NAT

整个实验拓扑S1/2S1/2F1/1BF0/23F0/23VLAN2S2126S3760FTPserverF0/24F0/24校园内部网外部网VLAN3F1/0ANAT技术NetworkAddressTranslation网络地址转换技术什么时候使用NAT？问题：申请不到足够的公网IP，但是要全公司都能上网常见解决方法：•代理服务器proxy、ISA、ICS、wingate、sygate等•NAT/NAPT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机局域网与Internet互联时，需要使NAT技术NAT带来的好处•解决地址空间不足的问题；–IPv4的空间已经严重不足•私有IP地址网络与公网互联；–10.0.0.0/8，172.16.0.0/12，192.168.0.0/16•非注册IP地址网络与公网互联；–建网时分配了全局IP地址－但没注册•网络改造中，避免更改地址带来的风险私有地址（专有地址）•10.0.0.0.—10.255.255.255•172.16.0.0.—172.31.255.255•192.168.0.0.—192.168.255.255什么是NAT/NAPT•概念：–NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为•NAT的类型–NAT（NetworkAddressTranslation网络地址转换）•转换后，一个本地IP地址对应一个全局IP地址–NAPT（NetworkAddressPortTranslation网络地址端口转换）•转换后，多个本地地址对应一个全局IP地址NAT/NAPT的术语•NAT中用到的接口类型：–内部网络－Inside–外部网络－Outside•NAT中常见的术语：–内部本地地址－InsideLocalAddress–内部全局地址－InsideGlobalAddress–外部本地地址－OutsideLocalAddress–外部全局地址－OutsideGlobalAddress互联网OutsideInside企业内部网外部网NAT/NAPT的术语•NAT中常见的术语(一组对称的概念)：–内部本地地址－InsideLocalAddress–内部全局地址－InsideGlobalAddress–外部本地地址－OutsideLocalAddress–外部全局地址－OutsideGlobalAddress200.8.7.3/24200.8.7.4/24192.168.1.5192.168.1.765.5.8.1172.25.5.1内部本地地址192.168.1.5192.168.1.7内部全局地址200.8.7.3200.8.7.4外部全局地址172.25.5.1外部本地地址65.5.8.1使用NAPT的情况•在以下几种情况下，需要使用NAPT技术：–缺乏全局IP地址,甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址–内部网要求上网的主机数很多–提高内网的安全性NAT/NAPT的配置•NAT/NAPT的配置有两种–静态NAT/NAPT–动态NAT/NAPT•静态NAT/NAPT–需要向外网络提供信息服务的主机–永久的一对一IP地址映射关系•动态NAT/NAPT–只访问外网服务，不提供信息服务的主机–内部主机数可以大于全局IP地址数–最多访问外网主机数决定于全局IP地址数–临时的一对一IP地址映射关系静态NAT•配置步骤1、定义内网接口和外网接口•Router(config)#interfacefastethernet1/0•Router(config-if)#ipnatoutside•Router(config)#interfacefastethernet1/1•Router(config-if)#ipnatinside2、建立静态的映射关系•Router(config)#ipnatinsidesourcestatic192.168.1.7200.8.7.3静态NAPT1、定义内网接口和外网接口–Router(config)#interfacefastethernet0–Router(config-if)#ipnatoutside–Router(config)#interfacefastethernet1–Router(config-if)#ipnatinside2、建立静态的映射关系–Router(config)#ipnatinsidesourcestatictcp192.168.1.780200.8.7.380–Router(config)#ipnatinsidesourcestaticudp192.168.1.71024200.8.7.31024动态NAT配置1、定义内网接口和外网接口–Router(config-if)#ipnatoutside–Router(config-if)#ipnatinside2、定义内部本地地址范围–Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池–Router(config)#ipnatpoolabc200.8.7.3200.8.7.10netmask255.255.255.04、建立映射关系–Router(config)#ipnatinsidesourcelist10poolabc动态NAPT配置1、定义内网接口和外网接口–Router(config-if)#ipnatoutside–Router(config-if)#ipnatinside2、定义内部本地地址范围–Router(config)#access-list10permit192.168.1.00.0.0.2553、定义内部全局地址池–Router(config)#ipnatpoolabc200.8.7.3200.8.7.3netmask255.255.255.04、建立映射关系–Router(config)#ipnatinsidesourcelist10poolabcoverloadNAT/NAPT的监视和维护命令•显示命令–showipnatstatistics•显示翻译统计–showipnattranslations[verbose]•显示活动翻译•清除状态命令–clearipnattranslation*•从NAT转换表中清除所有动态地址转换项NAT/NAPT带来的限制•限制–影响网络性能–不能处理IP报头加密的报文；–无法实现端到端的路径跟踪（traceroute)–某些应用可能支持不了：内嵌IP地址•内嵌IP地址的应用有：–FTP–DNS–NetMeeting–H.323,VoIP–其它自编应用实验拓扑（一）•要求：–在路由器上配置动态NAPT，使局域网主机能够以公网地址访问外网服务器–在路由器上查看NAPT转换列表F1/0S1/2S1/2F1/0web服务器192.168.1.2192.168.1.1202.10.1.1202.10.1.2202.10.2.1202.10.2.2ABLan-routerinternet-routerLan-router的配置•配缺省路由：#iproute0.0.0.00.0.0.0s1/2•配置动态NAPT：•1.定义内网接口•#intf1/0•#ipnatinside•2.定义外网接口•#ints1/2•#ipnatoutside•3.定义内部全局地址池•#ipnatpoolabc202.10.1.1202.10.1.1netmask255.255.255.0•4.定义内部本地地址范围•#access-list1permit192.168.1.00.0.0.255•5.#为内部本地调用转换地址池•#ipnatinsidesourcelist1poolabcoverload•Overload做平均的地址应答，公平负载转换测试•在202.10.2.2主机上配置web服务•在192.168.1.2机上访问202.10.2.2的网页–IE：•在Lan-router路由器上查看NAT映射–#showipnattranslations•不能用ping测试，如果ping，看能ping通到哪实验拓扑（二）•要求：–在路由器上配置NAT，使外网主机能够访问内网服务器–在路由器上查看NAT转换列表F1/0S1/2S1/2F1/0web服务器192.168.1.2192.168.1.1202.10.1.1202.10.1.2202.10.2.1202.10.2.2ABLan-routerinternet-routerLan-router的配置•配置缺省路由：#iproute0.0.0.00.0.0.0s1/2•配置反向NAT映射：•1.定义内网接口•#intf1/0•#ipnatinside•2.定义外网接口•#ints1/2•#ipnatoutside•3.定义内网服务器地址池•#ipnatpoolabc192.168.1.2192.168.1.2•4.定义外网的公网IP地址•#access-list1permithost202.10.1.1•5.#将外网的公网IP地址转换为web服务器地址•#ipnatinsidedestinationlist1poolabc•6.定义访问外网ip的80端口时转换为内网服务器的ip的80端口•#ipnatinsidesourcestatictcp192.168.1.280202.10.1.180测试•在192.168.1.2主机上配置web服务•在202.10.2.2机上访问192.168.1.2的网页–IE：•在Lan-router路由器上查看NAT映射–#showipnattranslations•不能用ping测试，如果ping，看能ping通到哪故障分析•网络线缆连接错误•IP地址配置错误•Inside和outside应用的接口错误•未配置路由（如默认路由）