第10章 多层交换网络安全技术-网络地址转换1010

浙江警官职业学院《高级交换技术》课程教学课件第十章多层交换网络安全技术----网络地址转换浙江警官职业学院高级交换技术AdvancedSwitchingTechnology网络迅速发展，IPv4地址不敷使用IPv4地址分配不均私有地址用户需要访问InternetNAT提供私有地址到公有地址的转换引入浙江警官职业学院高级交换技术AdvancedSwitchingTechnology理解NAT技术出现的历史背景理解NAT的分类及原理配置常见NAT应用处理常见NAT问题在实际网络中灵活使用NAT技术课程目标学习完本课程，您应该能够：浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAT概述BasicNATNAPTEasyIPNATServerNATALGNAT的信息显示和调试目录浙江警官职业学院高级交换技术AdvancedSwitchingTechnology公有地址和私有地址公司A10.0.0.0/8公司B10.0.0.0/8公司C10.0.0.0/8私有地址范围：10.0.0.0-10.255.255.255172.16.0.0-172.31.255.255192.168.0.0-192.168.255.255Internet任何组织都可以任意使用私有地址空间私有地址在Internet上无法路由如果采用私有地址的网络需要访问Internet，必须在出口处部署NAT设备浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAT组网和常用术语私网公网10.0.0.1HostA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetServer198.76.29.4/24地址池198.76.28.11198.76.28.12……198.76.28.20InternetNAT设备浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAT概述BasicNATNAPTEasyIPNATServerNATALGNAT的信息显示和调试目录浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyBasicNAT10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetServer198.76.29.4/24地址池（198.76.28.11～20）InternetS=10.0.0.1D=198.76.29.4S=198.76.28..11D=198.76.29.4S=198.76.29.4D=198.76.28.11S=198.76.29.4D=10.0.0.110.0.0.2198.76.28.12NATtableInsideAddress10.0.0.1198.76.28.11GlobalAddress123465浙江警官职业学院高级交换技术AdvancedSwitchingTechnology配置BasicNAT配置ACL–用于判断哪些数据包的地址应被转换–被ACL允许（permit）的报文将被进行NAT转换，被拒绝（deny）的报文将不会被转换配置地址池–nataddress-groupgroup-numberstart-addrend-addr配置地址转换–natoutboundacl-numberaddress-groupgroup-numberno-pat浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyBasicNAT配置示例10.0.0.1RTA10.0.0.254/24198.76.28.1/2410.0.0.2InternetServerInternet#通过ACL定义一条rule，匹配源地址属于10.0.0.0/24网段的数据[RTA]aclnumber2000[RTA-acl-basic-2000]rule0permitsource10.0.0.00.0.0.255#配置NAT地址池1用于地址转换的，地址池中的地址从198.76.28.11到198.76.28.20[RTA]nataddress-group1198.76.28.11198.76.28.20#进入接口模式视图[RTA]interfaceEthernet0/1#将地址池1与acl2000关联，并在接口出方向上应用NAT[RTA-Ethernet0/1]natoutbound2000address-group1no-patEth0/1198.76.29.4/24HostAHostB地址池（198.76.28.11～20）浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAT概述BasicNATNAPTEasyIPNATServerNATALGNAT的信息显示和调试目录浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAPTNATtableS=10.0.0.1P=1024D=198.76.29.4P=80S=198.76.28..11P=2001D=198.76.29.4P=80S=198.76.29.4P=80D=198.76.28.11P=2001S=198.76.29.4P=80D=10.0.0.1P=102410.0.0.2:1024198.76.28.11:3001InsideAddressPort10.0.0.1:1024198.76.28.11:2001GlobalAddressPort10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetServer198.76.29.4/24地址池（198.76.28.11～20）Internet123465浙江警官职业学院高级交换技术AdvancedSwitchingTechnology配置NAPT配置ACL–用于判断哪些数据包的地址应被转换–被ACL允许（permit）的报文将被进行NAT转换，被拒绝（deny）的报文将不会被转换配置地址池–nataddress-groupgroup-numberstart-addrend-addr配置地址转换–natoutboundacl-numberaddress-groupgroup-number浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAPT配置举例10.0.0.1RTA10.0.0.254/24198.76.28.1/2410.0.0.2InternetServer地址池（198.76.28.11）Internet#通过ACL定义一条rule，匹配源地址属于10.0.0.0/24网段的数据[RTA]aclnumber2000[RTA-acl-basic-2000]rule0permitsource10.0.0.00.0.0.255#配置NAT地址池1，地址池中只放入一个地址198.76.28.11[RTA]nataddress-group1198.76.28.11#进入接口模式视图[RTA]interfaceEthernet0/1#将地址池1与acl2000关联，并在接口出方向上应用NAT[RTA-Ethernet0/1]natoutbound2000address-group1Eth0/1HostBHostA198.76.29.4/24浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAT概述BasicNATNAPTEasyIPNATServerNATALGNAT的信息显示和调试目录浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyEasyIPNAT设备直接使用出接口的IP地址作为转换后的源地址不用预先配置地址池工作原理与普通NAPT相同，是NAPT的一种特例适用于拨号接入Internet或动态获得IP地址的场合浙江警官职业学院高级交换技术AdvancedSwitchingTechnology配置EasyIP配置ACL–用于判断哪些数据包的地址应被转换–被ACL允许（permit）的报文将被进行NAT转换，被拒绝（deny）的报文将不会被转换配置地址转换–natoutboundacl-number浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyEasyIP配置举例10.0.0.1RTA10.0.0.254/24198.76.28.1/2410.0.0.2InternetServerInternet#通过ACL定义一条rule，匹配源地址属于10.0.0.0/24网段的数据[RTA]aclnumber2000[RTA-acl-basic-2000]rule0permitsource10.0.0.00.0.0.255#进入接口模式视图[RTA]interfaceEthernet0/1#将acl2000与接口关联，并在出方向上应用NAT[RTA-Ethernet0/1]natoutbound2000Eth0/1198.76.29.4/24HostAHostB浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAT概述BasicNATNAPTEasyIPNATServerNATALGNAT的信息显示和调试目录浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNATServerNATServerS=10.0.0.1P=8080D=198.76.29.4P=1033S=198.76.28..11P=80D=198.76.29.4P=1033S=198.76.29.4P=1033D=198.76.28.11P=80S=198.76.29.4P=1033D=10.0.0.1P=8080InsideAddressPort10.0.0.1:8080198.76.28.11:80GlobalAddressPort10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetHostC198.76.29.4/24Internet456132E0/0浙江警官职业学院高级交换技术AdvancedSwitchingTechnology配置NATServerNATServer配置命令–natserverprotocolpro-typeglobalglobal-addr[global-port]insidehost-addr[host-port]浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNATServer配置举例10.0.0.1RTA10.0.0.254/24198.76.28.1/2410.0.0.2InternetHostCInternet#进入接口模式视图[RTA]interfaceEthernet0/1#在出接口上将私网服务器地址和公网地址做一对一NAT映射绑定[RTA-Ethernet0/1]natserverprotocoltcpglobal198.76.28.11telnetinside10.0.0.1telnetEth0/1TelnetServerHostB198.76.29.4/24浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNAT概述BasicNATNAPTEasyIPNATServerNATALGNAT的信息显示和调试目录浙江警官职业学院高级交换技术AdvancedSwitchingTechnologyNATALG（NAT应用层网关）FTPControl通道FTP