计算机网络基础11章-NA.ppt

授人以鱼不如授人以渔 朱明工作室 第第1111章章 网络地址转换（网络地址转换（NATNAT ） 授人以鱼不如授人以渔 朱明工作室 学习目标学习目标 n n 通过本章的学习，希望您能通过本章的学习，希望您能 够：够： n n 掌握网络地址转换（掌握网络地址转换（NATNAT）的概念）的概念 n n 掌握掌握NATNAT工作原理及配置方法工作原理及配置方法 n n 掌握掌握NAPTNAPT工作原理及配置方法工作原理及配置方法 授人以鱼不如授人以渔 朱明工作室 本章内容本章内容 n n NATNAT概述概述 n n 地址空间不足带来的问题地址空间不足带来的问题 n n NATNAT的用途的用途 n n NATNAT术语术语 n n 配置配置NATNAT n n NATNAT的工作过程的工作过程 n n 配置配置NATNAT n n 配置配置NAPTNAPT n n NAPTNAPT的工作过程的工作过程 n n 配置配置NAPTNAPT n n 验证和诊断验证和诊断NATNAT转换转换 n n NATNAT的注意事项的注意事项 授人以鱼不如授人以渔 朱明工作室 课程议题课程议题 NATNAT概述概述 授人以鱼不如授人以渔 朱明工作室 NATNAT概念概念 n n NATNAT英文全称是英文全称是“ “Network Address TranslationNetwork Address Translation” ”， 中文意思是中文意思是“ “网络地址转换网络地址转换” ”，它是一个，它是一个IETF(InternetIETF(Internet Engineering Task Force, InternetEngineering Task Force, Internet工程任务组工程任务组) )标准标准 ，允许一个整体机构以一个公用，允许一个整体机构以一个公用IPIP（Internet Internet ProtocolProtocol）地址出现在）地址出现在InternetInternet上。上。 n n 它是一种把内部私有网络地址（它是一种把内部私有网络地址（IPIP地址）翻译成合法地址）翻译成合法 网络网络IPIP地址的技术。地址的技术。 n n NATNAT的典型应用是将使用私有的典型应用是将使用私有IPIP地址（地址（RFC 1918RFC 1918）的）的 园区网络连接到园区网络连接到InternetInternet 授人以鱼不如授人以渔 朱明工作室 地址空间不足带来的问题地址空间不足带来的问题 n n 注册注册IPIP地址空间将要耗尽，而地址空间将要耗尽，而internetinternet的规模仍在持的规模仍在持 续增长续增长 n n 随着随着internetinternet的增长，骨干互联网路由选择表中的的增长，骨干互联网路由选择表中的IPIP 路由数据也在增加，这引发了路由选择算法的扩展问题路由数据也在增加，这引发了路由选择算法的扩展问题 n n NATNAT是一种节约大型网络中注册是一种节约大型网络中注册IPIP地址并简化地址并简化IPIP寻址寻址 管理任务的机制，管理任务的机制，NATNAT已经标准化并在已经标准化并在RFC1613RFC1613中描中描 述。述。 授人以鱼不如授人以渔 朱明工作室 NATNAT的用途的用途 解决地址空间不足的问题；解决地址空间不足的问题； IPv4IPv4的空间已经严重不足的空间已经严重不足 私有私有IPIP地址网络与公网互联；地址网络与公网互联； /8/8，/12/12，/16/16 非注册非注册IPIP地址网络与公网互联；地址网络与公网互联； 建网时分配了全局建网时分配了全局IPIP地址但没注册地址但没注册 网络改造中，避免更改地址带来的风险网络改造中，避免更改地址带来的风险 授人以鱼不如授人以渔 朱明工作室 NATNAT术语术语 术语定义 内部本地IP地址分配给内部网络中的主机的IP地址，通常这种地址来自RFC 1918指定的 私有地址空间。 内部全局IP地址内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址 来自全局惟一的地址空间，通常是ISP提供的。 外部全局IP地址外部网络中的主机的IP地址，通常来自全局可路由的地址空间。 外部本地IP地址在内部网络中看到的外部主机的IP地址，通常来自RFC 1918定义的私有 地址空间。 简单转换 条目将一个IP地址映射到另一个IP地址（通常被称为网络地址转换 ）的转换 条目。 扩展转换 条目将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地 址转换 ）对的转换 条目。 授人以鱼不如授人以渔 朱明工作室 NATNAT术语术语 n n NATNAT转换包括多种不同类型，并可用于多种目的转换包括多种不同类型，并可用于多种目的 n n 静态静态NATNAT：按照一一对应的方式将每个内部：按照一一对应的方式将每个内部IPIP地址转换为一个外部地址转换为一个外部IPIP地址，这种方式经地址，这种方式经 常用于企业网的内部设备需要能够被外部网络访问到时。常用于企业网的内部设备需要能够被外部网络访问到时。 n n 动态动态NATNAT：将一个内部：将一个内部IPIP地址转换为一组外部地址转换为一组外部IPIP地址（地址池）中的一个地址（地址池）中的一个IPIP地址。地址。 n n 超载（超载（OverloadingOverloading）NATNAT：动态：动态NATNAT的一种实现形式，利用不同端口号将多个内部的一种实现形式，利用不同端口号将多个内部IPIP 地址转换为一个外部地址转换为一个外部IPIP地址，也称为地址，也称为PATPAT、NAPTNAPT或端口复用或端口复用NATNAT。 授人以鱼不如授人以渔 朱明工作室 课程议题课程议题 配置配置NATNAT 授人以鱼不如授人以渔 朱明工作室 NATNAT的工作过程的工作过程 n n 静态静态NATNAT 授人以鱼不如授人以渔 朱明工作室 NATNAT的工作过程的工作过程 n n 动态动态NATNAT 授人以鱼不如授人以渔 朱明工作室 配置配置NATNAT n n 配置静态内部源地址转换配置静态内部源地址转换 n n 指定一个内部接口和一个外部接口指定一个内部接口和一个外部接口 n n 配置静态转换条目配置静态转换条目 Router(config-if)# ip nat inside | outside Router(config)# ip nat inside source static local-ip interface interface | global-ip 授人以鱼不如授人以渔 朱明工作室 配置配置NATNAT n n 配置静态端口地址转换配置静态端口地址转换 n n 指定一个内部接口和一个外部接口指定一个内部接口和一个外部接口 n n 配置静态转换条目配置静态转换条目 Router(config-if)# ip nat inside | outside Router(config)# ip nat inside source static tcp | udp local-ip local-port interface interface | global-ip global-port 授人以鱼不如授人以渔 朱明工作室 配置配置NATNAT n n 配置动态配置动态NATNAT n n 指定一个内部接口和一个外部接口指定一个内部接口和一个外部接口 n n 定义定义IPIP访问控制列表访问控制列表 n n 定义一个地址池定义一个地址池 Router(config-if)# ip nat inside | outside Router(config)# access-list access-list-number permit | deny Router(config)# ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 授人以鱼不如授人以渔 朱明工作室 配置配置NATNAT n n 配置动态配置动态NATNAT n n 配置动态转换条目配置动态转换条目 Router(config)# ip nat inside source list access-list-number interface interface | pool pool- name 授人以鱼不如授人以渔 朱明工作室 配置示例配置示例 授人以鱼不如授人以渔 朱明工作室 课程议题课程议题 配置配置NAPTNAPT 授人以鱼不如授人以渔 朱明工作室 NAPT NAPT 的工作过程的工作过程 授人以鱼不如授人以渔 朱明工作室 配置配置NAPTNAPT n n 指定一个内部接口和一个外部接口指定一个内部接口和一个外部接口 n n 定义定义IPIP访问控制列表访问控制列表 n n 定义一个地址池定义一个地址池 Router(config-if)# ip nat inside | outside Router(config)# access-list access-list-number permit | deny Router(config)# ip nat pool pool-name start-ip end-ip netmask netmask | prefix-length prefix-length 授人以鱼不如授人以渔 朱明工作室 配置配置NAPTNAPT n n 配置多路复用动态转换条目配置多路复用动态转换条目 n n 配置配置NAPTNAPT转换中，必须使用转换中，必须使用overloadoverload关键字，这样路由器才会将源端口也进行转换，关键字，这样路由器才会将源端口也进行转换， 已达到地址超载的目的。如果不指定已达到地址超载的目的。如果不指定overloadoverload，路由器将执行动态，路由器将执行动态NATNAT转换。转换。 Router(config)# ip nat inside source list access-list-number interface interface | pool pool- name overload 授人以鱼不如授人以渔 朱明工作室 配置示例配置示例 授人以鱼不如授人以渔 朱明工作室 课程议题课程议题 验证和诊断验证和诊断NATNAT转换转换 授人以鱼不如授人以渔 朱明工作室 验证和诊断验证和诊断NATNAT转换转换 n n 显示活动的转换条目显示活动的转换条目 n n 显示转换的统计信息显示转换的统计信息 n n 对转换操作进行调试对转换操作进行调试 n n 清除所有的转换条目清除所有的转换条目 Router# show ip nat translations access-list-number | icmp | tcp | udp verbose Router# show ip nat statistics Router# debug ip nat address | event | rule-match Router# clear ip nat translation * 授人以鱼不如授人以渔 朱明工作室 课程议题课程议题 NATNAT的注意事项的注意事项 授人以鱼不如授人以渔 朱明工作室 NATNAT的注意事项的注意事项 n n NATNAT增加了延迟增加了延迟 n n 失去了端对端失去了端对端IPIP的的TraceabilityTraceability， n n 一些一些IPIP对对IPIP的程序不再可以正常运行的程序不再可以正常运行 n n NATNAT如下协议不支持如下协议不支持 n n 路上选择更新路上选择更新 n n DNSDNS区域传输、区域传输、 n n BOOTPBOOTP n n talktalk、ntalkntalk、SNMPSNMP、netshownetshow n n NATNAT技术只是技术只是IPV4IPV4向向IPV6IPV6过渡时期的临时解决方案过渡时期的临时解决方案 授人以鱼不如授人以渔 朱明工作室 总结总结 n n 随着因特网的增长，主干因特网路由选择表中的随着因特网的增长，主干因特网路由选择表中的IPIP路路 由数量也在增加，这引发了路由选择算法的扩展问题。由数量也在增加，这引发了路由选择算法的扩展问题。 于是