TCP-IP教学课件资料：NAT

NAT讲授内容NAT概述NAT分类NAT概述4NAT概念NAT（Networkaddresstranslation）（RFC1631中规定）作为一种过渡解决手段，可以用来减少对全球合法IP地址的需求。简单的说，NAT就是在内部专用网络中使用内部地址，而当内部节点要与外界网络发生联系时，就在边缘路由器或者防火墙处，将内部地址转换成全局地址，从而使得在外部公共网（Internet）上使用一个和数个合法IP地址正常传输数据。5内部地址：是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，如果不通过路由器它是不能被外部不同的IP网段访问到的。内部地址也称私有地址，它是可以随机挑选。但是通常使用的是RFC1918中定义的NAT专用地址：

--55；

--55；

--55。

其中10.X.X.X地址最常用也是NAT推荐的一种地址。NAT概念6全局地址，是指合法的IP地址，它是由NIC（国际IP授权机构）或者网络服务提供商分配的地址，对外代表一个或多个内部地址，是全球统一的可寻址的地址即可路由地址。NAT概念7NAT的优点节省IP资源，解决IP地址短缺。可以实现服务器TCP负载均衡，维持TCP会话。连接地址池中的IP是可以是虚拟IP，不一定需要配置在物理接口上，这样维护起来比较方便。可以解决地址重叠问题。8NAT的缺点增加了延迟隐藏了端对端的IP地址，不利于某些程序的使用不便于跟踪、管理一台主机多IP地址（内部、外部），就需要多台DNS（内部、外部）。设置不好，会出现管理噩梦。9NAT术语内部本地地址，内部全球地址，外部本地地址，外部全球地址。PC1是区域网（内部网络）中一台主机，通过网关访问外部网络，它在内部网络中的IP地址是，是内部所有保留地址，不合法，若以此IP地址为源访问外部网络，将不会被认识。需要网关gateway做NAT地址转换，把源地址转换成网关接入外部网络的IP地址X.X.X.X（X.X.X.X和Y.Y.Y.Y都是合法的IP地址，是可以在外部网络直接路由的地址）。1．此时当PC1访问PC2时，它需要发送数据包，以Y.Y.Y.Y为目的，以为源。10NAT术语内部本地地址，内部全球地址，外部本地地址，外部全球地址。2．到达gateway，gateway会转发数据包给外部网络，并把数据包修改为以Y.Y.Y.Y为目的，以X.X.X.X为源。3．PC2接收到此数据包，会以X.X.X.X为目的，以Y.Y.Y.Y为源，发送返回数据包。4．到达gateway，gateway会转发数据包给内部网络，并把数据包修改为以为目的，以Y.Y.Y.Y为源。11NAT术语内部本地地址，内部全球地址，外部本地地址，外部全球地址。其中：就是PC1的内部本地地址。X.X.X.X是PC1的内部全球地址。Y.Y.Y.Y是PC2的外部全球地址。是PC2的外部本地地址。（用于外网始发会话，访问内网时的转换用）12NAT范例内部网络：192.168.1.x，Internet接口IP为02主机访问Internet中WebServer的过程。Internet局域网A076TCP端口:80WebServer02Web浏览器TCP端口：102513NAT范例（转换过程）Internet局域网076TCP端口:802Web浏览器TCP端口：1025WebServer0目标IP地址：76源IP地址：2目标端口：80源端口：1025目标IP地址：76源IP地址：0目标端口：80源端口：5000目标IP地址：0源IP地址：76目标端口：5000源端口：80目标IP地址：2源IP地址：

76目标端口：

1025源端口：

80映射表：2,10250,500076,8014NAT的工作原理网络地址转换器NAT

位于使用专用地址的Intranet和使用公用地址的Internet之间。从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。说明：

1、这样在内网中计算机使用未注册的专用IP地址，而在与外部网络通信时使用注册的公用IP地址，大大降低了连接成本。

2、同时NAT也起到将内部网络隐藏起来，保护内部网络的作用，因为对外部用户来说只有使用公用IP地址的NAT是可见的。15NAT的工作原理16NAT的工作原理（1）客户机将数据包发给运行NAT的计算机。（2）NAT将数据包中的端口号和专用的IP地址换成它自己的端口号和公用的IP地址，然后将数据包发给外部网络的目的主机，同时记录一个跟踪信息在映像表中，以便向客户机发送回答信息。（3）外部网络发送回答信息给NAT。（4）NAT将所收到的数据包的端口号和公用IP地址转换为客户机的端口号和内部网络使用的专用IP地址并转发给客户机。17NAT的工作原理NAT工作过程中的两次地址转换：对于来自NAT协议的传出数据包，源IP地址(专用地址)被映射到ISP分配的地址(公用地址)，并且TCP/UDP端口号也会被映射到不同的TCP/UDP端口号。对于到NAT协议的传入数据包，目标IP地址(公用地址)被映射到源Internet地址(专用地址)，并且TCP/UDP端口号被重新映射回源TCP/UDP端口号。NAT分类19NAT地址转换类型NAT地址转换有两种主要类型：静态转换（StaticTranslation）动态转换（DynamicTranslations）20NAT地址转换类型静态转换（StaticTranslation）：是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。静态转换InternetInsideInsideLocalIPAddressSimpleNATtableInsideGlobalIPAddressHostBACBABDSADASADA22NAT地址转换类型

动态转换，增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用的全局地址地址集定义成NAT池（NATpool）。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态的从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。这样，网络的灵活性大大增强了，所需要的全局地址进一步的减少。值得注意的是，当NAT池中的全局地址被全部占用以后，以后的地址转换的申请会被拒绝。这样会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换是动态的，所以同一个节点在不同的连接中的全局地址是不同的，这会使snmp的操作复杂化动态转换:1723:1024NATtable:1723:1024:23:23TCPTCP:1723:1492:23TCPInternetInsideHostB13SADASADA452HostCDA4InsideGlobalIPAddress:PortOutsideGlobalIPAddress:PortProtocolInsideLocalIPAddress:Port1、静态NAT：将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法IP地址足够多，可以与内部IP地址一一对应。静态NAT一般用于那些需要固定的合法IP地址的主机，比如Web服务器、FTP服务器、E-mail服务器等。配置命令：Router(config)#

ipnatinsidesourcestatic内部地址外部地址另外，还需要把E0口指定为NAT内部接口，S0口指定为NAT外部接口。E0S0静态NAT的配置：例：Router(config)#

ipnatinsidesourcestaticRouter(config)#

ipnatinsidesourcestaticRouter(config)#

interfacee0Router(config-if)#

ipnatinsideRouter(config-if)#

interfaces0Router(config-if)#

ipnatoutside配置完成后，从外网来看，PC1的IP地址是，PC2的IP地址是，各计算机都可用此IP地址访问PC1和PC2。用showipnattranslation命令可查看活跃的转换。（静态NAT始终是活跃的）用showipnatstatistics命令可查看转换的统计信息。静态NAT是一直存在的，管理员可以用“no”命令删除静态NAT条目。2、NAT池（动态NAT）：将多个合法IP地址统一的组织起来，构成一个IP地址池，当有主机需要访问外网时，就分配一个合法IP地址与内部地址进行转换，当主机用完后，就归还该地址。对于NAT池，如果同时联网用户太多，可能出现地址耗尽的问题。NAT池动态NAT的配置：NAT池主要工作：建立一个IP地址池。设定被转换的IP地址范围。建立转换关系。设定转换的入口和出口。动态NAT的配置：1、建立IP地址池Router(config)#

ipnatpool地址池名字起始IP结束IPnetmask子网掩码例：建立一个地址范围为~0/24的IP地址池。Router(config)#

ipnatpoolP10netmaskP1是地址池的名字。说明：地址池中的地址应该是经过注册的合法IP地址。动态NAT的配置：2、设定被转换的地址范围：被转换的地址范围使用标准访问控制列表进行定义。比如：被转换的地址是形如192.168.*.*/24的地址，则可定义：Router(config)#

access-list1permit55说明：这里定义的ACL不是用于数据过滤的，它只是用于指定参与NAT转换的私有地址范围的。所以，我们不必把它用在一个接口上。动态NAT的配置：3、建立被转换的地址和地址池间的关系：Router(config)#

ipnatinsidesourcelistACL表号

pool地址池名字例：把1号ACL定义的地址与名为P1的地址池建立NAT转换关系。Router(config)#

ipnatinsidesourcelist1poolP1说明：经此定义后，每当路由器收到一个数据包，就检测它的源地址，如果和1号ACL相匹配，就使用P1中的地址进行NAT转换。动态NAT的配置：4、指定NAT转换的入口和出口：Router(config)#

interface内部接口Router(config-if)#

ipnatinsideRouter(config)#

interface外部接口Router(config-if)#

ipnatoutside说明：每种NAT都需要指定内部接口和外部接口。3、PAT（端口NAT）：使用端口多路复用技术，将多个内部地址映射为一个合法地址，用不同的端口号区分各个内部地址。这种方法只需要一个合法IP地址。路由器支持的PAT会话数是有限制的，所以使用PAT的局域网，其网络的规模不应该太大。S0:/24PAT（端口NAT）的配置：PAT的配置方法可以使用复用NAT池的配置方法，只要建立一个起始地址和结束地址相同的NAT池就行了。也可以不建立NAT池，用以下命令进行配置：R1(config)#

access-list30permit55R1(config)#

ipnatinsidesourcelist30interfaces0/0overloadR1(config)#

interfacef0/0R1(config-if)#

ipnatinsideR1(config-if)#

interfaces0/0R1(config-if)#

ipnatoutside4、复用NAT池（复用动态NAT）：将多个合法IP地址构成一个NAT池，使用复用技术映射其中的地址，每个地址有可以对应多台主机，各主机用端口进行区分。复用NAT池是NAT池和PAT技术的结合，可用于大规模的局域网。说明：在端口复用技术中，用端口区分的不是一台主机，而是一个网络连接（会话），当一台主机同时建立了多个会话时，它的每个会话会占用一个端口映射。假如一台路由器支持4000个会话，那么它支持的主机数量会远少于4000台。复用NAT池的配置：复用NAT池的配置方法与NAT池的配置方法基本相同，只是：