计算机网络课件_网络地址转换

1、1福建师范大学软件学院FACULTY OF SOFTWARE网络地址转换Network Address Translation 熊金波福建师范大学软件学院2福建师范大学软件学院教学目标（教学目标（ Objectives ）8.1 NAT概述 (NAT Overview)8.2 NAT术语 (NAT Terms) 8.3 NAT操作 (NAT Operation)8.4 NAT分类 (NAT Class)8.5 配置NAT (Configuring NAT)3福建师范大学软件学院问题的提出问题的提出1 校园网、企业、公司或单位内部的网络，这样的网络有什么共同的特征？2 校园网、企业、公司或单位内

2、部的网络，给该网络中每个主机分配一个公共IP地址，这样做可行吗？3 如果内网都使用私有IP地址，通过什么样的方法可以与外网的终端进行通信呢？4 内网中像WWW、Mail服务器等终端需要外网能够方便且稳定地访问，其余主机不需要外网直接访问，在设置NAT时有什么不同呢？如果ISP分配给单位的公共IP地址受限时，又设置什么样的NAT较好呢？4福建师范大学软件学院8.1 NAT概述概述 (NAT Overview) 网络地址转换可以动态改变通过路由器的IP报文的内容(修改报文的源IP地址和/或目的IP地址)。离开路由器的报文的源地址或目的地址会转换成与原来不同的地址。这种功能对于申请了少量IP地址空间

3、，但上网主机的数量远远超过了IP地址数目的组织机构来说十分有用。这不仅可以节省维护公共地址的成本而且可以阻止外部网络直接与内部网络通讯从而达到了一定程度上的安全保证。5福建师范大学软件学院公共地址和私有地址公共地址和私有地址（ Public Address and Private Address）1. 公共IP地址必须被注册 Public Internet addresses must be registered by a company with an Internet authority. 2. 私有IP地址被保留，并可以被任何人使用 Private IP addresses are re

4、served and can be used by anyone. 6福建师范大学软件学院私有地址范围（私有地址范围（Private Address Range）RFC1918定义的私有地址范围7福建师范大学软件学院 1. Inside local address ：分配给内部网络中一台主机的IP地址。可以是RFC1918定义的私有地址，这些地址通常只有内部主机知道。2. Inside global address：从ISP或NIC注册的地址，分配给内部主机的以用于NAT处理的地址。对外进行IP通信时，代表一个或多个内部本地地址的合法IP地址。这种内部主机的地址可以被外部主机看到。 3. Ou

5、tside global address：分配给外部网络上主机的IP地址。 4. Address Pool：NIC或ISP分配使用的多个地址8.2 NAT术语（术语（NAT Terms） 8福建师范大学软件学院NAT术语（术语（NAT Terms） 路由器A的E0端口连接内部网络，是内部端口，S0连接外部的Internet，为外部端口 0为HOST A的内部本地地址 是HOST A的内部全局地址 HOST B拥有一个公共地址：1。该地址对A来说是外部全局地址。9福建师范大学软件学院 1. NAT典型工作在存根网络的边缘，边界路由器(网关)执

6、行NAT功能。 2.在运行NAT的路由器中，当数据包被传送时，NAT可以转换数据包的IP地址和TCP/UDP数据包的端口号。设置NAT功能的路由器至少要有一个Inside（内部）端口和一个Outside（外部）端口。内部端口连接内网的用户，外部端口一般连接到Internet。当IP数据包离开内部网络时，NAT负责将内网IP源地址（通常是私有地址）转换为合法的公共IP地址。当IP数据包进入内网时，NAT路由器检查NAT表，将合法的公共IP目的地址转换为内网的IP源地址。8.3 NAT操作（操作（NAT Operation）10福建师范大学软件学院NAT操作（操作（NAT Operation）11

7、福建师范大学软件学院NAT的局限性的局限性(补充补充) 尽管NAT是一个很有用的工具，它仍然有一些缺陷。主要的问题在于：有些应用程序将源IP地址嵌入到了IP报文的数据部分中。这样，报文的源IP地址在经过NAT的转换之后，就与报文数据部分的IP地址不匹配。那么，这些在报文的数据部分嵌入IP地址的应用程序将不能正常工作。就Cisco设备来说， Cisco路由器实现的NAT能够处理许多将IP地址包含在报文数据部分的应用程序。但对某些应用仍然无法支持。12福建师范大学软件学院NAT的局限性的局限性(补充补充)Cisco NAT支持的应用包括：支持的应用包括：1 在TCP/UDP报文中无源和目的地址的应

8、用数据流 2 在IP报文的数据部分中的IP地址3 ICMP4 FTP5 TCP上的NetBios（除了会话服务）6 RealAudio7 White Pines CUSeeMe8 Streamworks9 DNS “A”和“PTR”查询10 H.32311 NetMeeting12 VDOLive13 Vxtreme以下是以下是Cisco NAT不支不支持的应用：持的应用：1 IP组播2 路由表更新3 DNS域的迁移4 BOOTP5 Talk，ntalk6 SNMP7 NetShow 13福建师范大学软件学院1.静态NAT 将内部本地地址与内部全局地址进行一对一的明确转换。这种方法主要用在内部

9、网络中有对外提供服务的服务器，如WEB、MAIL服务器时。这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。该方法的缺点是需要独占宝贵的合法IP地址。即，如果某个合法IP地址已经被NAT静态地址转换定义，即使该地址当前没有被使用，也不能被用作其它的地址转换。8.4 NAT分类（分类（NAT Class）14福建师范大学软件学院8.4 NAT分类（分类（NAT Class）2. 动态NAT 动态地址转换也是将内部本地地址与内部全局地址进行一对一的转换。但是，是从内部全局地址池中动态地选择一个未使用的地址对内部本地地址进行转换。该地址是由未被使用的地址组成的地址池中在定义时排

10、在最前面的一个。当数据传输完毕后，路由器将把使用完的内部全局地址放回到地址池中，以供其它内部本地地址进行转换。但是在该地址被使用时，不能用该地址再进行一次转换。Pc1:-Pc2:-Pc3:-Pc4:-?15福建师范大学软件学院3. 端口复用(PAT) 复用地址转换也称为端口地址转换（Port Address Translation，PAT），首先是一种动态地址转换。路由器将通过记录地址、应用程序端口等唯一标识一个转换。通过这种转换，可以使多个内部本地地址

11、同时与同一个内部全局地址进行转换并对外部网络进行访问。对于只申请到少量IP地址甚至只有一个合法IP地址，却经常有很多用户同时要求上网的情况，这种转换方式非常有用。 理想状况下，一个单一的IP地址可以使用的端口数为4000个。 8.4 NAT分类（分类（NAT Class）16福建师范大学软件学院PAT特征（特征（PAT Features）17福建师范大学软件学院8.5 配置配置NAT (Configuring NAT)18福建师范大学软件学院静态静态NAT配置实例配置实例 (Static NAT Example)19福建师范大学软件学院静态静态NAT配置实例配置实例 (Static NAT E

12、xample)r1(config)# ip nat inside source static r1(config)# ip nat inside source static r1(config)# interface f0/0r1(config-if)# ip nat inside r1(config)# int s0/0r1(config-if)# ip nat outside 20福建师范大学软件学院静态静态NAT配置实例配置实例 (Static NAT Example)r1# debug ip nat

13、 IP NAT debugging is on00:11:09: NAT: s=-, d= 4093600:11:09: NAT*: s=, d=- 4093600:11:10: NAT*: s=-, d= 40938r1# sh ip nat translations Pro Inside global Inside local Outside local Outside global- 10.1.

14、1.2 - - - -21福建师范大学软件学院动态动态NAT配置实例配置实例 (Dynamic NAT Example)22福建师范大学软件学院动态动态NAT配置实例配置实例 (Dynamic NAT Example)r1(config)# ip nat pool NAT 0 netmask r1(config)# access-list 1 permit 55r1(config)# ip nat inside source list 1

15、 pool NATr1(config)# interface f0/0r1(config-if)# ip nat inside r1(config)# int s0/0r1(config-if)# ip nat outside 23福建师范大学软件学院动态动态NAT配置实例配置实例 (Dynamic NAT Example)r1#sh ip nat translations Pro Inside global Inside local Outside local Outside global 200.20

16、0.200.5 - -r1#clear ip nat translation *r1#sh ip nat translations 24福建师范大学软件学院PAT配置实例配置实例 (PAT Example)25福建师范大学软件学院PAT配置实例配置实例 (PAT Example)r1(config)# ip nat pool NAT netmask r1(config)# access-list 1 permit 55r1(config)# ip nat insi

17、de source list 1 pool NAT overload/ overload 启用PATr1(config)# interface f0/0r1(config-if)# ip nat inside r1(config)# int s0/0r1(config-if)# ip nat outside r1(config)# ip route 26福建师范大学软件学院PAT配置实例配置实例 (PAT Example)r1#sh ip nat translations Pro Inside global Inside localic

18、mp :1792 :1792icmp :1024 :1024 27福建师范大学软件学院NAT应用举例28福建师范大学软件学院NAT应用 1某公司使用一台具有两个Ethernet的路由器。Ethernet0连接到内部网络，而Ethernet1则连接到一个LAN网段。公司与其ISP的路由器共享该网段。在内部网络中，公司使用10. 0. 0. 0/24地址空间中的地址。公司为自己提供一个IP地址或/24。公司路由器的接口使用IP地址，而ISP路由器接口则使用IP地址171.

19、100.1.2，而将那些从/24开始的其余地址留给NAT转换。公司希望在路由器上使用必要的命令，以使其内部用户能够使用ISP所提供的地址空间中的有效，全局可路由的地址，以访问Internet。如下图所示： 29福建师范大学软件学院NAT应用 1拓扑图30福建师范大学软件学院NAT应用 1解决方案r1(config)# ip nat pool internet 54 netmask r1(config)# access-list 1 permit 55r1(con

20、fig)# ip nat inside source list 1 pool internet r1(config)# interface ethernet0r1(config-if)# ip nat inside r1(config)# interface ethernet1r1(config-if)# ip nat outside 31福建师范大学软件学院NAT应用 2公司使用一台具有两个接口的路由器，分别是以太网和串行接口。Ethernet0连接到内部网络，而串行接口则通过点到点协议(PPP)链路连接到ISP路由器。在内部网络中，公司使用的地址来自地址空间/24，该地址空

21、间在Internet上是不可路由的。公司自己使用I P地址范围/24。到ISP的PPP链路使用来自/30子网的地址。公司希望在路由器上配置合适的命令，以便内部用户可以通过使用有效的、全局可路由的地址访问Internet。这些地址应该是来自ISP所提供的地址空间/24。我们打算与上游的ISP路由器交换OSPF更新信息。从而可以从该路由器接收缺省路由，并将其通知ISP路由器，该路由正在公司路由器上使用。32福建师范大学软件学院NAT应用 2拓扑图33福建师范大学软件学院NAT应用 2解决方案r1(config)# interface

22、loopback 0r1(config-if)# ip address r1(config-if)# ip ospf network point-to-point /r1(config)# interface ethernet0r1(config-if)# ip address r1(config-if)# ip nat inside r1(config)# interface serial0r1(config-if)# ip address 52r1

23、(config-if)# ip nat outside r1(config)# access-list 1 permit 55r1(config)# ip nat pool internet 54 netmask r1(config)# ip nat inside source list 1 pool internet r1(config)# router ospf 1r1(config-router)# network 55 area 0r1(c

24、onfig-router)# network 55 area 034福建师范大学软件学院NAT应用 3公司与应用2中的公司相类似，但情况稍有不同。这里公司处于Internet环境中，它决定提供一个能从Internet访问的Web服务器，以便那些浏览Web的用户能够了解公司。该服务器位于内部网络中，并且能够从Internet上的主机访问该服务器。这样它将拥有IP地址00。由于Web服务器必须能够通过Internet来访问，所以这个源IP地址在转发给ISP路由器之前，必须被转换成内部全局缓冲池中的地址。我们为公司We b 服务器选择171.10

25、0.1.100作为其转换成的内部全局地址。如应用2那样，Ethernet0连接到内部网络，而串行接口则通过PPP链路连接到ISP路由器。在内部网络中，公司使用/24中的地址，而全局池中的IP地址范围是/24。在本应用中，我们将假定ISP使用静态路由来找到我们的路由器，其中路由器地址在/24地址范围内。并且ISP将该路由传送到Internet上。 35福建师范大学软件学院NAT应用 3拓扑图36福建师范大学软件学院NAT应用 3解决方案r1(config)# interface ethernet0r1(config-if)# ip ad

26、dress r1(config-if)# ip nat inside r1(config-if)# no shutr1(config)# interface serial0r1(config-if)# ip address 52r1(config-if)# ip nat outside r1(config-if)# no shutr1(config)# access-list 1 permit 55r1(config)# ip nat pool internet

27、prefix-length 24 address 9 address 01 54r1(config)# ip nat inside source static 00 00 /静态NAT转换r1(config)# ip nat inside source list 1 pool internet37福建师范大学软件学院NAT应用 4公司使用一台两接口路由器，一个是Ethernet，另一个是串行接口。Ethernet0连接到内部网络，而串行接口则通过PPP链路连接到ISP路由器。在内部网络中，公司使用/24地址范围内的地址。公司已从其供应商那里获得了一个单