网络地址转换(NAT).ppt

第10章,网络地址转换(NAT),本章目标,了解地址转换（NAT）的作用和工作原理 了解各种NAT术语 理解NAT的各种应用：转换内部LAN地址、复用内部地址、负载均衡和处理地址交叉 掌握NAT的配置和排错,本章结构,网络地址转换NAT/PAT,NAT的优势缺点,NAT的概念,NAT的术语,NAT概念和术语,NAT的配置,NAT的应用,NAT的检查与排错,静态NAT的配置,动态NAT的配置,PAT的配置,TCP负载均衡配置,用NAT解决地址交叉的问题,网络地址转换概述4-1,地址转换的提出背景 合法的IP地址资源日益短缺 一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换 地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用 地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务,NAT的原理 改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换,网络地址转换概述4-2,局域网,PC2,PC1,Internet,网络地址转换概述4-3,地址转换,网络地址转换概述4-4,NAT的3种实现方式 静态转换(一对一的转换) 动态转换（多对多的转换） 端口多路复用 （地址及端口的转换）,使用双向NAT可以处理地址交叉的情况 使用两个方向上的动态NAT 会用到4种类型的地址,NAT的术语2-1,公司合并，可能导致地址交叉,NAT的术语,自己用的拖鞋代表内部局部地址, 给别人用的拖鞋代表外部局部地址 自己用的皮鞋代表内部全局地址, 别人穿的皮鞋代表外部全局地址;,NAT的术语2-2, 外部主机B, 外部主机C,internet,,主机A,NAT的优缺点,NAT的优点 节省公有合法IP地址 处理地址交叉 增强灵活性 安全性 NAT的缺点 延迟增大 配置和维护的复杂性 不支持某些应用,NAT支持的数据流,,,,2 NAT转换表,4,3, 外部主机B, 外部主机C,转换LAN内部地址,Internet,复用LAN的内部地址,2 NAT转换表,4,3, 外部主机B, 外部主机C,Internet,,,,虚拟主机,Internet,,,,4,3,2 NAT转换表,1,5, 外部主机B, 外部主机C,27,TCP负载均衡,NAT配置,NAT配置步骤 1、接口IP地址配置 2、使用访问控制列表定义哪些内部主机能做NAT 3、决定采用什么公有地址，静态或地址池 4、指定地址转换映射 5、在内部和外部端口上启用NAT,静态NAT配置3-1,Internet,NAT外部端口,NAT内部端口,内部网络,-/24,29,,将内部网络地址-, 转换为合法的外部地址30-34,第一步： 设置外部端口 第二步 ：设置内部端口 第三步： 在内部本地和内部合法地址之间建立静态地址转换 第四步：在内部和外部端口上启用NAT,Router(config)#ip nat inside source static 30 Router(config)#ip nat inside source static 31 ,Router(config)#interface serial 0/0 Router(config-if)#ip address 29 48,Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address ,Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside,静态NAT配置3-2,静态NAT配置3-3,Internet,2 NAT转换,,29,NAT转换表,,,, 外部主机, 外部主机,Internet,NAT外部端口,NAT内部端口,内部网络,-/24,29,,将内部网络地址-54转换为合法的外部地址30-90,动态NAT配置4-1,Internet,动态NAT配置4-2,第一步： 设置外部端口IP地址 第二步： 设置内部端口IP地址 第三步：定义内部网络中允许访问外部的访问控制列表,Router(config)#interface serial 0/0 Router(config-if)#ip address 29 92,Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address ,Router(config)#access-list 1 permit 55,动态NAT配置4-3,第四步：定义合法IP地址池 第五步：指定网络地址转换映射 第六步：在内部和外部端口上启用NAT,Router(config)#ip nat inside source list 1 pool test0,Router(config)#ip nat pool test0 30 90 network 92,Router(config)#Interface serial 0/0 Router(config-if)#Ip nat outside Router(config)#Interface fastethernet 0/0 Router(config-if)#Ip nat inside,Internet,,2 NAT转换, 外部主机, 外部主机,,,,29,NAT转换表,动态NAT配置4-4,Internet,NAT外部端口,NAT内部端口,内部网络,-54/24,29,,将内部网络地址-54，转换为合法的外部地址30,PAT配置9-1,第一步 ：设置外部端口IP地址 第二步： 设置内部端口IP地址 第三步 ：定义内部网络中允许访问外部的访问控制列表,Router(config)#interface serial 0/0 Router(config-if)#ip address 29 92,Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address ,Router(config)#access-list 1 permit 55,PAT配置9-2,第三步：定义合法IP地址池 第五步：指定网络地址转换映射 第六步：在内部和外部端口上启用NAT,Router(config)#ip nat inside source list 1 pool onlyone overload,Router(config)#ip nat pool onlyone 30 30 netmask 48,Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside,PAT配置9-3,PAT配置9-4,Internet,2 NAT转换, 外部主机, 外部主机,,29,NAT转换表,,,54,地址转换过程中，也直接使用接口的IP地址作为转换后的源地址,Internet,局域网 -254/24,PC2,PC1,S0:2,PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址,PAT配置9-5,Internet,NAT外部端口,NAT内部端口,内部网络,-54/24,29,10.1.1 .1,将内部网络地址-54，转换为路由器的接口地址29,PAT配置9-6,第一步： 设置外部端口 第二步 ：设置内部端口 第三步 ：定义内部网络中允许访问外部的访问控制列表,Router(config)# interface serial 0/0 Router(config-if)# ip address29 52,Router(config)# interface FastEthernet 0/0 Router(config-if)# ip address ,Router(config)# access-list 1 permit 55,PAT配置9-7,第四步：定义合法IP地址池 直接使用路由器的接口地址，不用定义地址池 第五步：指定网络地址转换映射 第六步： 在内部和外部端口上启用NAT,Router(config)#ip nat inside source list 1 interface serial0/0 overload,Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside,PAT配置9-8,PAT配置9-9,Internet,2 NAT转换, 外部主机, 外部主机,,29,NAT转换表,,,54,第一步： 设置外部端口 第二步：设置内部端口 第三步：为虚拟主机定义一个标准的IP访问控制列表,Router(config)#interface serial0/0 Router(config-if)#ip address 24,Router(config)#interface fastethernet0/0 Router(config-if)#ip address 54 ,Router(config)#access-list 2 permit 27,负载均衡配置3-1,负载均衡配置3-2,第四步：给真实主机定义一个NAT地址集 第五步：设置访问控制列表和NAT地址集之间的映射 第六步：在内部和外部端口上启用NAT,Router(config)#ip nat inside destination list 2 pool real-host,Router(config)#ip nat pool real-host prefix-length 24 type rotary,Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside,负载均衡配置3-3,Internet,2 NAT转换表,,,,27,虚拟主机, 外部主机, 外部主机,NAT检查与排错3-1,常见问题 动态地址池中是否有正确的范围的地址 动态地址池中是否有重复的地址 静态映射的地址与动态地址池中的地址之间是否有重复 访问列表是否指明了要转换的正确地址，是否漏掉一些地址，是否包括了一些不该包括的地址 是否指明了正确的内部和外部接口 不对称路由问题,NAT检查与排错3-2,测试联通性验证NAT配置 命令 show ip nat translations show ip nat statistics,Router# show ip nat translations Pro inside global inside local outside local outside global Tcp 30 - - Tcp 31 - -,NAT检查与排错3-3,s表示源地址是 d表示目的地址是 -表示将地址转换为 ,Routerdebug ip nat Nat:s=-,d= 0 Nat:s=, d=- 0 Nat:s=-, d= 1,NAT的debug调试,清除NAT表的条目,验证和监控PAT,测试网络联通性 命令 show ip nat translations show ip nat statistics,Routershow ip nat translations Pro inside global inside local outside local outside global Tcp 207.3