NAT地址转换原理及配置PPT课件.ppt

NAT地址转换原理及配置,ISSUE1.1,日期：,掌握NAT的工作原理熟悉NAT的配置实现了解NAT监控调试方法常见组网及故障排查方法,课程目标,学习完本课程，您应该能够：,NAT工作原理NAT配置实现NAT验证及调试NAT常见组网,目录,NAT,地址转换是在IP地址日益短缺的背景下出现的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了使所有的内部主机都可以访问Internet，需要进行地址转换。地址转换技术可以有效隐藏局域网内的主机，是一种有效的网络安全保护技术。地址转换可以按照用户的需要，在局域网内向外提供FTP、WWW、Telnet等服务。,地址类别（公有地址和私有地址）,公有地址和私有地址公有地址是因特网上全球唯一的IP地址，由IANA统一分配。私有地址为RFC规定的保留IP地址段，仅用于内部网，不能与Internet直接通信。,NAT基本概念,BasicNAT,NAPT,ALG,ALG：有些应用层协议在数据中携带IP地址或端口信息，对它们作NAT时需要同时修改上层数据中的IP地址或端口信息。一些非TCP、UDP的协议（如ICMP、PPTP）作上层NAT时，需要对它们的特征参数（如ICMP的ID参数）进行转换。,,HostA,RTA,54/24,/24,HostB,,Internet,HostC,/24,1,3,2,4,5,5001,12002,NATtable,InsideAddressPort,1024,12001,GlobalAddressPort,“S=P=5001”,“S=1P=2002”,FTPControl通道,FTPData通道,address-group1（10）,NATDNSmapping,NAT工作原理NAT配置实现NAT验证及调试NAT常见组网,目录,EASYIP,EasyIP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。在接口视图下配置：natoutboundacl-number,StaticNAT,静态映射：在内部私有IP与外部公用IP之间建立一对一的映射关系。配置如下：（全局）natstaticip-addr1ip-addr2（接口）natoutboundstatic,多对多NAT,AddressPool：连续IP地址的集合，用于为内部用户动态分配公用地址。配置如下：（全局）nataddress-grouppool-numberstart-addrend-addr（接口）natoutboundacl-numberaddress-grouppool-numberno-pat注：no-pat指基于IP的地址转换，缺省为pat方式。,NATServer,内部服务器：将（外部地址、端口）映射到内部的服务器上，使外部网络可访问内部服务器。配置如下：（接口）natserveracl-numberprotocolpro-typeglobalglobal-addrglobal-portinsidehost-addrhost-port,NAT工作原理NAT配置实现NAT验证及调试NAT常见组网,目录,验证调试,显示地址转换信息displaynataddress-group|aging-time|all|outbound|server|statistics|session|slotslot-number|sourceglobalglobal-addr|sourceinsideinside-addr|destionationip-addr调试地址转换过程debuggingnatalg|event|packetinterfaceinterface-typeinterface-number清除地址转换连接resetnatsession,NAT工作原理NAT配置实现NAT验证、调试NAT常见组网,目录,（一）EasyIPandStaticNAT,组网：HostA访问HostC时使用EasyIP转换，同时在RTA上为HostB提供静态映射地址。,（一）配置实现,RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000natoutboundstaticaclnumber2000rule0permitsource55natstaticiproute-static0,RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress,（二）内部服务器,组网：RTA上配置内部服务器，使HostC能够访问内网的FTP服务器。当HostA访问HostC时使用address-group1中的地址。,（二）配置实现,RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000address-group1natserver3000protocoltcpglobal0httpinsidehttpaclnumber2000rule0permitsource55aclnumber3000rule0permitipsource0destination0rule1denyipnataddress-group110iproute-static0,RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress,内部服务器（续）,组网：PC机同时要实现使用公网域名与公网IP访问访问内部服务器,配置实现（续）,路由器配置命令(MSR最新版本)interfaceGigabitEthernet0/1#外网口portlink-moderoutenatoutbound2000natserverprotocoltcpglobalwwwinsidewwwipaddress,路由器配置命令（MSR之前版本）H3C-acl-adv-3000rule0permitipsource55destination0interfaceGigabitEthernet0/0#内网口H3C-GigabitEthernet0/0natoutbound3000H3C-GigabitEthernet0/0natserverprotocoltcpglobalwwwinsidewww,（三）双出口地址转换,组网：用户有多条Internet出口线路，通往Public1和Public2，要求HostA访问Public1时用address-group1地址，访问Public2时用address-group2地址。,（三）配置实现,RTA配置interfaceEthernet0/0ipaddress54interfaceEthernet0/1ipaddressnatoutbound2000address-group1interfaceEthernet1/0ipaddressnatoutbound2000address-group2aclnumber2000rule0permitsource55nataddress-group110nataddress-group210iproute-static24iproute-static24,RTB配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddressRTC配置interfaceEthernet0/0ipaddressinterfaceEthernet0/1ipaddress,双出口（续）,组网：同一台设备多个公网出口，不同的外网用户从对应的接口访问内部服务器，并且返回数据按照原路返回,NAT的应用场合NAT的基本工作原理NAT的分类NAT的基本配置实现NAT的验证及调试方法,本章总结,参考资料,RFC2663IPNetworkAddressTranslator(NAT)Terminologyan