项目六、使用NAT和PAT扩展.ppt

项目六、使用NAT和PAT扩展网络,教学目标：NAT是目前网络中最为常用的一种技术，通过在内网使用私有地址并利用NAT访问Internet来解决当前IP地址短缺的问题。具体来将NAT主要包括以下几方面的知识： （1）NAT的功能和作用； （2）NAT的类型； （3）静态NAT及其使用； （4）动态NAT及其使用 （5）PAT及其使用； （6）查看和诊断NAT配置。 为了学习上述知识，下面通过一个来自实际工作中的任务的完成来进行学习上述知识。 任务12：动态NAT的配置及应用,12.1 工作任务,你受聘于一家网络公司做网络工程师，恰好公司有一个客户提出网络建设，该客户现建有单位内部局域网联网微机100台，需要接入互联网，公司向ISP申请了一条专线，ISP分配给企业29网段，共有从到这6个公用地址，并且ISP从中拿出这个地址作为局端的连接地址，通过配置实现公司接入互联网。,12.2 相关知识,作为网络工程师，需要了解本工作任务所涉及的以下几方面知识： NAT 技术的功能和作用； NAT的转换方式； 静态NAT的配置； Pool Nat的配置； Port Nat的配置。,12.2.1 NAT技术的产生原理,随着Internet的网络以爆炸性的速度膨胀，IP地址短缺及路由规模越来越大已成为一个相当严重的问题。 所谓的地址转换，即NAT（Network Address Translation）功能，就是指在一个组织网络内部，根据需要可以随意自定义的IP地址（不需要经过申请）即假的IP地址。 简单地说，NAT就是通过某种方式将内部保留地址翻译成外部合法的全局地址。 如果想连接Internet，但不想让网络内的所有计算机都拥有一个真正的Internet IP地址。,12.2.2 NAT的功能与作用,源地址 私转公私有地址图12.1 在路由器上使用NAT技术实现的功能Internet公有地址目的地址 公转私私有地址公有地址 网络地址转换（NAT）技术是一个IETF（Internet Engineering Task Force，Internet工程工作组）标准。如图12.1所示表示了在路由器上使用NAT技术所实现的功能。,如图12.1所示，设置NAT功能的路由器至少要有一个Inside（内部）端口及至少一个Outside（外部）端口。当内部网络上的一台主机访问因特网上的一台主机时，内部网络主机所发出的数据包的源IP地址是私有地址，这个数据包到达路由器后，路由器使用事先设置好的公用地址替换掉私有地址，这样这个数据包的源IP地址就变成了因特网上唯一的公用地址了，然后此数据包被发送到因特网上的目的主机处。,源地址 私转公,私有地址,图12.1 在路由器上使用NAT技术实现的功能,Internet,公有地址,目的地址 公转私,私有地址,公有地址,12.2.3 NAT技术的术语,1. NAT表 当内部网络有多台主机访问因特网上的多个目的主机的时侯，路由器必须记住内部网络的哪一台主机访问因特网上的哪一台主机，以防止在地址转换时将不同的连接混淆，所以路由器会为NAT的众多连接建立一个表，即NAT表，如图12.2所示。,由图12.2可以看出，NAT在做地址转换时，依靠在NAT表中记录内部私有地址和外部公有地址的映射关系来保存地址转换的依据。当执行NAT操作时，路由器在做某一数据连接操作时只需要查询该表，就可以得知应该如何转换地址，而不会发生数据连接的混淆。 NAT表中每一个连接条目 ，都有一个计时器。当有数据在这两台主机之间传递时,数据包不断刷新NAT表中的相应条目,则该条目将处于不断被激活的状态,该条目不会被NAT表清除。但是，如果两台主机长时间没有数据交互，则在计时器倒数到零时，NAT表将把这一条目清除。,2.内部地址和全局地址 如图12.2所示，我们看到在NAT表中有四种地址，它们分别是：Inside local address（内部本地地址）、inside global address（内部全局地址）、outside local address（外部本地地址）、outside global address（外部全局地址）。 如图12.3所示表示了这些地址之间的关系，在图12.3中，我们可以看到，网络被分成内部网络和外部网络两部分。 Inside:表示内部网络，这些网络的地址需要被转换。在内部网络，每台主机都分配一个内部IP地址，但与外部网络通讯时，又表现为另外一个地址。 Outside:是指内部网络需要连接的网络，一般指互联网，也可以是另外一个机构的网络。,图12.3 内部地址和外部地址,Local图12.3 内部地址和外部地址InternetGlobalInsideOutside主机位置IP地址的逻辑位置 Inside local address 内部本地地址，是指在一个企业或机构内部网络内分配给一台主机的IP地址。这个地址通常是私有地址。 inside global address 内部全局地址，是指设置在路由器等因特网接口设备上，用来代替一个或多个私有IP地址的公有地址，在因特网上应该是唯一的。 outside local address 外部本地地址，是指因特网上的一个公有地址，该地址可能是因特网上的一台主机。 outside global address 外部全局地址，是指因特网上另一端网络内部的地址，该地址可能是私有的。 一般情况下，outside local address 和outside global address是同一个公有地址，它们就是内部网络主机所访问的因特网上的主机，只有当特殊情况的时候，两个地址才不一样。,12.2.4 NAT类型,按转换方式来分类，NAT有三种类型:静态NAT、动态NAT和端口地址转换。 1.静态NAT 在静态NAT中，是指内部网络中的主机被永久映射成外部网络中的某个合法的地址。静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有Web服务器、E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换（将一个全球的地址映射到一个内部地址，静态映射将一直存在于NAT表中，直到被管理员取消），以便外部用户可以使用这些服务。,2.动态地址转换,动态NAT转换包括动态地址池转换（Pool NAT）和动态端口转换（Port NAT）两种，前者是一对一的转换，后这是多对一的转换。 （1）Pool NAT转换 Pool NAT执行本地地址与全局地址的一对一转换，但全局地址与本地地址的对应关系不是一成不变的，它是从内部全局地址池（Pool）中动态地选择一个末使用的地址对内部本地地址进行转换。 （2）Port NAT转换 端口地址转换（Port Address Translation，PAT）又称复用动态地址转换或NAT重载，是把内部本地地址映射到外部网络的一个IP地址的不同端口上，因一个IP地址的端口数有65535个，即一个全局地址可以和最多达65535个内部地址建立映射，因此从理论上说一个全局地址可供65535个内部地址通过NAT连接Internet。只申请到少量IP地址却经常同时有多于合法地址个数的用户上外部网络的情况下，这种转换极为有用。,12.2.5 NAT配置,1静态NAT配置基本过程 （1）配置静态NAT地址映射 在路由器的全局模式下配置静态NAT地址映射的命令如下： router（config）#Ip nat inside source static local-ip global-ip 其中：local-ip：内部本地地址，分配给内部网络中的计算机的IP地址，通常可使用保留地址。 global-ip：内部全局地址。表示外部的一个公用IP地址。,2）配置连接Internet的接口 在路由器连接Internet的接口（一般是以太网接口或快速以太网接口）上首先要配置IP地址，这个地址为公用地址，并且要启动该接口。 然后声明该接口是NAT转换的外部网络接口，命令格式如下： router（config-if）#Ip nat outside （3）配置连接企业内部网络的接口 在路由器连接企业内部网络的接口（一般是路由器的另一个以太网接口或快速以太网接口）上也要配置IP地址，这个地址应该是私有地址，并且要启动该接口。 然后声明该接口是NAT转换的内部网络接口，命令格式如下： router（config-if）#ip nat inside,2. 动态NAT配置基本过程,1）定义公用地址池 在全局配置模式下，通过在路由器上定义一个公用地址池，可以把用来进行NAT转换的公用地址池放在该池中，以供NAT使用。定义公用地址池的命令如下： router（config）#ip nat pool pool-name start-ip end-ip netmask netmask|prefix-length prefix-lengthrotary 其中： pool-name ：地址池的名称。 start-ip：在地址池中定义地址范围的起始IP地址。 end-ip：在地址池中定义地址范围的终止IP地址。 netmask netmask：指示哪些地址比特属于网络和子网络域，哪些比特属于主机域的网络掩码。规定地址池所属网络的网络掩码。 prefix-length prefix-length：指示网络掩码中有多少个比特是1（多少个地址比特代表网络）。规定地址池所属网络的网络掩码。 rotary：（任选项）该参数指示，地址池的地址范围标识了TCP负载分担将要发生于的真实、内部主机。,（2）在路由器的全局模式下配置访问控制列表 在全局设置模式下，定义一个标准访问控制列表，该列表的作用是用来筛选允许上网企业内部主机，通过在该列表中使用“允许”语句，能够指定哪些人可以上网。命令如下： router（config）#Access-list access-list-number permit source source-wildcard 其中各参数的含义见项目六访问控制列表。 （3）定义内部网络私有地址与外部网络公用地址之间的映射,在全局配置模式下，将由access-list指定的内部私有地址与指定的公用地址池相映射，从而提供内网私有地址和外网公用地址之间的NAT转换。其命令如下： router（config）#ip nat inside sourcelist access-list-number | namepool pool-nameoverload|static local-ip global-ip 其中： list access-list-number：标准IP ACL表号。如果数据包中含有在该ACL中所定义范围内的源地址，则它就被动态地用所指定地址池中的全球地址进行转换。 list name：标准ACL的名称。如果数据包中含有在该ACL中所定义范围内的源地址，则它就被动态地用所指定地址池中的全球地址进行转换。 pool name：要被动态分配的全球IP地址池的名称。 overload：（任选项）使路由器可以用一个全球地址代表许多本地地址的参数。当配置了复用参数时，由每个内部主机的TCP和UDP端口号区分使用同一本地IP地址的多个会话。 static local-ip：设置一个静态转换关系的参数；该参数建立被分配给内部网络中某台主机的本地IP地址。该地址可以被随机选择，建议选用保留地址。 global-ip：设置一个静态转换关系的参数；该参数为显现给外部世界的内部主机建立全球惟一的IP地址。,（4）配置连接Internet的接口 router（config-if）#Ip nat outside （5）配置连接企业内部网络的接口 router（config-if）#ip nat inside （6）定义指向外网的默认路由 做好以上步骤后应定义指向外网的默认路由，命令格式如下： Router（config）#ip route next-hop-ip 其中：next-hop-ip即专线在ISP端的连接地址。,3. Port NAT配置的基本过程,（1）定义标准访问列表，允许那些需要转换的内部网络地址通过。 router（config）#Access-list access-list-number permit source source-wildcard 其中各参数的含义见项目六访问控制列表。 （2）启用动态地址转换，使用前面定义的访问控制列表来指定哪些地址将被转换，并指定其地址将被重载的接口。 router（config）#ip nat inside source list acess-list-number interface interface overload （3）配置连接Internet的接口 router（config-if）#Ip nat outside （4）配置连接企业内部网络的接口 router（config-if）#ip nat inside Port NAT（重载）解决了静态转换的管理问题和动态转换中地址有限的问题。这是通过使用连接唯一的端口号将所有指定的内部本地地址转换为同一个全局地址来实现的。,4. 配置转换保持时间长度,正常情况下，当收到回复时转换被释放，这是IP地址返回IP地址池。如果没有收到回复，转换条目留在表中直到超时时间到期或是被网络管理员手工删除。对于TCP，默认的超时时间是24h，而UDP的超时时间是5min。表12-1 设置NAT的超时值 命令默认值Ip nat translation timeout time24hIp nat translation tcp-timeout time24hIp nat translation udp-timeout time5minIp nat translation finrsttimeout time60sIp nat translation dns-timeout time60s,12.2.6 查看和诊断NAT配置,1. 查看和删除NAT配置 配置NAT后，应该核实它是否按预期的那样运行，为此可以使用clear和show命令。 默认情况下，一段时间内未被使用后，NAT转换表中的动态地址转换将过期。过期之前，可以使用表12-2中的命令之一清除转换条目。,表12-2 用于清除NAT转换条目的命令,clear ip nat translation 清除NAT转换表中所有的动态地址转换条目clear ip nat translation inside global-ip local-ip outside local-ip global-ip清除包含一个内部转换、或者同时包含内部和外部转换的动态转换条目clear ip nat translation outside local-ip global-ip清除包含一个外部转换的动态转换条目clear ip nat translation protocol inside global-ip global-port local-ip local-port outside local-ip local-port global-ip global-port清除一条扩展的动态转换条目也可以在EXEC模式下使用表13-3中的命令显示转换信息。,13-3 用于查看网络地址转换配置的命令,命令描述show ip nat translation verbose显示活跃的转换show ip nat statistic显示有关转换的统计信息 还可以使用命令show running-config查看NAT、访问列表、接口和地址池。 缺省情况下，动态转换条目在NAT转换表中会因超时而被取消。,2. 诊断NAT配置 要查看NAT的运行情况，可使用命令debug ip nat ,可以显示有关路由器转换的每个分组的信息。 12.3 方案设计 针对客户提出的要求，公司网络工程师计划使用这个地址作为企业端路由器的连接地址。-这两个地址被用来进行NAT转换，企业内部网络/24中的主机都通过这两个地址上网。,12.4 任务实施动态NAT的配置及应用,12.4.1 任务目标 通过工作任务的完成，使学生可以掌握以下技能： （1）能够通过配置静态NAT提供Web等服务； （2）能够通过配置动态Nat使网络访问Internet 12.4.2 设备清单 （1）Cisco2811路由器（1台）； （2）Cisco 2950交换机（1台）； （3）PC机4台； （4）双绞线（若干根）； （5）反转电缆两根。,12.4.3网络拓扑图,本工作任务的网络拓扑，如图12.4所示，按照图12.4连接硬件。,12.4.4 实施过程,步骤1：硬件连接 如图12.4所示，硬件连接为： 1. 通过反转线将路由器A的Console口和计算机PC1的COM连接起来； 2. 通过直通线将将计算机PC1、PC2、PC3、PC4连接到交换机上； 3. 通过直通线将交换机A的fa0/1与路由器的f0/0连接起来； 步骤2：规划网络地址 本工作任务中的PC计算机和路由器的各端口的IP地址、子网掩码、网关见表12-3所示。,表12-3 PC计算机和路由器端口IP地址,PC3PC4路由器AF0/0F0/1,步骤3：配置各计算机的IP地址 按照表12-3所列配置各计算机的IP地址。 步骤4：配置路由器A 在PC1计算机上通过超级终端登录到路由器A上，进行配置。 1. 配置路由器主机名(略) 2. 配置路由器远程登录密码(略) 3. 设置控制台登录路由器的口令(略) 4. 配置进入特权模式口令(略) 5. 为路由器各接口分配IP地址(略),6. 配置动态NAT RTA#conf t RTA（config）# Ip nat pool mynatpool netmask RTA（config）#access-list 1 permit 55 RTA（config）#ip nat inside source list 1 pool mynatpool RTA（config）# Interface f0/0 RTA（config-if）# Ip nat inside RTA（config-if）# Interface f0/1 RTA（config-if）# Ip nat outside RTA（config-if）#exit RTA（config）# ip route RTA(config)#end RTA#wr 7. 查看动态转换 RTT# show ip nat translateon,12.4.5 任务测试 步骤1：分别在PC1、PC2、PC3、PC4上测试网络的连通性。 步骤2：在路由器A上查看显示活跃的转换。 12.5 拓展训练 12.5.1 拓展训练1：通过静态NAT技术提供企业内指定主机上网,企业在开通专线上网后，随机带来了很多员工在上班时间浏览网页，QQ工作效率在下降，在这种情况下，决定只允许公司内部网管、财务、销售等个别人员上网，其他人员不能上网。又随着企业规模的发展，由于企业自身业务的需要，要求在公司内搭建一台Web服务器，提供Internet上客户的访问。网络拓扑如图12.5所示。,图12.5 NAT配置网络拓扑图ISP局端光电转换器f0/1:用户端光端机1/24f0/0:3/24Web服务器 00/242/24 在图12.5中，同样ISP从中拿出这个地址作为局端的连接地址，我们使用这个地址作为企业端路由器的连接地址。在路由器配置如下： router（config）# Ip nat pool mynatpool netmask router （config）#access-list 1 permit 1 router（config）#access-list 1 permit 2 router（config）#access-list 1 permit 3 router（config）#ip nat inside source list 1 pool mynatpool router（config）#Ip nat inside source static 00 router（config）# Interface f0/0 router（config-if）# Ip nat inside router（config-if）# Interface f0/1 router（config-if）# Ip nat outside router（config-if）#exit router（config）# ip route ,12.5.2 拓展训练2：通过Port NAT提供企业内多台主机上网,图12.6 Port NAT配置网络拓扑图ISP局端光电转换器f0/1:用户端光端机/24f0/0: 某企业建立了自己的办公网络（有微机几十台），现需要使用10Mbps共享的专线通过路由器上网，ISP只分配给企业两个IP地址和。网络拓扑如图12.6所示。,在图12.6中，ISP从中拿出这个地址作为局端的连接地址，我们使用这个地址作为企业端路由器的连接地址。在这种情况下，企业上网只能使用企业路由器的接口IP地址，企业内部网络/24中的主机都通过这个接口地址上网。 在路由器配置如下： router（config）#access-list 1 permit 55 router（config）# ip nat inside source list 1interface f0/1 overload router（config）# Interface f0/0 router（config-if）# Ip nat inside router（config-if）# Interface f0/1 router（config-if）# Ip nat outside router（config-if）#exit router（config）# ip route ,12.5.3拓展训练4：配置TCP负载均衡,当Internet主机访问本地网络的若干真实主机时，可以都访问一个虚拟的主机地址。配置虚拟主机地址和若干真实主机间的转换，定义的真实主机地址池称为反向地址池。在路由器配置如下： router（config）ip nat pool webservers 48 49 netmask type rotary router（config）access-list 1 permit host 48 router（config）ip nat inside destination list 1 pool webservers router（config）interface fastethernet0/0 router（config-if）ip nat inside router（config-if）interface serial0/0 router（config-if）ip nat outside,12.6 扩展知识：策略路由 基于策略的路由为网络管理者提供了比传统路由协议对报文的转发和存储更强的控制能力。 基于策略的路由比传统路由能力更强，使用更灵活，它使网络管理者不仅能够根据目的地址而且能够根据协议类型、报文大小、应用或I P源地址来选择转发路径。 12.6.1 策略路由技术概述 策略路由提供了这样一种机制：根据网络管理者制定的标准来进行报文的转发。策略路由用match和set语句实现路径的选择。 如图12.8所示，所有从PCA到命令入口项服务器的数据流将通过ISDN线路，而从PCA发出的所有其他数据流（以及其他结点的）将通过512K的租用线路。,注意策略路由是设置在接收报文接口而不是发送接口。在图12.8中，策略就应用在路由器A的FastEthernet0/0接口。,策略路由术语,Match Clause（匹配语句）：匹配语句在路由器的输入端口对报文进行检测。匹配标准可以相当简单：用ACL匹配一个源地址和目的地址。也可以很复杂：根据指定的最小和最大的报文长度匹配报文长度。 Set Clause（设置语句）：set语句定义报文将经过的路径（如果匹配语句满足的话）。 1. 下一跳接口。 2. 下一跳IP地址。 3. 下一跳缺省接口。 4. 下一跳缺省IP地址。 如果到了列表的末尾是可达的且没有set语句应用，则用正常的基于目的地址的方法进行路由。 注意基于策略路由的报文转发，将覆盖到相同目的地址的基于路由表入口项的报文。,12.6.3 策略路由配置,步骤1：配置路由映射表 使用命令route-map，格式如下 Router(config)#route-map map-tag permit | deny sequence-number 其中： （1）map-tag为路由映射表的名称； （2）permit | deny：为permit时，如果分组符合指定的条件，则按set语句中指定的措施对其进行处理；如果不符合指定的条件，则将其同路由映射表中的下一条match语句进行比较；如果没有指定条件，则按set语句中指定的措施处理所有分组；如果没有set语句，则不做任何处理。（3）sequence-number：指定处理顺序的序列号，如果没有指定序列号，则自动按10的倍数递增。 步骤2：用于重分发的match命令 基于策略的路由选择的match命令为：,Router(config-route-map)#match ip address access-list-number | name ,其中：access-list-number用于指定受影响的分组的地址。 步骤3：用于重分发的set命令 Set命令用于指定如何对满足match条件的路由进行处理，命令为： Router(config-route-map)#set ip next-hop address 其中：address为下一条的IP地址。,12.7小结,为解决IP地址短缺的问题，在内部网络中使用私有地址，通过NAT把私有IP地址翻译成合法的IP地址在Internet上使用。,习题 一、选择题 1. 网络地址转换有哪些优点？（） A. 避免了重新给网络分配地址； B. 避免了给非IP网络提供IP地址； C. 通过在转换时复用端口和地址，可节省地址空间； D. 只能在3600系列路由器上配置； E. 通过隐藏内部网络地址提高了网络的安全性。 2. 网络地址转换可用下述哪些方式实现？（） A. 一对一的静态转换； B. 一对多的动态转换； C. 多对多的动态转换； D. 多对一