广域网NAT技术

网络地址转换(NetworkAddressTranslation,NAT)杜瑞峰16701688@QQ.com2本章目标了解地址转换（NAT）的作用和工作原理了解各种NAT术语理解NAT的各种应用：转换内部LAN地址、复用内部地址、负载均衡和处理地址交叉掌握NAT的配置和排错3本章结构网络地址转换NAT/PATNAT的优势缺点NAT的概念NAT的术语NAT概念和术语NAT的配置NAT的应用静态NAT的配置动态NAT的配置PAT的配置4概述地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、、Telnet服务5概述内部：机构内部的局域网外部：因特网内部本地地址：指内部网络（局域网内部）的主机地址，是指与外部地址相独立的地址域。RFC1918为私有、内部使用保留了A类、B类、C类地址范围各一个：A类10.0.0.0--10.255.255.255B类172.16.0.0--172.31.255.255C类192.168.0.0--192.168.255.255内部全局地址：是局域网的外部地址（在因特网上的全球唯一的IP地址）6概述网络地址转换（NAT）是用于将一个地址域（如企业内部网Intranet）映射到另一个地址域（如国际互联网Internet）的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机，无需内部主机全部拥有注册的Internet地址。7NAT的原理由网络边界上的路由器改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换，从而使一个使用私有地址的网络中的主机可以以合法地址出现在Internet上概述8概述10.1.1.1外部主机B10.1.1.2外部主机Cinternet10.1.1.1NAT主机A1234SA=10.1.1.1DA＝193.3.3.11内部局部地址外部局部地址主机A发出的包SA=192.2.2.1DA=10.1.1.1经过路由器转换的包2内部全局地址外部全局地址经过路由器转换的包SA=193.3.3.1DA=10.1.1.14外部局部地址内部局部地址SA=10.1.1.1DA=192.2.2.1外部主机B返回的包3外部全局地址内部全局地址9局域网PC2PC1Internet概述IP:202.0.0.1Port:3010地址转换IP:202.0.0.1Port:3000IP数据包IP:192.168.0.1Port:3000IP:192.168.0.2Port:301010NAT的优缺点NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用，如SNMP11概述NAT的3种实现方式静态转换动态转换端口多路复用12静态NAT在静态NAT配置中，内部网络中的每个主机都被永久映射成外部网络中的某个本地合法地址。静态地址转换将内部本地地址与内部全局合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。1314静态NAT并不能解决IP地址缺乏问题，这种地址转换技术是出于安全考虑，是为了隐藏内部主机的真实身份。适用情况：E_MAIL服务器、服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。15NAT配置NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池Router(config)#ipnatpoolpool-namestar-ipend-ip{netmasknetmask|prefix-lengthprefix-length}[typerotary]4、指定地址转换映射Router(config)#ipnatinsidesourcestaticlocal-ipglobal-ip[extendable]Router(config)#ipnatinsidesourcelistaccess-list-numberpoolpool-name[overload]5、在内部和外部端口上启用NAT定义地址池静态NAT地址映射动态NAT或PAT地址映射1516静态NAT配置将内网地址192.168.100.2、192.168.100.3静态转换为合法的外部地址61.159.62.131、61.159.62.132，以便访问外网或被外网访问192.168.100.2～192.168.100.254/24………内部网络192.168.100.161.159.62.130NAT内部端口NAT外部端口Internet1617静态NAT配置设置外部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress61.159.62.130255.255.255.248设置内部端口的IP地址：Router(config)#interfaceFastEthernet1/0Router(config-if)#ipaddress192.168.100.1255.255.255.0建立静态地址转换Router(config)#ipnatinsidesourcestatic192.168.100.261.159.62.130Router(config)#ipnatinsidesourcestatic192.168.100.361.159.62.131在内部和外部端口上启用NATRouter(config)#interfaceFastEthernet0/0Router(config-if)#ipnatoutsideRouter(config)#interfaceFastEthernet1/0Router(config-if)#ipnatinside配置默认路由Router(config)#iproute0.0.0.00.0.0.061.159.62.1291718静态NAT配置Internet192.168.100.2192.168.100.3155.34.2.3SA192.168.100.2SA61.159.62.131DA61.159.62.131DA192.168.100.2NATNAT转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.3192.168.100.161.159.62.1301819同一内部局部地址映射到多个内部全局地址Router(config)#ipnatinsidesourcestaticlocal-ipglobal-ip[extendable]配置实例Router(config)#ipnatinsidesourcestatictcp192.168.100.261.159.62.131extendableRouter(config)#ipnatinsidesourcestatictcp192.168.100.261.159.62.132extendable1920NAT端口映射NAT端口映射Router(config)#ipnatinsidesourcestaticprotocollocal-ipUDP/TCP-portglobal-ipUDP/TCP-port[extendable]NAT端口映射配置示例Router(config)#ipnatinsidesourcestatictcp192.168.100.28061.159.62.13180extendableRouter(config)#ipnatinsidesourcestatictcp192.168.100.38061.159.62.1318080extendable2021动态NAT动态NAT是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。动态地址转换也是将全局地址与内部合法地址进行一对一的转换，但是动态地址转换是从内部合法地址池选择一个未使用的内部全局合法地址对内部本地地址进行转换。22动态NAT配置将内部地址172.168.100.2～172.168.100.254转换为合法地址61.159.62.131～61.159.62.190，以便访问Internet172.168.100.2～172.168.100.254/24………内部网络172.168.100.161.159.62.130NAT内部端口NAT外部端口Internet2223定义一个标准的access-list规则以允许哪些内部地址可以进行地址转换Router(config)#access-list列表号permit源地址源地址子网掩码定义一个可以根据需要进行分配的全球地址池（内部全局合法地址池）Router(config)#ipnatpool地址池名称起始地址终止地址子网掩码将由access-list指定的内部地址与指定的内部合法地址池进行地址转换（如果数据包的源地址符合访问控制列表的规定则进行地址转换，否则不进行地址转换）Router(config)#ipnatinsidesourcelist列表号pool地址池名称24动态NAT配置设置外部端口的IP地址：Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress61.159.62.130255.255.255.192设置内部端口的IP地址：Router(config)#interfaceFastEthernet1/0Router(config-if)#ipaddress172.168.100.1255.255.255.0定义内部网络中允许访问外部网络的访问控制列表Router(config)#access-list1permit172.168.100.00.0.0.255定义合法IP地址池Router(config)#ipnatpooltest061.159.62.13161.159.62.190netmask255.255.255.192实现网络地址转换Router(config)#ipnatinsidesourcelist1pooltest0在内部和外部端口上启用NAT，以及配置默认路由与静态NAT配置相同2425动态NAT配置Internet172.168.100.2172.168.100.3155.34.2.3SA172.168.100.2SA61.159.62.131DA61.159.62.131DA172.168.100.2NATNAT转换表协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP172.168.100.261.159.62.131155.34.2.3TCP172.168.100.361.159.62.132155.34.2.3172.168.100.161.159.62.1302526端口地址转换（PAT）或复用动态NATPAT能使多个内部地址映射到同一个全球地址，所以PAT有时也被称为“多对一NAT”。使用PAT可以让成千上万的私有地址使用一个全球地址访问Internet。NAT设备通过映射TCP和UDP端口号来跟踪和记录不同的会话。27PAT配置将内部网络地址10.1.1.1～10.1.1.254转换为合法的地址61.159.62.131/29，以便访问Internet10.1.1.2～10.1.1.254/24………内部网络10.1.1.161.159.62.130NAT内部端口NAT外部端口Internet2728