网络地址转换(NAT)概述要点

-网络地址转换(NAT)概述,CCNA(640-802),网络地址转换概述4-1,地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务,NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换,网络地址转换概述4-2,局域网,PC2,PC1,Internet,网络地址转换概述4-3,地址转换,网络地址转换概述4-4,NAT的3种实现方式静态转换动态转换端口多路复用,使用双向NAT可以处理地址交叉的情况使用两个方向上的动态NAT会用到4种类型的地址,NAT的术语2-1,公司合并，可能导致地址交叉,NAT的术语2-2,外部主机B,外部主机C,,内部主机A,王家村的狗蛋，全名为王建临,李家村的狗蛋，全名为李家成,狗蛋这种名字最好不要被外人知道，自家人知道就够了。自己对外公布的是全名。（假设姓名不重复）,internet,A,B,对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。事实上，所有的地址转换工作就是在对这四个地址进行反复的变化。因此下面的例子用十分形象和生活化的内容来解释了四个地址之间的关系。注释：自有网络：归自己管理，进行IP规划的网络私有主机：属于自有网络的主机四个术语的内容：insidelocal(内部本地地址)insideglobal(内部全局地址)outsidelocal(外部本地地址)outsideglobal(外部全局地址),对于这四个地址的解释如下：insidelocal(内部本地地址)：在自有网络中分配给私有主机的地址，一般情况下该地址是RFC1918中定义的私有地址。insidelocal地址的特点是只会出现在自有网络中并且一定是给私有主机使用的。insideglobal(内部全局地址)：私有主机在非自有网络中使用的地址，通常情况下insideglobal地址是从合法的全局统一可寻址空间中分配的地址，也就是通常所说的共有IP。insideglobal地址的特点是只会出现在非自有网络中并且一定是给私有主机使用的。outsidelocal(外部本地地址)：非私有主机在自有网络内表现出来的IP地址。该地址是自有网络的管理员为本网络以外的设备所准备的用于在自有网络内使用的IP地址。outsidelocal地址的特点是只会出现在自有网络内但是是供给非私有主机使用的。outsideglobal(外部全局地址)：非私有主机在自有网络以外的区域使用的IP地址，是非私有主机所在网络的管理员负责管理个分配的。outsideglobal地址的特点是不会出现在自有网络中而且不是给私有主机使用，不归自有网络的管理员负责。,为便于理解采用如下例子：insidelocal自己在家里穿的拖鞋insideglobal自己上班时穿的皮鞋outsidelocal朋友到家里访问给朋友准备的拖鞋outsideglobal朋友自己的鞋，随便是他的拖鞋或是皮鞋inside代表自己，outside代表别人，local代表自己家，global代表外面。insidelocal就是自己在家里活动的时候肯定需要穿拖鞋，这个拖鞋就相当于IP地址，可以看出来这种地址不会穿在别人脚上，而且不会在家里以外的地方去穿。insideglobal就是自己上班时肯定要穿的皮鞋，这个皮鞋一定是给自己穿的，但是一定不会在家里穿而是要在外面穿。outsidelocal就是别人来家里访问的时候自己给这个客人准备的拖鞋，因此不会出现在外面，而且也不会是自己穿。outsideglobal别人自己的鞋，无论是拖鞋还是皮鞋反正不会出现在自己家里，也不会是自己穿。所以insdielocal地址一般都是私有地址，insideglobal地址多数情况下是共有地址但是在解决地址交叉问题时也可能是私有地址，outsidelocal地址并不固定因为只是外部主机在自有网络的代表所以私有和公有地址都可以，outsideglobal地址和自己没有任何关系所以私有或公有地址也都可以。,NAT的优缺点,NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性NAT的缺点延迟增大配置和维护的复杂性不支持某些应用,NAT支持的数据流,,,,2NAT转换表,4,3,外部主机B,外部主机C,转换LAN内部地址,Internet,复用LAN的内部地址,2NAT转换表,4,3,外部主机B,外部主机C,Internet,,,,-配置网络地址转换(NAT),CCNA(640-802),NAT配置,NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池4、指定地址转换映射5、在内部和外部端口上启用NAT,静态NAT配置3-1,Internet,NAT外部端口,NAT内部端口,内部网络,-/24,29,,将内部网络地址-,转换为合法的外部地址30-34,第一步：设置外部端口第二步：设置内部端口第三步：在内部本地和内部合法地址之间建立静态地址转换第四步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcestatic30Router(config)#ipnatinsidesourcestatic31,Router(config)#interfaceserial0/0Router(config-if)#ipaddress2948,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress,Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside,静态NAT配置3-2,静态NAT配置3-3,Internet,2NAT转换,,29,NAT转换表,,,,外部主机,外部主机,Internet,NAT外部端口,NAT内部端口,内部网络,-/24,29,,将内部网络地址-54转换为合法的外部地址30-90,动态NAT配置4-1,Internet,动态NAT配置4-2,第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表,Router(config)#interfaceserial0/0Router(config-if)#ipaddress2992,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress,Router(config)#access-list1permit55,动态NAT配置4-3,第四步：定义合法IP地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcelist1pooltest0,Router(config)#ipnatpooltest03090netmask92,Router(config)#Interfaceserial0/0Router(config-if)#IpnatoutsideRouter(config)#Interfacefastethernet0/0Router(config-if)#Ipnatinside,Internet,,2NAT转换,外部主机,外部主机,,,,29,NAT转换表,动态NAT配置4-4,Internet,NAT外部端口,NAT内部端口,内部网络,-54/24,29,,将内部网络地址-54，转换为合法的外部地址30,PAT配置9-1,第一步：设置外部端口IP地址第二步：设置内部端口IP地址第三步：定义内部网络中允许访问外部的访问控制列表,Router(config)#interfaceserial0/0Router(config-if)#ipaddress2992,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress,Router(config)#access-list1permit55,PAT配置9-2,第三步：定义合法IP地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcelist1poolonlyoneoverload,Router(config)#ipnatpoolonlyone3030netmask48,Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside,PAT配置9-3,PAT配置9-4,Internet,2NAT转换,外部主机,外部主机,,29,NAT转换表,,,54,地址转换过程中，也直接使用接口的IP地址作为转换后的源地址,Internet,局域网-254/24,PC2,PC1,S0:2,PC1和PC2可以直接使用S0接口的IP地址作为地址转换后的公用IP地址,PAT配置9-5,Internet,NAT外部端口,NAT内部端口,内部网络,-54/24,29,,将内部网络地址-54，转换为路由器的接口地址29,PAT配置9-6,第一步：设置外部端口第二步：设置内部端口第三步：定义内部网络中允许访问外部的访问控制列表,Router(config)#interfaceserial0/0Router(config-if)#ipaddress2952,Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddress,Router(config)#access-list1permit55,PAT配置9-7,第四步：定义合法IP地址池直接使用路由器的接口地址，不用定义地址池第五步：指定网络地址转换映射第六步：在内部和外部端口上启用NAT,Router(config)#ipnatinsidesourcelist1interfaceserial0/0overload,Router(config)#interfaceserial0/0Router(config-if)#ipnatoutsideRouter(config)#interfacefastethernet0/0Router(config-if)#ipnatinside,PAT配置9-8,PAT配置9-9,Internet,2NAT转换,外部主机,外部主机,,29,NAT转换表,,,54,NAT检查与排错3-1,常见问题动态地址池中是否有正确的范围的地址动态地址池中是否有重复的地址静态映射的地址与动态地址池中的地址之间是否有重复访问列表是否指明了要转换的正确地址，是否漏掉一些地址，是否包括了一些不该包括的地址是否指明了正确的内部和外部接口不对称路由问题,NAT检查与排错3-2,测试联通性验证NAT配置命令showipnattranslationsshowipnatstatistics,Router#showipnattranslation