài)、一對(duì)一NAT配置的主要區(qū)別是前者使用了overload

關(guān)鍵字。overload

關(guān)鍵字允許進(jìn)行端口地址轉(zhuǎn)換。為公有IP地址池配置NAT過(guò)載6配置NAT過(guò)載為公有IP地址池配置NAT過(guò)載7檢驗(yàn)NAT和NAT過(guò)載以上是測(cè)試的例子。.檢驗(yàn)NAT和NAT過(guò)載7檢驗(yàn)NAT和NAT過(guò)載showipnattranslations

命令的輸出顯示NAT分配的詳細(xì)情況。在該命令中增加verbose

可顯示關(guān)于每個(gè)轉(zhuǎn)換的附加信息,包括創(chuàng)建和使用條目的時(shí)間長(zhǎng)短。該命令顯示所有已配置的靜態(tài)轉(zhuǎn)換和所有由流量創(chuàng)建的動(dòng)態(tài)轉(zhuǎn)換。檢驗(yàn)NAT和NAT過(guò)載7.檢驗(yàn)NAT和NAT過(guò)載showipnatstatistics

命令顯示以下信息:活動(dòng)轉(zhuǎn)換總數(shù)、NAT配置參數(shù)、池中的地址數(shù)量以及已分配的地址數(shù)量。轉(zhuǎn)換條目默認(rèn)超時(shí)時(shí)間為24小時(shí),在全局配置模式下使用ipnattranslationtimeouttimeout_seconds

命令可重新配置超時(shí)時(shí)間。檢驗(yàn)NAT和NAT過(guò)載7.檢驗(yàn)NAT和NAT過(guò)載要在超時(shí)之前清除動(dòng)態(tài)條目,請(qǐng)使用clearipnattranslation

全局命令。可以具體指定刪除哪一轉(zhuǎn)換,也可以使用clearipnattranslation*

全局命令清除表中的全部轉(zhuǎn)換,如本例所示。檢驗(yàn)NAT和NAT過(guò)載7檢驗(yàn)NAT和NAT過(guò)載NAT和NAT過(guò)載配置的故障排除7檢驗(yàn)NAT和NAT過(guò)載NAT和NAT過(guò)載配置的故障排除步驟1.根據(jù)配置,清楚地確定應(yīng)該實(shí)現(xiàn)什么樣的NAT。這可能會(huì)揭示出配置問(wèn)題。步驟2.使用showipnattranslations

命令檢驗(yàn)轉(zhuǎn)換表中轉(zhuǎn)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論