网络地址转换(NAT)概述要点

CiscoPublicITEPCv4.0Chapter11---网络地址转换(NAT)概述CCNA(640-802)网络地址转换概述4-1地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、、Telnet服务NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换网络地址转换概述4-2局域网PC2PC1Internet网络地址转换概述4-3IP:202.0.0.1Port:3010地址转换IP:202.0.0.1Port:3000IP数据包IP:192.168.0.1Port:3000IP:192.168.0.2Port:3010网络地址转换概述4-4NAT的3种实现方式静态转换动态转换端口多路复用使用双向NAT可以处理地址交叉的情况使用两个方向上的动态NAT会用到4种类型的地址NAT的术语2-1A公司10.1.1.0B公司10.1.1.0AB公司公司合并，可能导致地址交叉NAT的术语2-210.1.1.1外部主机B10.1.1.2外部主机C10.1.1.1NAT内部主机A1234SA=10.1.1.1DA＝193.3.3.11内部本地地址外部本地地址主机A发出的包SA=192.2.2.1DA=10.1.1.1经过路由器转换的包2内部全局地址外部全局地址经过路由器转换的包SA=193.3.3.1DA=10.1.1.14外部本地地址内部本地地址SA=10.1.1.1DA=192.2.2.1外部主机B返回的包3外部全局地址内部全局地址王家村的狗蛋，全名为王建临李家村的狗蛋，全名为李家成狗蛋这种名字最好不要被外人知道，自家人知道就够了。自己对外公布的是全名。（假设姓名不重复）internetAB对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。事实上，所有的地址转换工作就是在对这四个地址进行反复的变化。因此下面的例子用十分形象和生活化的内容来解释了四个地址之间的关系。注释：自有网络：归自己管理，进行IP规划的网络私有主机：属于自有网络的主机四个术语的内容：insidelocal(内部本地地址)insideglobal(内部全局地址)outsidelocal(外部本地地址)outsideglobal(外部全局地址)对于这四个地址的解释如下：insidelocal(内部本地地址)：在自有网络中分配给私有主机的地址，一般情况下该地址是RFC1918中定义的私有地址。insidelocal地址的特点是只会出现在自有网络中并且一定是给私有主机使用的。insideglobal(内部全局地址)：私有主机在非自有网络中使用的地址，通常情况下insideglobal地址是从合法的全局统一可寻址空间中分配的地址，也就是通常所说的共有IP。insideglobal地址的特点是只会出现在非自有网络中并且一定是给私有主机使用的。outsidelocal(外部本地地址)：非私有主机在自有网络内表现出来的IP地址。该地址是自有网络的管理员为本网络以外的设备所准备的用于在自有网络内使用的IP地址。outsidelocal地址的特点是只会出现在自有网络内但是是供给非私有主机使用的。outsideglobal(外部全局地址)：非私有主机在自有网络以外的区域使用的IP地址，是非私有主机所在网络的管理员负责管理个分配的。outsideglobal地址的特点是不会出现在自有网络中而且不是给私有主机使用，不归自有网络的管理员负责。为便于理解采用如下例子：insidelocal自己在家里穿的拖鞋insideglobal自己上班时穿的皮鞋outsidelocal朋友到家里访问给朋友准备的拖鞋outsideglobal朋友自己的鞋，随便是他的拖鞋或是皮鞋inside代表自己，outside代表别人，local代表自己家，global代表外面。insidelocal就是自己在家里活动的时候肯定需要穿拖鞋，这个拖鞋就相当于IP地址，可以看出来这种地址不会穿在别人脚上，而且不会在家里以外的地方去穿。insideglobal就是自己上班时肯定要穿的皮鞋，这个皮鞋一定是给自己穿的，但是一定不会在家里穿而是要在外面穿。outsidelocal就是别人来家里访问的时候自己给这个客人准备的拖鞋，因此不会出现在外面，而且也不会是自己穿。outsideglobal别人自己的鞋，无论是拖鞋还是皮鞋反正不会出现在自己家里，也不会是自己穿。所以insdielocal地址一般都是私有地址，insideglobal地址多数情况下是共有地址但是在解决地址交叉问题时也可能是私有地址，outsidelocal地址并不固定因为只是外部主机在自有网络的代表所以私有和公有地址都可以，outsideglobal地址和自己没有任何关系所以私有或公有地址也都可以。NAT的优缺点NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用支持的业务类型和应用支持在数据流中有IP地址的业务类型不支持的业务类型任何应用数据流中不承载源/目的IP地址的TCP/UDP业务ICMP路由表更新HTTPFTP（包括PORT和PASV)DNS区域传送TFTPTCP/IP上的NetBIOS（数据报、名称和会话服务BOOTPTelnetDNS（A和PTR查询）talk，ntalkNTPH.323/NetMeetingSNMPNFSIP多播（只转换源地址）NetshowNAT支持的数据流SA202.1.1.110.1.1.310.1.1.210.1.1.1SA10.1.1.11DA10.1.1.152NAT转换表43协议内部用本地IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.1202.1.1.1209.20.7.3:23209.20.7.3外部主机B209.21.7.3外部主机C转换LAN内部地址Internet协议内部用本地IP地址内部用全局IP地址外部用全局IP地址TCP10.1.1.3:1492202.1.1.1:1492209.21.7.3:23TCP10.1.1.2:1723202.1.1.1:1723209.21.7.3:23TCP10.1.1.1:1024202.1.1.1:1024209.20.7.3:23复用LAN的内部地址SA202.1.1.1SA10.1.1.11DA10.1.1.152NAT转换表43209.20.7.3外部主机B209.21.7.3外部主机CInternet10.1.1.310.1.1.210.1.1.1---配置网络地址转换(NAT)CCNA(640-802)NAT配置NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池4、指定地址转换映射5、在内部和外部端口上启用NAT静态NAT配置3-1InternetNAT外部端口NAT内部端口内部网络192.168.100.2-192.168.100.6/2461.159.62.129192.168.100.1将内部网络地址192.168.100.2-192.168.100.6,转换为合法的外部地址61.159.62.130-61.159.62.134第一步：设置外部端口第二步：设置内部端口第三步：在内部本地和内部合法地址之间建立静态地址转换第四步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcestatic192.168.100.261.159.62.130Router(config)#ipnatinsidesourcestatic192.168.100.361.159.62.131……Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.248Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress192.168.100.1255.255.255.0Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside静态NAT配置3-2静态NAT配置3-3InternetSA192.168.100.21DA192.168.100.252NAT转换4SA61.159.62.1303192.168.100.161.159.62.129NAT转换表192.168.100.6192.168.100.3192.168.100.2协议内部用本地IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.130155.34.2.3TCP192.168.100.361.159.62.131210.3.4.5TCP192.168.100.661.159.62.134210.3.4.5155.34.2.3外部主机210.3.4.5外部主机InternetNAT外部端口NAT内部端口内部网络172.168.100.2-172.168.100.6/2461.159.62.129172.168.100.1将内部网络地址172.168.100.1-172.168.100.254转换为合法的外部地址61.159.62.130-61.159.62.190动态NAT配置4-1Internet动态NAT配置4-2第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表Router(config)#interfaceserial0/0Router(config-if)#ipaddress61.159.62.129255.255.255.192Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress172.168.100.1255.255.255.0Router(config)#access-list1permit172.168.100.00.0.0.255动态NAT配置4-3第四步：定义合法IP地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NATRouter(config)#ipnatinsidesourcelist1pooltest0Router(config)#ipnatpooltest061.159.62.13061.159.62.190netmask255.255.255.192Router(config)#Interfaceserial0/0Router(config-if)#IpnatoutsideRouter(config)#Interfacefastethernet0/0Router(config-if)#IpnatinsideInternet172.168.100.2SA172.168.100.21DA172.168.100.252NAT转换4SA61.159.62.1303155.34.2.3外部主机210.3.4.5外部主机172.168.100.3172.168.100.6172.168.100.161.159.62.129协议内部用本地IP地址内部用全局IP地址：端口号外部用全局IP地址TCP172.168.100.261.159.62.130155.34.2.3TCP172.168.100.361.159