沈鑫剡编著《路由和交换技术》(第2版)配套课件第8章

©2006工程兵工程学院计算机教研室路由和交换技术（第2版）第八章网络地址转换路由和交换技术第8章网络地址转换本章主要内容NAT基本概念；NAT工作过程；NAT应用方式。网络地址转换路由和交换技术8.1NAT基本概念本讲主要内容NAT定义；私有地址空间；NAT应用；NAT引发的问题。网络地址转换路由和交换技术一、NAT定义内部网络外部网络终端A192.168.3.7/24终端B202.3.3.7/24IP分组源IP地址=192.168.3.7目的IP地址=172.16.3.7IP分组源IP地址=202.7.7.3目的IP地址=202.3.3.7IP分组源IP地址=202.3.3.7目的IP地址=202.7.7.3IP分组源IP地址=172.16.3.7目的IP地址=192.168.3.7RNAT就是一种对从内部网络转发到外部网络的IP分组实现源IP地址内部本地地址至内部全球地址的转换、目的IP地址外部本地地址至外部全球地址的转换，对从外部网络转发到内部网络的IP分组实现源IP地址外部全球地址至外部本地地址的转换、目的IP地址内部全球地址至内部本地地址的转换的技术。网络地址转换路由和交换技术二、私有地址空间三组私有IP地址如下。10.0.0.0/8172.16.0.0/12192.168.0.0/16公共网络使用的全球地址空间中不允许包含属于这三组IP地址的地址空间网络地址转换路由和交换技术三、NAT应用接入网络Internet终端接入控制设备服务器边界路由器NAT私有地址空间局域网接入Internet过程网络地址转换路由和交换技术三、NAT应用外部网络服务器终端全球地址空间终端内部网络服务器私有地址空间NATR内部网络和外部网络互连网络地址转换路由和交换技术三、NAT应用内部网络2服务器终端B私有地址空间终端A内部网络1服务器私有地址空间NATNAT外部网络R1R2内部网络之间相互通信网络地址转换路由和交换技术三、NAT应用IP分组源IP地址=197.3.3.3目的IP地址=192.168.3.1IP分组源IP地址=197.3.3.3目的IP地址=202.1.3.7IP分组源IP地址=193.7.7.1目的IP地址=202.1.3.7IP分组源IP地址=192.1.3.7目的IP地址=202.1.3.7IP分组源IP地址=193.7.7.1目的IP地址=192.168.3.2IP分组源IP地址=192.1.3.7目的IP地址=192.168.3.3192.168.3.1/24192.168.3.2/24192.168.3.3/24192.168.3.0/24NATR负载均衡实现过程网络地址转换路由和交换技术三、NAT应用192.168.1.0/24202.3.7.0/24207.7.3.0/24NATNATISP1ISP2Internet内部网络多穴网络结构网络地址转换路由和交换技术四、NAT引发的问题重新计算检验和；不便于分片；不利于数据加密；需要增加应用层网关功能；需要运行不同路由协议。网络地址转换路由和交换技术8.2NAT工作过程本讲主要内容NAT分类；PAT；NAT；应用层网关；几种NAT技术的特点。网络地址转换路由和交换技术一、NAT分类动态PAT静态PAT动态NAT静态NAT应用层网关网络地址转换路由和交换技术二、PAT内部网络终端发送的IP分组，进入Internet时，以边缘路由器连接Internet端口的全球IP地址为源IP地址，为了正确鉴别源终端，用内部网络唯一的源端口号取代IP分组终端唯一的源端口号。内部网络唯一的源端口号和内部网络终端之间的绑定以会话为单位，会话开始时通过地址转换表建立绑定，会话结束时取消绑定；端口地址转换技术只能用于IP分组净荷是运输层报文的情况。源IP地址原来源端口号替换IP地址替换端口号192.168.1.15361192.1.1.11234地址转换表192.1.2.5192.168.1.1536180192.1.2.5192.168.1.1536180192.168.1.1.边缘路由器192.1.1.1源IP地址源端口号替换后源IP地址替换后源端口号目的IP地址目的端口号替换后目的IP地址替换后目的端口号Internet192.1.2.5192.1.2.5192.1.1.1123480192.1.2.5192.1.1.1123480网络地址转换路由和交换技术边界路由器192.1.3.7Web服务器192.168.1.3E-mail服务器192.168.1.7Internet终端202.1.1.1本地地址本地端口号全球地址全球端口号192.168.1.380192.1.3.780192.168.1.725192.1.3.725地址转换表202.1.1.1192.1.3.7123480源IP地址目的IP地址源端口号目的端口号202.1.1.1192.168.1.3123480源IP地址目的IP地址源端口号目的端口号202.1.1.1192.1.3.7123480源IP地址目的IP地址源端口号目的端口号202.1.1.1192.168.1.3123480源IP地址目的IP地址源端口号目的端口号二、PAT允许Internet中的终端发起访问内部网络中的服务器的过程，需要静态配置服务器本地地址与局域网内唯一端口号之间的映射网络地址转换路由和交换技术三、NAT动态地址转换以会话为单位，会话开始时在全球IP地址池中分配一个未使用的IP地址，并在地址转换表中将全球IP地址和本地地址之间的绑定与会话关联在一起，会话结束时取消绑定和关联；IP分组进入Internet时，用全球IP地址取代本地地址。IP分组进入内部网络时，用本地地址取代全球IP地址；动态NAT不需改动源端口号，因此，原则可用于IP分组净荷不是运输层报文的情况。地址转换表192.1.2.5192.168.1.1536180192.1.2.5192.168.1.1536180192.168.1.1.边缘路由器192.1.1.1源IP地址替换后源IP地址目的IP地址替换后目的IP地址Internet192.1.2.5192.1.2.5192.1.1.2536180192.1.2.5192.1.1.2536180全球IP地址池：192.1.1.2～192.1.1.5地址转换关系会话标识符源IP地址替换IP地址源IP地址目的IP地址源端口号目的端口号192.168.1.1192.1.1.2192.168.1.1192.1.2.5536180网络地址转换路由和交换技术三、NAT端口地址转换和动态NAT在建立本地地址和全球IP地址之间绑定前，内部网络终端对外部网络是透明的。而且，建立本地地址和全球IP地址之间绑定的操作由内部网络终端发起建立和外部网络终端之间会话的过程实现，因此，只允许内部网络终端发起建立和外部网络终端之间的会话，这样，增强了内部网络的安全性，但不允许外部网络终端发起和内部网络终端之间的会话；静态NAT将建立本地地址和全球IP地址的固定关联，这样，允许外部网络终端随时通过该全球IP地址访问和该全球IP地址建立固定关系的本地地址所标识的内部网络终端。192.1.2.5192.168.1.1536180192.1.2.5192.168.1.1536180192.168.1.1.边缘路由器192.1.1.1源IP地址替换后源IP地址目的IP地址替换后目的IP地址Internet192.1.2.5192.1.2.5192.1.1.2536180192.1.2.5192.1.1.2536180静态映射192.168.1.1：192.1.1.2网络地址转换路由和交换技术四、应用层网关终端A192.168.1.1.边界路由器192.1.1.1IP地址池192.1.1.2～192.1.1.10InternetFTP服务器192.1.2.5某些应用层协议，如FTP、DNS等，PDU中包含源或目的终端的IP地址、源或目的进程对应的端口号，对于以这种类型应用层PDU为净荷的传输层报文和IP分组，仅仅完成IP分组首部和传输层报文首部同步修改是不够的，还需同步修改对应的应用层PDU，这种通过分析某个应用层协议对应的PDU，实现对该PDU与IP分组首部、传输层首部同步修改的地址转换技术称为应用层网关。网络地址转换路由和交换技术四、应用层网关建立控制TCP连接交换命令和状态建立数据TCP连接下载文件终端AFTP服务器为了使由FTP服务器发起的FTP服务器与终端A之间的数据TCP连接建立过程能够成功进行，边界路由器必须根据地址转换表中已经建立的终端A本地地址192.168.1.1与全球地址192.1.1.2之间的映射，同步修改终端A通过命令给出的终端A本地地址192.168.1.1网络地址转换路由和交换技术五、几种NAT技术的特点1．PAT的特点全球IP地址数量（1个）IP分组净荷类型（UDP、TCP、ICMP）不能加密IP分组净荷会话含义（UDP会话、TCP连接、ICMPECHO请求响应过程）网络地址转换路由和交换技术五、几种NAT技术的特点2．NAT特点全球IP地址数量（一组全球IP地址）IP分组净荷类型（任意）允许加密IP分组净荷会话含义（特定内部网络终端发送第一个IP分组时创建会话）网络地址转换路由和交换技术五、几种NAT技术的特点3．ALG特点可以与PAT和NAT组合不能加密IP分组净荷应用层协议相关网络地址转换路由和交换技术8.3NAT应用方式本讲主要内容双穴网络结构；实现内部网络和外部网络通信；实现内部网络之间通信；解决内部网络与外部网络地址重叠问题。网络地址转换路由和交换技术一、双穴网络结构192.168.2.2202.1.1.1192.168.1.1终端A192.168.1.2Web服务器192.168.1.3192.168.2.1192.168.3.1192.168.3.2R1R2R3100.1.1.1IPS1IPS2Internet1212内部网络192.168.1.0/24通过两个ISP接入Internet，两个ISP分配给内部网络的全球地址分别是202.1.1.1和100.1.1.1，内部网络通过动态PAT实现内部网络终端访问Internet服务器的过程，通过静态PAT实现Internet中的终端访问内部网络Web服务器的过程。为了均衡负载，同时也为了提高传输效率，目的地址属于ISP1的IP分组转发给ISP1，目的地址属于ISP2的IP分组转发给ISP2。网络地址转换路由和交换技术二、实现内部网络和外部网络通信193.1.3.254193.1.3.0/24193.1.3.1193.1.3.2193.1.2.2R2112193.1.2.1192.168.1.254R1192.168.1.0/24192.168.1.1192.168.1.2193.1.3.3内部网络2全球IP地址池193.1.1.16/28内部网络分配私有地址块192.168.1.0/24，路由器R2只能路由以全球IP地址为源和目的IP地址的IP分组，因此，需要为内部网络分配全球IP地址块193.1.1.16/28，路由器R2中必须建立用于指明通往目的网络193.1.1.16/28的传输路径的路由项。当内部网络中的终端访问外部网络中的终端或服务器时，需由路由器R1完成私有地址与全球IP地址之间的转换，并建立地址转换表。网络地址转换路由和交换技术三、实现内部网络之间通信192.168.1.254192.168.1.0/24192.168.1.3192.168.1.2193.1.2.2R2112193.1.2.1192.168.1.254R1192.168.1.0/24终端A192.168.1.1192.168.1.2服务器192.168.1.1内部网络12内部网络2全球IP地址池193.1.1.16/28静态映射193.1.3.1:192.168.1.1两个内部网络通