NAT工作原理及其配置步骤ppt课件

第十九章网络地址翻译NAT NAT 网络地址翻译 随着Internet的飞速发展 网上丰富的资源产生着巨大的吸引力接入Internet成为当今信息业最为迫切的需求但这受到IP地址的许多限制首先 许多局域网在未联入Internet之前 就已经运行许多年了 局域网上有了许多现成的资源和应用程序 但它的IP地址分配不符合Internet的国际标准 因而需要重新分配局域网的IP地址 这无疑是劳神费时的工作其二 随着Internet的膨胀式发展 其可用的IP地址越来越少 要想在ISP处申请一个新的IP地址已不是很容易的事了 NAT 网络地址翻译 能解决不少令人头疼的问题它解决问题的办法是 在内部网络中使用内部地址 通过NAT把内部地址翻译成合法的IP地址 在Internet上使用其具体的做法是把IP包内的地址池 内部本地 用合法的IP地址段 内部全局 来替换 ChapterActivities Windows95PC Modem Branchoffice ISDN analog Smalloffice Centralsite FrameRelay PRI BRI BRI FrameRelay Async AAAserver Async SA10 1 1 1 166 1 1 1 SA InsideLocal IPAddress 10 1 1 1 InsideGlobalIP Address 166 1 1 1 NATtable PAT NAT术语NAT功能NAT三种类型 NAT术语 Internet Inside 10 1 1 1 InsideLocalIP Address 10 1 1 1 SimpleNATtable InsideGlobal IPAddress 166 1 1 1 10 1 1 2 HostB 172 20 7 3 A C B A B D SA10 1 1 1 DA10 1 1 1 SA166 1 1 1 DA166 1 1 1 D C 内部本地地址 私有IP 不能直接用于互连网 内部全局地址 用来代替内部本地IP地址的 对外 或在互联网上是合法的的IP地址 NAT功能 InsideLocal IPAddress 10 1 1 1 10 1 1 2 NATtable InsideGlobal IPAddress 196 168 2 2 196 168 2 3 NAT功能 内部网络地址转换复用内部的全局地址TCP负载均衡解决网络地址重叠 Internet Inside 10 1 1 1 10 1 1 2 复用内部的全局地址 将一个内部全局地址用于同时代表多个内部局部地址 主要用IP地址和端口号的组合来唯一区分各个内部主机 目前在公司内普遍应用 复用内部的全局地址 10 1 1 2 1723 10 1 1 1 1024 NATtable 196 168 2 2 1723 196 168 2 2 1024 TCP TCP 10 1 1 3 1492 196 168 2 2 1492 TCP Internet Inside 10 1 1 1 HostB 179 20 7 3 1 3 SA10 1 1 1 DA10 1 1 1 SA196 168 2 2 DA196 168 2 2 10 1 1 2 10 1 1 3 4 5 2 HostC 179 21 7 3 DA196 168 2 2 4 InsideGlobalIP Address Port Protocol InsideLocalIP Address Port 10 1 1 1 NAT三种类型 NAT有三种类型 静态NAT staticNAT NAT池 pooledNAT 和端口NAT PAT 其中静态NAT设置起来最为简单 内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址 多用于服务器 而NAT池则是在外部网络中定义了一系列的合法地址 采用动态分配的方法映射到内部网络 多用于网络中的工作站 PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上 静态NAT staticNAT 语法 第一步 设置外部端口 interfaceserial0ipaddress61 159 62 129255 255 255 248ipnatoutside第二步 设置内部端口 interfaceethernet0ipaddress192 168 0 1255 255 255 0ipnatinside 静态NAT staticNAT 语法 第三步 在内部本地与外部合法地址之间建立静态地址转换 ipnatinsidesourcestatic内部本地地址内部合法地址 示例 ipnatinsidesourcestatic192 168 0 261 159 62 130 将内部网络地址192 168 0 2转换为合法IP地址61 159 62 130ipnatinsidesourcestatic192 168 0 361 159 62 131 将内部网络地址192 168 0 3转换为合法IP地址61 159 62 131ipnatinsidesourcestatic192 168 0 461 159 62 132 将内部网络地址192 168 0 4转换为合法IP地址61 159 62 132至此 静态地址转换配置完毕 NAT静态映射实例 interfaceEthernet0ipaddress172 16 1 1255 255 255 0ipnatinside 指定内部接口 interfaceSerial0ipaddress200 1 1 1255 255 255 0ipnatoutside 指定外部接口 ipnatinsidesourcestatic172 16 1 3200 1 1 1 建立两个IP地址之间的静态映射 ipclasslessiproute0 0 0 00 0 0 0200 1 1 2 注意 从外网到内网建立静态映射后 外网能PING通内部全局地址 200 1 1 1 如果使用真实地址 则访问失败 这是因为从外网没有到达内网的路由存在 Ping172 16 1 3 Ping200 1 1 5 动态NAT pooledNAT 语法 第一步 设置外部端口 设置外部端口命令的语法如下 ipnatoutside示例 interfaceserial0 进入串行端口serial0ipaddress61 159 62 129255 255 255 192 将其IP地址指定为61 159 62 129 子网掩码为255 255 255 192ipnatoutside 将串行口serial0设置为外网端口注意 可以定义多个外部端口 动态NAT pooledNAT 语法 第二步 设置内部端口 设置内部接口命令的语法如下 ipnatinside示例 interfaceethernet0 进入以太网端口Ethernet0ipaddress172 16 100 1255 255 255 0 将其IP地址指定为172 16 100 1 子网掩码为255 255 255 0ipnatinside 将Ethernet0设置为内网端口 注意 可以定义多个内部端口 动态NAT pooledNAT 语法 第三步 定义合法IP地址池 定义合法IP地址池命令的语法如下 ipnatpool地址池名称起始IP地址终止IP地址子网掩码示例 ipnatpoolchinanet61 159 62 13061 159 62 190netmask255 255 255 192 指明地址缓冲池的名称为chinanet IP地址范围为61 159 62 130 61 159 62 190 子网掩码为255 255 255 192 需要注意的是 即使掩码为255 255 255 0 也会由起始IP地址和终止IP地址对IP地址池进行限制 或ipnatpooltest61 159 62 13061 159 62 190prefix length26 动态NAT pooledNAT 语法 第四步 定义内部网络中允许访问Internet的访问列表 定义内部访问列表命令的语法如下 access list标号permit源地址通配符 其中 标号为1 99之间的整数 示例 access list1permit172 16 100 00 0 0 255 允许访问Internet的网段为172 16 100 0 172 16 100 255 反掩码为0 0 0 255 需要注意的是 在这里采用的是反掩码 而非子网掩码 反掩码与子网掩码的关系为 反掩码 子网掩码 255 255 255 255 例如 子网掩码为255 255 0 0 则反掩码为0 0 255 255 子网掩码为255 255 255 192 则反掩码为0 0 0 63 动态NAT pooledNAT 语法 第五步 实现网络地址转换 在全局设置模式下将由access list指定的内部本地地址与指定的内部合法地址池进行地址转换 命令语法如下 ipnatinsidesourcelist访问列表标号pool内部合法地址池名字示例 ipnatinsidesourcelist1poolchinanet至此 动态地址转换设置完毕 ipnatpooldyn nat192 16 2 1192 16 2 254netmask255 255 255 0ipnatinsidesourcelist1pooldyn nat interfaceEthernet0ipaddress10 1 1 1255 255 255 0ipnatinside interfaceSerial0ipaddress192 16 2 1255 255 255 0ipnatoutside access list1permit10 1 1 00 0 0 255 动态NAT的配置 Translatebetweeninsidehostsaddressedfrom10 1 1 0 24tothegloballyunique192 16 2 0 24network Thisinterfaceconnectedtotheoutsideworld Thisinterfaceconnectedtotheinsidenetwork 端口复用动态地址转换 PAT 语法 第一步 设置外部端口 interfaceserial0ipaddress202 99 160 1255 255 255 252ipnatoutside 端口复用动态地址转换 PAT 语法 第二步 设置内部端口 interfaceethernet0ipaddress10 100 100 1255 255 255 0ipnatinside 端口复用动态地址转换 PAT 语法 第三步 定义合法IP地址池 ipnatpoolonlyone202 99 160 2202 99 160 2netmask255 255 255 252 指明地址缓冲池的名称为onlyone IP地址范围为202 99 160 2 子网掩码为255 255 255 252 由于本例只有一个IP地址可用 所以 起始IP地址与终止IP地址均为202 99 160 2 如果有多个IP地址 则应当分别键入起止的IP地址 端口复用动态地址转换 PAT 语法 第四步 定义内部访问列 access list1permit10 100 100 00 0 0 255允许访问Internetr的网段为10 100 100 0 10 100 100 255 子网掩码为255 255 255 0 需要注意的是 在这里子网掩码的顺序跟平常所写的顺序相反 即0 0 0 255 端口复用动态地址转换 PAT 语法 第五步 设置复用动态地址转换 在全局设置模式下 设置在内部的本地地址与内部合法IP地址间建立复用动态地址转换 命令语法如下 ipnatinsidesourcelist访问列表号pool内部合法地址池名字overload示例 ipnatinsidesourcelist1poolonlyoneoverload 以端口复用方式 将访问列表1中的私有IP地址转换为onlyoneIP地址池中定义的合法IP地址 注意 overload是复用动态地址转换的关键词 PAT的配置 ipnatpoolovrld nat192 16 2 1192 16 2 2netmask255 255 255 0ipnatinsidesourcelist1poolovrld natoverload interfaceEthernet0 0ipaddress10 1 1 1255 255 255 0ipnatinside interfaceSerial0 0ipaddress192 16 2 1255 255 255 0ipnatoutside access list1permit10 1 1 00 0 0 255 Router shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192 2 2 1 1100310 1 1 1 11003172 16 2 2 23172 16 2 2 23tcp192 2 2 1 106710 1 1 2 1067172 16 2 3 23172 16 2 3 23 VerifyingNAT AtranslationforaTelnetisstillactive TwodifferentinsidehostsappearontheoutsidewithasingleIPaddress BasicIPaddresstranslation UniqueTCPportnumbersareusedtodistinguishbetweenhosts Router showipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobal 192 2 2 110 1 1 1 192 2 2 210 1 1 2 IPaddresstranslationwithoverloading Router debugipnatNAT s 10 1 1 1 192 16 2 1 d 172 166 2 2 0 NAT s 172 166 2 2 d 192 16 2 1 10 1 1 1 0 NAT s 10 1 1 1 192 16 2 1 d 172 166 2 2 1 NAT s 10 1 1 1 192 16 2 1 d 172 166 2 2 2 NAT s 10 1 1 1 192 16 2 1 d 172 166 2 2 3 NAT s 172 166 2 2 d 192 16 2 1 10 1 1 1 1 NAT s 10 1 1 1 192 16 2 1 d 172 166 2 2 4 NAT s 10 1 1 1 192 16 2 1 d 172 166 2 2 5 NAT s 10 1 1 1 192 16 2 1 d 172 166 2 2 6 NAT s 172 166 2 2 d 192 16 2 1 10 1 1 1 2 TroubleshootingNAT Anexampleaddresstranslationinside to outside Areplytothepacketsent AnexampleTCPconversation inside to outside Indicatestranslationwasinthefastpath ClearingNATTranslationEntries Allentriesarecleared 192 16 2 2iscleared Router shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192 16 2 1 1100310 1 1 1 11003172 16 2 2 23172 16 2 2 23tcp192 16 2 1 106710 1 1 2 1067172 16 2 3 23172 16 2 3 23router clearipnattrans router router showipnattrans router showipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaludp192 16 2 2 122010 1 1 2 1120171 69 2 132 53171 69 2 132 53tcp