网络地址转换(NAT)

第10章网络地址转换(NAT)本章目标•了解地址转换（NAT）的作用和工作原理•了解各种NAT术语•理解NAT的各种应用：转换内部LAN地址、复用内部地址、负载均衡和处理地址交叉•掌握NAT的配置和排错本章结构网络地址转换NAT/PATNAT的优势缺点NAT的概念NAT的术语NAT概念和术语NAT的配置NAT的应用NAT的检查与排错静态NAT的配置动态NAT的配置PAT的配置TCP负载均衡配置用NAT解决地址交叉的问题网络地址转换概述4-1•地址转换的提出背景–合法的IP地址资源日益短缺–一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换–地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用–地址转换可以在局域网内部提供给外部FTP、、Telnet服务•NAT的原理–改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换网络地址转换概述4-2局域网PC2PC1Internet网络地址转换概述4-3IP:202.0.0.1Port:3010地址转换IP:202.0.0.1Port:3000IP数据包IP:192.168.0.1Port:3000IP:192.168.0.2Port:3010网络地址转换概述4-4•NAT的3种实现方式–静态转换(一对一的转换)–动态转换（多对多的转换）–端口多路复用（地址及端口的转换）•使用双向NAT可以处理地址交叉的情况•使用两个方向上的动态NAT•会用到4种类型的地址NAT的术语2-1A公司10.1.1.0B公司10.1.1.0AB公司公司合并，可能导致地址交叉NAT的术语•自己用的拖鞋代表内部局部地址,•给别人用的拖鞋代表外部局部地址•自己用的皮鞋代表内部全局地址,•别人穿的皮鞋代表外部全局地址;NAT的术语2-210.1.1.1外部主机B10.1.1.2外部主机Cinternet10.1.1.1NAT主机A1234SA=10.1.1.1DA＝193.3.3.11内部局部地址外部局部地址主机A发出的包SA=192.2.2.1DA=10.1.1.1经过路由器转换的包2内部全局地址外部全局地址经过路由器转换的包SA=193.3.3.1DA=10.1.1.14外部局部地址内部局部地址SA=10.1.1.1DA=192.2.2.1外部主机B返回的包3外部全局地址内部全局地址NAT的优缺点•NAT的优点–节省公有合法IP地址–处理地址交叉–增强灵活性–安全性•NAT的缺点–延迟增大–配置和维护的复杂性–不支持某些应用支持的业务类型和应用支持在数据流中有IP地址的业务类型不支持的业务类型任何应用数据流中不承载源/目的IP地址的TCP/UDP业务ICMP路由表更新HTTPFTP（包括PORT和PASV)DNS区域传送TFTPTCP/IP上的NetBIOS（数据报、名称和会话服务BOOTPTelnetDNS（A和PTR查询）talk，ntalkNTPH.323/NetMeetingSNMPNFSIP多播（只转换源地址）NetshowNAT支持的数据流SA192.168.2.210.1.1.310.1.1.210.1.1.1SA10.1.1.11DA10.1.1.152NAT转换表43协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.1192.168.2.2172.20.7.3:23172.20.7.3外部主机B172.21.7.3外部主机C转换LAN内部地址Internet协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.3:1492192.168.2.2:1492172.21.7.3:23TCP10.1.1.2:1723192.168.2.2:1723172.21.7.3:23TCP10.1.1.1:1024192.168.2.2:1024172.20.7.3:23复用LAN的内部地址SA192.168.2.2SA10.1.1.11DA10.1.1.152NAT转换表43172.20.7.3外部主机B172.21.7.3外部主机CInternet10.1.1.310.1.1.210.1.1.1虚拟主机InternetSA10.1.1.1SA10.1.1.127DA10.1.1.110.1.1.310.1.1.210.1.1.1432NAT转换表15172.20.7.3外部主机B172.21.7.3外部主机C10.1.1.127协议内部用局部IP地址：端口号内部用全局IP地址：端口号外部用全局IP地址：端口号TCP10.1.1.1:8010.1.1.127:80172.20.7.3:3058TCP10.1.1.2:8010.1.1.127:80172.21.7.3:4371TCP10.1.1.3:8010.1.1.127:80172.20.7.3:3062TCP负载均衡NAT配置•NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池4、指定地址转换映射5、在内部和外部端口上启用NAT静态NAT配置3-1InternetNAT外部端口NAT内部端口内部网络192.168.100.2-192.168.100.6/2461.159.62.129192.168.100.1将内部网络地址192.168.100.2-192.168.100.6,转换为合法的外部地址61.159.62.130-61.159.62.134•第一步：设置外部端口•第二步：设置内部端口•第三步：在内部本地和内部合法地址之间建立静态地址转换•第四步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcestatic192.168.100.261.159.62.130Router(config)#ipnatinsidesourcestatic192.168.100.361.159.62.131……Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.248Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress192.168.100.1255.255.255.0Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside静态NAT配置3-2静态NAT配置3-3InternetSA192.168.100.21DA192.168.100.252NAT转换4SA61.159.62.1303192.168.100.161.159.62.129NAT转换表192.168.100.6192.168.100.3192.168.100.2协议内部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.130155.34.2.3TCP192.168.100.361.159.62.131210.3.4.5TCP192.168.100.661.159.62.134210.3.4.5155.34.2.3外部主机210.3.4.5外部主机InternetNAT外部端口NAT内部端口内部网络172.168.100.2-172.168.100.6/2461.159.62.129172.168.100.1将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190动态NAT配置4-1Internet动态NAT配置4-2•第一步：设置外部端口IP地址•第二步：设置内部端口IP地址•第三步：定义内部网络中允许访问外部的访问控制列表Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.192Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress172.168.100.1255.255.255.0Router(config)#access-list1permit172.168.100.00.0.0.255动态NAT配置4-3•第四步：定义合法IP地址池•第五步：指定网络地址转换映射•第六步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcelist1pooltest0Router(config)#ipnatpooltest061.159.62.13061.159.62.190network255.255.255.192Router(config)#Interfaceserial0/0Router(config-if)#IpnatoutsideRouter(config)#Interfacefastethernet0/0Router(config-if)#IpnatinsideInternet172.168.100.2SA172.168.100.21DA172.168.100.252NAT转换4SA61.159.62.1303155.34.2.3外部主机210.3.4.5外部主机172.168.100.3172.168.100.6172.168.100.161.159.62.129协议内部用局部IP地址内部用全局IP地址：端口号外部用全局IP地址TCP172.168.100.261.159.62.130155.34.2.3TCP172.168.100.361.159.62.131210.3.4.5TCP172.168.100.661.159.62.134210.3.4.5NAT转换表动态NAT配置4-4InternetNAT外部端口NAT内部端口内部网络10.1.1.2-10.1.1.254/2461.159.62.12910.1.1.1将内部网络地址10.1.1.1-10.1.1.254，转换为合法的外部地址61.159.62.130PAT配置9-1•第一步：设置外部端口IP地址•第二步：设置内部端口IP地址•第三步：定义内部网络中允许访问外部的访问控制列表Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.192Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress10.1.1.1255.255.255.0Router(config)#access-list1permit10.1.1.00.0.0.255PAT配置9-2•第三步：定义合法IP地址池•第五步：指定网络地址转换映射•第六步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcelist1poolonlyoneoverloadRouter(config)#ipnatpoolonlyone61.159.62.13061.159.62.130netmask255.255.255.248Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinsidePAT配置9-3PAT配置9-4Int