网络地址转换(NAT)配置

网络地址转换(NAT)Page2/44了解地址转换（NAT）的作用和工作原理掌握NAT的配置和排错一、问题问题1：企业不想让外部网络用户知道自己的网络内部结构，我们可以采用路由器将内网与外网隔离的方案，但如何才能保证内网用户正常访问外网资源？问题2：企业申请的公网IP地址很少，而内部网络用户很多，如何才能使内网的每个用户都可以正常访问外网？二、解决情况1：可以通过NAT将内部网络与外部Internet隔离开，使外部用户根本不知道通过NAT设置的内部IP地址。情况2：可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。NAT——网络地址翻译随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力接入Internet成为当今信息业最为迫切的需求。但这受到IP地址的许多限制首先，许多局域网在未联入Internet之前，就已经运行许多年了，局域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是劳神费时的工作。其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要想在ISP处申请一个新的IP地址已不是很容易的事了。NAT（网络地址翻译）能解决不少令人头疼的问题它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换。私有IP地址空间企业边缘的NAT在边界路由器上使用NAT能提高安全性。内部私有地址每次会转换为不同的公有地址。这样可以隐藏企业内主机和服务器的实际地址。大多数实施NAT的路由器还会阻止来自私有网络外部的数据包（除非这些数据包是内部主机所发出请求的应答数据包）。Page9/44局域网PC2PC1Internet网络地址转换IP:202.0.0.1Port:3010地址转换IP:202.0.0.1Port:3000IP数据包IP:192.168.0.1Port:3000IP:192.168.0.2Port:3010Page10/44NAT的3种实现方式静态转换动态转换端口多路复用Page11/44NAT的优缺点NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用Page12/44NAT配置步骤1、IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池4、指定地址转换映射5、在进出口上启用NAT静态NAT转换静态转换是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。当外出的数据包到达边缘网关时，从NAT表中查找相应的静态转换条目，检索出对应的全局地址，并替换数据包中的源地址(内部地址)，而当外部的数据包要通过边缘网关的时候，目的地址(全局地址)被替换成相应的内部地址。Page14/44静态NAT配置InternetNAT外部端口NAT内部端口内部网络192.168.100.2-192.168.100.6/2461.159.62.129192.168.100.1将内部网络地址192.168.100.2-192.168.100.6,转换为合法的外部地址61.159.62.130-61.159.62.134Page15/44第一步：设置外部端口第二步：设置内部端口第三步：在内部本地和内部合法地址之间建立静态地址转换第四步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcestatic192.168.100.261.159.62.130Router(config)#ipnatinsidesourcestatic192.168.100.361.159.62.131……Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.248Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress192.168.100.1255.255.255.0Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinsidePage16/44静态NAT配置InternetSA192.168.100.21DA192.168.100.252NAT转换4SA61.159.62.1303192.168.100.161.159.62.129NAT转换表192.168.100.6192.168.100.3192.168.100.2协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.130155.34.2.3TCP192.168.100.361.159.62.131210.3.4.5TCP192.168.100.661.159.62.134210.3.4.5155.34.2.3外部主机210.3.4.5外部主机动态NAT转换动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。动态转换将可用的全局地址集定义成NAT池(NATpool)。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态的从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。Page18/44InternetNAT外部端口NAT内部端口内部网络172.168.100.2-172.168.100.6/2461.159.62.129172.168.100.1将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190动态NAT配置4-1InternetPage19/44动态NAT配置4-2第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.192Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress172.168.100.1255.255.255.0Router(config)#access-list1permit172.168.100.00.0.0.255Page20/44动态NAT配置4-3第四步：定义合法IP地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcelist1pooltest0Router(config)#ipnatpooltest061.159.62.13061.159.62.190network255.255.255.192Router(config)#Interfaceserial0/0Router(config-if)#IpnatoutsideRouter(config)#Interfacefastethernet0/0Router(config-if)#IpnatinsidePage21/44Internet172.168.100.2SA172.168.100.21DA172.168.100.252NAT转换4SA61.159.62.1303155.34.2.3外部主机210.3.4.5外部主机172.168.100.3172.168.100.6172.168.100.161.159.62.129协议内部用局部IP地址内部用全局IP地址：端口号外部用全局IP地址TCP172.168.100.261.159.62.130155.34.2.3TCP172.168.100.361.159.62.131210.3.4.5TCP172.168.100.661.159.62.134210.3.4.5NAT转换表动态NAT配置4-4PAT网络地址端口转换网络端口地址转换PAT是动态转换的一种变形。它可以使多个内部节点共享一个全局IP地址。PAT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP端口号。在Internet中使用PAT时，所有不同的TCP和UDP信息流看起来好像来源于同一个IP地址。这个优点在小型办公室内非常实用，通过从ISP处申请的一个IP地址，将多个连接通过PAT接入Internet。Page23/44InternetNAT外部端口NAT内部端口内部网络10.1.1.2-10.1.1.254/2461.159.62.12910.1.1.1将内部网络地址10.1.1.1-10.1.1.254，转换为合法的外部地址61.159.62.130PAT配置Page24/44PAT配置InternetSA10.1.1.21DA10.1.1.252NAT转换4SA61.159.62.1303155.34.2.3外部主机210.3.4.5外部主机10.1.1.161.159.62.129协议内部用局部IP地址内部用全局IP地址：端口号外部用全局IP地址TCP10.1.1.2:102661.159.62.130：1026155.34.2.3TCP10.1.1.3:1121261.159.62.130：11212210.3.4.5TCP10.1.1.254:102761.159.62.130：1027210.3.4.5NAT转换表10.1.1.210.1.1.310.1.1.254Page25/44地址转换过程中，也直接使用接口的IP地址作为转换后的源地址Internet局域网192.168.1.2-254/24PC2PC1S0:207.35.14.82PC1和PC2可以直接使用S0接口的IP地址作为地址转换后的公用IP地址PAT配置9-5Page26/44第一步：设置外部端口第二步：设置内部端口第三步：定义内部网络中允许访问外部的访问控制列表Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.252Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress10.1.1.1255.255.255.0Router(config)#access-list1permit10.1.1.00.0.0.255PAT配置9-7Page27/44第四步：定义合法IP地址池直接使用路由器的接口地址，不用定义地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcelist1interfaceserial0/0overloadRouter(config)#interfaceserial0/0Router(config-if)#ipn