《網(wǎng)絡(luò)互聯(lián)交換技術(shù)》課件-模塊十一：網(wǎng)絡(luò)地址轉(zhuǎn)換

靜態(tài)NAT與動(dòng)態(tài)NAT01NAT介紹02靜態(tài)NAT03動(dòng)態(tài)NAT.01NAT介紹NAT產(chǎn)生的背景中國(guó)總共申請(qǐng)到的公網(wǎng)IP有近3.4億個(gè)。結(jié)合我們中國(guó)的人口數(shù)量以及需要上網(wǎng)的設(shè)備數(shù)量，3.4億顯然沒(méi)法滿足如此龐大的訪問(wèn)需求。NAT產(chǎn)生的背景NAT技術(shù)私網(wǎng)IP地址是由專門的機(jī)構(gòu)管理、分配，可以在Internet上直接通信的IP地址。是組織和個(gè)人可以任意使用，無(wú)法在Internet上直接通信，只能在內(nèi)網(wǎng)使用的IP地址。公有地址01私有地址02私網(wǎng)IP地址Internet企業(yè)辦公園區(qū)/16小型廠房園區(qū)/16校園網(wǎng)/8家庭網(wǎng)絡(luò)/16咖啡廳/16NAT技術(shù)原理PC0/24Web服務(wù)器私有網(wǎng)絡(luò)NAT源IP：0目的IP：源IP：目的IP：源IP：目的IP：0源IP：目的IP：124354InternetNAT技術(shù)是指對(duì)IP數(shù)據(jù)報(bào)文中的IP地址進(jìn)行轉(zhuǎn)換，是一種在現(xiàn)網(wǎng)中被廣泛部署的技術(shù)，一般部署在網(wǎng)絡(luò)出口設(shè)備，例如路由器或防火墻上。NAT技術(shù)原理PC0/24Web服務(wù)器私有網(wǎng)絡(luò)NAT源IP：0目的IP：源IP：目的IP：源IP：目的IP：0源IP：目的IP：124354InternetNAT最常見(jiàn)的應(yīng)用場(chǎng)景就是在連接互聯(lián)網(wǎng)的設(shè)備上部署，對(duì)于“從內(nèi)到外”的流量，網(wǎng)絡(luò)設(shè)備通過(guò)NAT將數(shù)據(jù)包的源地址進(jìn)行轉(zhuǎn)換（轉(zhuǎn)換成特定的公有地址），而對(duì)于“從外到內(nèi)的”流量，則對(duì)數(shù)據(jù)包的目的地址進(jìn)行轉(zhuǎn)換。.02靜態(tài)NAT靜態(tài)NAT原理私有地址公有地址/24Web服務(wù)器NAT/24/2454Internet私有網(wǎng)絡(luò)NAT映射表-------------------------------靜態(tài)NAT：每個(gè)私有地址都有一個(gè)與之對(duì)應(yīng)并且固定的公有地址，即私有地址和公有地址之間的關(guān)系是一對(duì)一映射。靜態(tài)NAT原理私有地址公有地址/24Web服務(wù)器NAT/24/2454Internet私有網(wǎng)絡(luò)NAT映射表-------------------------------支持雙向互訪：私有地址訪問(wèn)Internet經(jīng)過(guò)出口設(shè)備NAT轉(zhuǎn)換時(shí)，會(huì)被轉(zhuǎn)換成對(duì)應(yīng)的公有地址。同時(shí)，外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)時(shí)，其報(bào)文中攜帶的公有地址（目的地址）也會(huì)被NAT設(shè)備轉(zhuǎn)換成對(duì)應(yīng)的私有地址。靜態(tài)NAT轉(zhuǎn)換示例私有地址公有地址訪問(wèn)Internet時(shí)，源地址會(huì)被轉(zhuǎn)換為。Internet的回包目的地址為，目的地址會(huì)被轉(zhuǎn)換為。Internet上的主機(jī)主動(dòng)訪問(wèn)，報(bào)文的目的地址會(huì)被出口設(shè)備NAT轉(zhuǎn)換為。的回包源地址，經(jīng)過(guò)出口設(shè)備時(shí)會(huì)被NAT轉(zhuǎn)換為。源IP：目的IP：1源IP：目的IP：3源IP：目的IP：4源IP：目的IP：2/24Web服務(wù)器NAT/24/24源IP：目的IP：2源IP：目的IP：4源IP：目的IP：3源IP：目的IP：1外網(wǎng)主機(jī)54InternetNAT映射表-------------------------------靜態(tài)NAT配置介紹[Huawei-GigabitEthernet0/0/0]natstaticglobal{global-address}inside{host-address}方式一：接口視圖下配置靜態(tài)NATglobal參數(shù)用于配置外部公有地址，inside參數(shù)用于配置內(nèi)部私有地址。[Huawei]natstaticglobal{global-address}inside{host-address}方式二：系統(tǒng)視圖下配置靜態(tài)NAT配置命令相同，視圖為系統(tǒng)視圖，之后在具體的接口下開(kāi)啟靜態(tài)NAT。[Huawei-GigabitEthernet0/0/0]natstaticenable在接口下使能natstatic功能。靜態(tài)NAT配置示例[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]ipaddress24[R1-GigabitEthernet0/0/1]nat

staticglobalinside[R1-GigabitEthernet0/0/1]nat

staticglobalinside[R1-GigabitEthernet0/0/1]nat

staticglobalinside在R1上配置靜態(tài)NAT將內(nèi)網(wǎng)主機(jī)的私有地址一對(duì)一映射到公有地址。私有網(wǎng)絡(luò)/24Web服務(wù)器GE0/0/1R1NAT/24/2454Internet.03動(dòng)態(tài)NAT動(dòng)態(tài)NAT原理靜態(tài)NAT缺點(diǎn)：一旦在NAT設(shè)備形成靜態(tài)映射表，私網(wǎng)地址與公網(wǎng)地址就形成固定的映射關(guān)系，就算某臺(tái)私網(wǎng)設(shè)備不使用，它對(duì)應(yīng)的公網(wǎng)地址也被占用。NotUseNotUseNotUse/24Web服務(wù)器NAT/24/2454Internet私有網(wǎng)絡(luò)NAT地址池--------------------動(dòng)態(tài)NAT原理當(dāng)內(nèi)部主機(jī)訪問(wèn)外部網(wǎng)絡(luò)時(shí)臨時(shí)分配一個(gè)地址池中未使用的地址，并將該地址標(biāo)記為“InUse”。當(dāng)該主機(jī)不再訪問(wèn)外部網(wǎng)絡(luò)時(shí)回收分配的地址，重新標(biāo)記為“NotUse”。NotUseNotUseNotUse/24Web服務(wù)器NAT/24/2454Internet私有網(wǎng)絡(luò)NAT地址池--------------------動(dòng)態(tài)NAT轉(zhuǎn)換示例(1)Select/24Web服務(wù)器NAT/24/24InUseNotUseNotUse源IP：目的IP：1源IP：目的IP：2STEP1選擇一個(gè)地址池中未使用的地址作為轉(zhuǎn)換后的地址，同時(shí)將該地址的標(biāo)記變?yōu)椤癐nUse”。私有地址公有地址STEP2生成一個(gè)臨時(shí)的NAT映射表。InternetNAT地址池--------------------NAT映射表--------------------動(dòng)態(tài)NAT轉(zhuǎn)換示例(2)Match/24Web服務(wù)器NAT/24/24私有地址公有地址源IP：目的IP：3源IP：目的IP：4查找NAT映射表，根據(jù)公有地址查找私有地址，并進(jìn)行IP數(shù)據(jù)報(bào)文目的地址轉(zhuǎn)換。InternetNAT映射表-----------------------------動(dòng)態(tài)NAT配置介紹[Huawei]nataddress-groupgroup-index

start-addressend-address1.創(chuàng)建地址池配置公有地址范圍，其中g(shù)roup-index為地址池編號(hào)，start-address、end-address分別為地址池起始地址、結(jié)束地址。2.配置地址轉(zhuǎn)換的ACL規(guī)則配置基礎(chǔ)ACL，匹配需要進(jìn)行動(dòng)態(tài)轉(zhuǎn)換的源地址范圍。[Huawei]acl

number[Huawei-acl-basic-number]rulepermitsourcesource-addresssource-wildcard3.接口視圖下配置帶地址池的NATOutbound接口下關(guān)聯(lián)ACL與地址池進(jìn)行動(dòng)態(tài)地址轉(zhuǎn)換，no-pat參數(shù)指定不進(jìn)行端口轉(zhuǎn)換。[Huawei-GigabitEthernet0/0/0]natoutboundacl-numberaddress-groupgroup-index

[no-pat]動(dòng)態(tài)NAT配置示例私有網(wǎng)絡(luò)/24Web服務(wù)器NATR1/24/24InternetGE0/0/1[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000address-group1no-pat在R1上配置動(dòng)態(tài)NAT將內(nèi)網(wǎng)主機(jī)的私有地址動(dòng)態(tài)映射到公有地址。NAT的背景和作用靜態(tài)NAT的原理和配置命令

動(dòng)態(tài)NAT的原理和配置命令NAPT及其他常用NAT01NAPT02EasyIP03NATServer.01NAPTNAPT原理私有地址:端口公有地址:端口:10321:1025:17087:1026NAT映射表-------------NAT地址池-------------私有網(wǎng)絡(luò)/24Web服務(wù)器NAT/24/2454Internet動(dòng)態(tài)NAT選擇地址池中的地址進(jìn)行地址轉(zhuǎn)換時(shí)不會(huì)轉(zhuǎn)換端口號(hào)，即No-PAT（No-PortAddressTranslation，非端口地址轉(zhuǎn)換），公有地址與私有地址還是1:1的映射關(guān)系，無(wú)法提高公有地址利用率。NAPT原理私有地址:端口公有地址:端口:10321:1025:17087:1026NAT映射表-------------私有網(wǎng)絡(luò)/24Web服務(wù)器NAT/24/2454NAT地址池-------------InternetNAPT（NetworkAddressandPortTranslation，網(wǎng)絡(luò)地址端口轉(zhuǎn)換）：從地址池中選擇地址進(jìn)行地址轉(zhuǎn)換時(shí)不僅轉(zhuǎn)換IP地址，同時(shí)也會(huì)對(duì)端口號(hào)進(jìn)行轉(zhuǎn)換，從而實(shí)現(xiàn)公有地址與私有地址的1:n映射，可以有效提高公有地址利用率。NAPT轉(zhuǎn)換示例(1)Select映射表-------------源：:10321目的：:801Step1選擇一個(gè)地址池中的地址，同時(shí)轉(zhuǎn)換源IP、端口。源：:1025目的：:802Step2同時(shí)生成一個(gè)臨時(shí)的NAT映射表，其中記錄：[轉(zhuǎn)換前源IP:端口]，[轉(zhuǎn)換后IP:端口]。私有地址:端口公有地址:端口:10321:1025:17087:1026/24Web服務(wù)器NAT/24/24NAT地址池-------------InternetNAPT轉(zhuǎn)換示例(2)查找NAT映射表，根據(jù)[公有地址:端口]信息查找對(duì)應(yīng)的[私有地址:端口]，并進(jìn)行IP數(shù)據(jù)報(bào)文目的地址、端口轉(zhuǎn)換。源：:80目的：:103214源：:80目的：:10253/24Web服務(wù)器NAT/24/24InternetNAT映射表-------------Match私有地址:端口公有地址:端口:10321:1025:17087:1026NAPT配置示例[R1]nataddress-group1[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000address-group1在R1上配置NAPT讓內(nèi)網(wǎng)所有私有地址通過(guò)訪問(wèn)公網(wǎng)。私有網(wǎng)絡(luò)/24Web服務(wù)器NATR1/24/2454GE0/0/1Internet.02EasyIPEasyIP原理NAT映射表-------------私有地址:端口公有地址:端口:10321:1025:17087:1026私有網(wǎng)絡(luò)/24Web服務(wù)器NAT/24/2454InternetEasyIP的實(shí)現(xiàn)原理和NAPT相同，同時(shí)轉(zhuǎn)換IP地址、傳輸層端口，區(qū)別在于EasyIP沒(méi)有地址池的概念，使用接口地址作為NAT轉(zhuǎn)換的公有地址。

EasyIP原理NAT映射表-------------私有地址:端口公有地址:端口:10321:1025:17087:1026私有網(wǎng)絡(luò)/24Web服務(wù)器NAT/24/2454InternetEasyIP適用于不具備固定公網(wǎng)IP地址的場(chǎng)景：如通過(guò)DHCP、PPPoE撥號(hào)獲取地址的私有網(wǎng)絡(luò)出口，可以直接使用獲取到的動(dòng)態(tài)地址進(jìn)行轉(zhuǎn)換。EasyIP配置示例[R1]acl2000[R1-acl-basic-2000]rule5permitsource55[R1-acl-basic-2000]quit[R1]interfaceGigabitEthernet0/0/1[R1-GigabitEthernet0/0/1]nat

outbound2000在R1上配置Easy-IP讓內(nèi)網(wǎng)所有私有地址通過(guò)訪問(wèn)公網(wǎng)。私有網(wǎng)絡(luò)/24Web服務(wù)器NATR1/24/2454GE0/0/1Internet.03NATServerNATServer使用場(chǎng)景私有地址:端口公有地址:端口0:80:80NAT映射表-------------私有網(wǎng)絡(luò)Web服務(wù)器054NATInternetNATServer：指定[公有地址:端口]與[私有地址:端口]的一對(duì)一映射關(guān)系，將內(nèi)網(wǎng)服務(wù)器映射到公網(wǎng)，當(dāng)私有網(wǎng)絡(luò)中的服務(wù)器需要對(duì)公網(wǎng)提供服務(wù)時(shí)使用。外網(wǎng)主機(jī)主動(dòng)訪問(wèn)[公有地址:端口]實(shí)現(xiàn)對(duì)內(nèi)