NAT配置(修改版).

NAT局域网技术与组网工程NAT网络地址转换NetworkAddressTranslation学习任务任务1：静态NAT配置任务2：动态NAT配置任务3：PAT配置一、什么是NAT?我们学校机器的数目？8000需要申请C类IP地址的个数？8000/250=32实际申请的C类IP地址的个数3个解决方案NAT一、什么是NAT?使用一个公有IP地址，202.96.128.124使用一个公有IP地址，56.128.63.19一、什么是NAT?所有公有Internet地址都必须在所属地域的相应Internet注册管理机构(RIR)注册。与公有IP地址不同，私有IP地址是保留的数值块，任何人均可以使用。一、什么是NAT?NAT最主要的用途是让网络能使用私有IP地址以节省IP地址。NAT将不可路由的私有内部地址转换成可路由的公有地址。NAT还能在一定程度上增加网络的私密性和安全性，它对外络隐藏了内部IP地址。一、什么是NAT?R2执行NAT过程，将主机的内部私有地址转换为公有、外部、可路由的地址。二、术语私有IP公有IP公有IP内部本地地址—私有地址。内部全局地址—当内部主机流量流出NAT路由器时分配给内部主机的有效公有地址。当来自PC1的流量发往Web服务器209.165.201.1时，路由器R2必须进行地址转换。本例中，209.165.200.226。外部全局地址—分配给Internet上主机的可达IP地址。例如，Web服务器的可达IP地址为209.165.201.1。外部本地地址—分配给外部网络上主机的本地IP地址。大多数情况下，此地址与外部设备的外部全局地址相同。私有IP公有IP公有IP私有IP或者公有IP三、NAT如何工作？内部主机(192.168.10.10)希望与外部Web服务器(209.165.201.1)通信。它发送数据包给配置了NAT的网络边界网关R2。R2读取数据包的目的IP地址，并检查数据包是否符合规定的转换标准。R2有一个ACL，它确定内部网络中可进行转换的有效主机。因此，R2将内部本地IP地址转换成内部全局IP地址，本例中为209.165.200.226。它将此本地与全局地址映射关系存储在NAT表中。三、NAT如何工作？路由器将数据包发送到目的地。三、NAT如何工作？三、NAT如何工作？当Web服务器回应时，数据包回到R2的全局地址(209.165.200.226)。三、NAT如何工作？R2参考NAT表，发现这是原先转换的IP地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给IP地址为192.168.10.10。如果它没有找到映射关系，数据包将被丢弃。这种方式来进行通信，存在一个问题。考虑：可以从外网主动向内网发信息吗？四、NAT转换的类型动态NAT：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有IP地址的主机请求访问Internet时，动态NAT从地址池中选择一个未被其它主机占用的IP地址。这就是到目前为止所介绍的映射。这种方式节省IP地址吗？什么情况下会用到？四、NAT转换的类型静态NAT：使用本地地址与全局地址的一对一映射，这些映射保持不变。静态NAT对于必须具有一致的地址、可从Internet访问的Web服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。这种方式节省IP地址吗？什么情况下会用到？可以实现外网主动访问内网。四、NAT转换的类型NAT过载（有时称为端口地址转换或PAT）将多个私有IP地址映射到一个或几个公有IP地址。大多数家用路由器就是这样工作的。这种方式才节省IP地址。当PAT处理各数据包时，它使用端口号（本例中为1331和1555）来识别发起数据包的客户端。NAT过载将SA变成客户端的内部全局IP地址，同样会附加端口号。了解PAT：NAT过载1、PAT：NAT过载NAT过载会尝试保留源端口号。1、PAT：NAT过载但是，如果此源端口已被使用，NAT过载会从适当的端口组0-511、512-1023或1024-65535开始分配第一个可用端口号。当没有端口可用时，如果配置了一个以上的外部IP地址，则NAT过载将会使用下一IP地址，再次尝试分配原先的源端口。2、NAT与NAT过载之间的区别（1）NAT一般只按公有IP地址与私有IP地址之间的一对一对应关系转换IP地址。利用NAT过载，一般只需一个或极少的几个公有IP地址。（2）NAT将传入的数据包路由给其内部目的地时，将以公有网络上主机给出的传入源IP地址为依据。NAT过载则会同时修改发送者的私有IP地址和端口号。NAT过载选择对公有网络上主机可见的端口号。五、使用NAT的利弊六、NAT的配置静态NAT动态NAT过载NAT1、配置静态NAT•第一步：在内部本地地址和内部全局地址之间做静态转换Router(config)#ipnatinsidesourcestatic内部本地地址内部全局地址•第二步：指定连接网络的内部端口，这是需要被转换的接口Router(config)#interfacef0/0Router(config-if)#ipnatinside•第三步：指定连接外部网络的外部端口，由此接口翻译为内部全局地址到达外部网络。Router(config)#interfacef0/1Router(config-if)#ipnatoutside内网接口外网接口静态NAT为内部地址与外部地址的一对一映射。静态NAT允许外部设备发起与内部设备的连接。注意：从外网到内网建立静态映射后，外网能PING通内部全局地址（193.168.1.2）,如果使用真实地址，则访问失败，这是因为从外网没有到达内网的路由存在！Ping10.1.1.2……Ping193.168.1.2!!!!!2、配置动态NAT•第一步：根据ISP提供的合法地址范围，合理设定公有地址池。Router(config)#ipnatpool地址池名字起始IP地址终止IP地址{netmask网络掩码|prefix-length前缀长度}•第三步：将由上述ACL指定的内部本地地址与指定的内部合法地址池进行地址转换•第二步：定义一个标准IPACL允许哪些内部本地地址可以被转换Router(config)#access-list列表号码permitsource[source-wildcard]Router(config)#ipnatinsidesourcelist列表号码pool地址池名字•第四步：指定连接网络的内部端口，这是需要被转换的接口Router(config)#interfacef0/0Router(config-if)#ipnatinside•第五步：指定连接外部网络的外部端口，由此接口翻译为内部全局地址到达外部网络。Router(config)#interfacef0/1Router(config-if)#ipnatoutside内网接口外网接口为公有IP地址池配置NAT过载3、配置NAT过载3、配置NAT过载•第一步：根据ISP提供的合法地址范围，合理设定公有地址池。Router(config)#ipnatpool地址池名字起始IP地址终止IP地址{netmask网络掩码|prefix-length前缀长度}3、配置NAT过载•第三步：将由上述ACL指定的内部本地地址与指定的内部合法地址池进行地址转换•第二步：定义一个标准IPACL允许哪些内部本地地址可以被转换Router(config)#access-list列表号码permitsource[source-wildcard]Router(config)#ipnatinsidesourcelist列表号码pool地址池名字overload3、配置NAT过载•第四步：指定连接网络的内部端口，这是需要被转换的接口Router(config)#interfacef0/0Router(config-if)#ipnatinside•第五步：指定连接外部网络的外部端口，由此接口翻译为内部全局地址到达外部网络。Router(config)#interfacef0/1Router(config-if)#ipnatoutside内网接口外网接口3、配置NAT过载当ISP提供了一个以上公有IP地址时，NAT过载将使用地址池。这种配置与动态、一对一NAT配置的主要区别是前者使用了overload关键字。overload关键字允许进行端口地址转换。为公有IP地址池配置NAT过载3、配置NAT过载七、验证PingShowipnattranslations查看NAT转换表•显示当前活跃的或正在被使用的转换条目.Router#showipnattranslationsRouter#showipnattranslationProInsideglobalInsidelocalOutsidelocalOutsideglobal---172.16.131.110.10.10.1------Allfortoday！！2、清除NAT转换表•清除某个动态转换条目.可以自行设定所包含的条件,比如:清除包含某个inside信息的转换或同时包含inside和outside的转换.Router#clearipnattranslationinsideglobal-iplocal-ip[outsidelocal-ipglobal-ip]•清除NAT表中的所有动态转换条目Router#clearipnattranslation*•清除包含某个outside转换的动态转换地址条目.•注意:一般都使用完全清除;除非有必要才做具体条目的清除，比如做某个地址转换测试.Router#clearipnattranslationoutsidelocal-ipglobal-ip3、debugipnat命令Router#debugipnatNAT:s=192.168.1.95-172.31.233.209,d=172.31.2.132[6825]NAT:s=172.31.2.132,d=172.31.233.209-192.168.1.95[21852]NAT:s=192.168.1.95-172.31.233.209,d=172.31.1.161[6826]NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95[23311]NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161[6827]NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161[6828]NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95[23313]NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95[23325]“*”号表示：一旦这个转换条目已经在NAT表中存在了，则进行快速交换，不需要CPU的进程交换了。4、NAT排错问题：内部主机不能ping通远程主机。改正后的配置NAT排错小结看配置是否正确.看路由器的入站方向是否有ACL拒绝条目的存在.看源访问列表是否设置正确.NAT地址池中是否有足够的地址.在相应的接口上是否正确设置了ipnatinside或者ipnatoutside命令.ALL！4、检验NAT和NAT过载showipnattranslations命令的输出显示NAT分配的详细情况。在该命令中增加verbose可显示关于每个转换的附加信息，包括创建和使用条目的时间长短。该命令显示所有已配置的静态转换和所有由流量创建的动态转换。检验NAT和NAT过载showipnatstatistics命令显示以下信息：活动转换总数、NAT配置参数、池中的地址数量以及已分配的地址数量。转换条目默认超时时间为24小时，在全局配置模式下使用ipnattranslationtimeouttimeout_seco