第16章 NAT 转换

第十六章NAT2CisxoEducationSolutionNAT———网络地址翻译•随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力。•接入Internet成为当今信息业最为迫切的需求。•但这受到IP地址的许多限制。•首先，许多局域网在未联入Internet之前，就已经运行许多年了，局域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是劳神费时的工作•其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要想在ISP处申请一个新的IP地址已不是很容易的事了。3CisxoEducationSolutionNAT•NAT（网络地址翻译）能解决不少令人头疼的问题。•它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。•其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换。4CisxoEducationSolutionChapterActivitiesWindows95PCModemBranchofficeISDN/analogSmallofficeCentralsiteFrameRelayFrameRelayservicePRIBRIBRIFrameRelayAsyncAAAserverAsyncSA10.1.1.1InsideLocalIPAddress10.1.1.1InsideGlobalIPAddress192.168.2.2NATtablePAT5CisxoEducationSolution•NAT术语•NAT功能•NAT三种类型6CisxoEducationSolutionNAT术语InternetInside10.1.1.1InsideLocalIPAddress10.1.1.210.1.1.1SimpleNATtableInsideGlobalIPAddress202.100.192.68192.168.2.210.1.1.2HostB172.20.7.3ACBABDSA10.1.1.1DA10.1.1.1SA192.168.2.2DA192.168.2.27CisxoEducationSolution•内部本地地址:私有IP，不能直接用于互连网。•内部全局地址：用来代替内部本地IP地址的，对外，或在互联网上是合法的的IP地址。8CisxoEducationSolution复用内部的全局地址•将一个内部全局地址用于同时代表多个内部局部地址。•主要用IP地址和端口号的组合来唯一区分各个内部主机。•目前在公司内普遍应用。（如下图）9CisxoEducationSolution复用内部的全局地址10.1.1.2:172310.1.1.1:1024NATtable192.168.2.2:1723192.168.2.2:1024172.21.7.3:23172.20.7.3:23TCPTCP10.1.1.3:1723192.168.2.2:1492172.21.7.3:23TCPInternetInside10.1.1.1HostB172.20.7.313SA10.1.1.1DA10.1.1.1SA192.168.2.2DA192.168.2.210.1.1.210.1.1.3452HostC172.21.7.3DA192.168.2.24InsideGlobalIPAddress:PortOutsideGlobalIPAddress:PortProtocolInsideLocalIPAddress:Port10.1.1.110CisxoEducationSolutionNAT三种类型•NAT有三种类型：静态NAT，动态NAT和端口NAT（PAT）。•其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址。•而动态NAT是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。•PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。11CisxoEducationSolutionStaticNATConfigurationExampleipnatinsidesourcestatic10.1.1.1202.100.1.1!interfaceEthernet0ipaddress10.1.1.10255.255.255.0ipnatinside!interfaceSerial0ipaddress172.16.2.1255.255.255.0ipnatoutside!Mapstheinsidelocaladdresstotheinsideglobaladdress.Thisinterfaceconnectedtotheoutsideworld.Thisinterfaceconnectedtotheinsidenetwork.12CisxoEducationSolutionipnatpooldyn-nat202.168.2.1202.168.2.254netmask255.255.255.0ipnatinsidesourcelist1pooldyn-nat!interfaceEthernet0ipaddress10.1.1.10255.255.255.0ipnatinside!interfaceSerial0ipaddress172.16.2.1255.255.255.0ipnatoutside!access-list1permit10.1.1.00.0.0.255!DynamicNATConfigurationTranslatebetweeninsidehostsaddressedfrom10.1.1.0/24tothegloballyunique192.168.2.0/24network.Thisinterfaceconnectedtotheoutsideworld.Thisinterfaceconnectedtotheinsidenetwork.13CisxoEducationSolutionConfiguringInsideGlobalAddressOverloadingipnatpoolovrld-nat202.168.2.1202.168.2.2netmask255.255.255.0ipnatinsidesourcelist1poolovrld-natoverload!interfaceEthernet0/0ipaddress10.1.1.10255.255.255.0ipnatinside!interfaceSerial0/0ipaddress172.16.2.1255.255.255.0ipnatoutside!access-list1permit10.1.1.00.0.0.25514CisxoEducationSolutionRouter#shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192.168.2.1:1100310.1.1.1:11003172.16.2.2:23172.16.2.2:23tcp192.168.2.1:106710.1.1.1:1067172.16.2.3:23172.16.2.3:23VerifyingNATAtranslationforaTelnetisstillactive.TwodifferentinsidehostsappearontheoutsidewithasingleIPaddress.BasicIPaddresstranslationUniqueTCPportnumbersareusedtodistinguishbetweenhosts.Router#showipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobal---192.2.2.110.1.1.1---------192.2.2.210.1.1.2------IPaddresstranslationwithoverloading15CisxoEducationSolutionIPv6高级特性•更大地址空间-全球可达性-支持地址聚合-自动配置,即插即用•简化包头-提高路由效率-减少转发延迟-无校验和-无广播机制16CisxoEducationSolutionIPv6高级特性(续)•移动性与安全性-支持移动IP-强制IPsec•IPv4与IPv6的过渡-双栈-6to4隧道-地址转译17CisxoEducationSolution简化包头18CisxoEducationSolutionIPv4与IPv6包头对比19CisxoEducationSolutionIPv6地址表示法•格式:-x:x:x:x:x:x:x:x-16进制,不区分大小写-一个字段里全为0可以以一个0简写:-2031:0:130F:0:0:9C0:876A:130B-连续的0可以以::表示,但这种表示法只可以使用一次例如:-2031:0000:130F:0000:0000:09C0:876A:130B-2031:0:130f::9c0:876a:130b-2031::130f::9c0:876a:130b—错误的表示法-FF01:0:0:0:0:0:0:1FF01::1-0:0:0:0:0:0:0:1::1-0:0:0:0:0:0:0:0::