网络通信技术应用 课件 2.10 网络地址转换（NAT）技术

网络地址转换（NAT）技术网络地址转换（NAT）技术网络地址转换原理思科（锐捷）网络地址转换技术华为网络地址转换技术作业十实验9网络地址转换（NAT）技术IP地址，可以分为在英特网（Internet）上使用的公有IP地址和在自治系统AS内使用的私有IP地址两大类。因特网不转发私有IP地址的数据包，可是自治系统AS内却有大量主机使用私有IP地址（私有IP地址的主机占大多数），这些私有IP地址的主机，严格来说是不能访问因特网的。如果要让AS内部具有私有IP地址的主机要访问因特网上的主机，就必须要进行网络地址转换(NetworkAddressTranslation,NAT)——私有/公有IP地址转换。一、网络地址转换原理1.私有IP地址与公有IP地址私有IP地址也叫局部IP地址（或内部IP地址、专用IP地址），公有IP地址也叫全局IP地址（或全球IP地址）。私有IP地址的产生，是因为IPv4地址已经分配完毕，可是联网的主机数却在不断增加，每一台联网的主机或网络层设备，至少需要一个IP地址。但是IPv4地址不够用了。因特网协会规定A、B、C三类地址中各留出一部分作为私有IP地址使用，所有的私有IP地址在每一个自治系统内可以自由使用，但在因特网上不承认、不认识私有IP地址。A类私有IP地址：~55（/8,或10/8）

B类私有IP地址：

~55（/12,或172.16/12）

C类私有IP地址：~55

（/16,或192.168/16）一、网络地址转换原理A、B、C三类IPv4地址中，除了私有IP地址和特殊网络段/8以外，其余都是公有IP地址。因特网只认识公有IP地址（不认识私有IP地址），一般情况下私有IP地址的主机不能与因特网上的主机通信，只有将私有IP地址转换成公有IP地址以后，AS内私有IP地址的主机才能访问因特网。一、网络地址转换原理2.网络地址转换定义、功能与类型（1）网络地址转换定义网络地址转换NAT(NetworkAddressTranslation)是将私有IP地址转化为公有IP地址的转换技术。NAT是实现从一个地址空间转换到另外一个地址空间的行为。具有NAT功能的设备：路由器(Router)、硬件防火墙(FireWall)。（2）网络地址转换的类型网络地址转换NAT可以粗略地分为静态地址转换SAT、动态地址转换NAT两大类。动态地址转换NAT又分为：基本动态地址转换NAT、基于端口号的动态地址转换NAPT1和基于单个物理端口的动态地址转换NAPT2。一、网络地址转换原理（3）NAT网络地址转换的功能在网络自治系统内部网络中使用私有IP地址，而当内部私有IP地址的主机要与外部Internet进行通信时，在内网出口处（路由器或硬件防火墙），将内部IP地址替换成公有IP地址，从而使得内部主机能够正常访问Internet。或者反过来，用地址转换方法，使Internet公有IP的主机能访问内部私有IP主机（服务器）。具体来说，各种地址转换的功能如下。静态地址转换SAT（StaticNetworkAddressTranslation）：固定一对一的IP地址转换，即一个私有IP地址静态（固定）地对应一个公有IP地址。一、网络地址转换原理基本动态地址转换NAT（NetworkAddressTranslation），是变化的IP地址转换。一般设置有一个公有IP地址池。某一时刻一个私有IP地址对应一个公有IP地址（一对一的地址转换），但在一段时间内多个私有IP地址与地址池多个公有IP地址相对应（多对多的地址转换）。NAPT1（NetworkAddressPortsTranslation）基于端口号的动态地址转换，在IP地址后加一个不同的逻辑端口号，这样一个公有IP地址可以与多个私有IP地址相对应，实现某一时刻多个私有IP地址对应一个公有IP地址。NAPT2（NetworkAddressPortsAPort-Translation）基于单一物理端口的动态地址转换，只路由器对外的端口有一个公有IP地址，在这个公有IP地址后添加不同的逻辑端口号，与内网不同的私有IP地址相对应，实现多个私有IP地址与一个公有IP地址的转换。一、网络地址转换原理3.静态地址转换SAT静态地址转换（StaticNAT,SAT）是将内部私有地址与公有地址进行一对一地转换，且需要具体指定进行转换的公有IP地址和私有IP地址。（固定一对一）静态地址转换（映射）技术，主要是为内网具有私有IP的服务器，需要对外(Internet)提供服务时，使因特网上的主机能够访问内网私有IP的服务器（用映射的公有IP地址访问）。一、网络地址转换原理4.动态地址转换NAT（1）基于公有地址池的动态地址转换（NAT）一般动态地址转换NAT是指具有公有地址池的动态地址转换（PooledNAT），当需要进行地址转换时就从公有地址池中选择一个未使用的公有IP地址，与一个私有IP地址建立对应关系，这样一种动态地址转换（瞬时一对一，动态多对多）。图2-10-1所示为基于公有地址池的动态地址转换（NAT）全过程。一、网络地址转换原理（2）基于端口号的地址转换(NAPT1)NAPT1是在地址转换时，将内部多个私有IP映射到公有IP地址池内一个公有IP地址（地址池内有多个公有IP地址），同时在该公有IP地址后面附带一个由路由器选定的TCP端口号，以不同的端口号区别对应不同的私有地址。（瞬时多对一，动态多对多）（3）基于边界路由器外端口的地址转换(NAPT2)NAPT2是将内部多个私有IP，映射到自治系统边界路由器一个对外网的物理接口（该接口配置有公有IP地址），NAT设备在该公有IP地址后附加上一个不同的TCP端口号，分别对应与内网不同的私有IP地址。（瞬时多对一，动态多对一）一、网络地址转换原理5.网络地址转换的优缺点

（1）优点：

①地址转换可以使内部网络用户方便地访问Internet，或者使Internet用户可以访问内网私有IP的服务器（以转换后的公有IP地址访问）。

②地址转换可以使内部局域网的许多主机共用一个（或一组）公有IP地址上网，从而大大节约公有IP地址资源。

③地址转换可以屏蔽内部网络的用户，提高内部网络的安全性。

④地址转换同样可以让内网的服务器给外部网络提供WWW、FTP、Telnet等服务。

⑤地址转换技术可以使得内部局域网的IP地址分配变得容易维护，不会因为公有地址转换的缺乏而不容易合理分配内部局域网IP地址，并且当外网公有IP地址有变化时也不需要改动局域网内部的IP配置。一、网络地址转换原理5.网络地址转换的优缺点（2）缺点：

①地址转换对于报文内容中含有有用地址信息的情况需要做特殊处理。

②地址转换不能处理IP报头加密的情况。

③地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。

④地址转化会增加时延，IP数据报中的源IP、目标IP可能要变化二、思科（锐捷）网络地址转换技术1.思科（锐捷）静态地址转换SAT命令步骤

静态地址转换SAT是将内部私有IP地址与公有IP地址建立一对一的映射关系。(1)定义外网接口

interface??/?

//进入AS边界路由的外接口

ipnatoutside

//指定该接口是外网接口(2)定义所有的内网接口interface

??/?

//进入接口??/?ipnatinside

//指定该接口是内网接口exit//退出接口，回到全局模式(3)建立静态一对一映射关系(全局模式)

ipnatinsidesourcestatic

sourceIP(私有IP)destIP(公有IP)(4)建立自治系统到外网的默认路由(全局模式下)

iproute

nexthop

如果AS之间建立了BGP等外部动态路由，就不需要这一条默认路由命令。(5)查看SAT/NATshowipnatstaticshowipnattranslation(先ping通信，后查看)二、思科（锐捷）网络地址转换技术2.思科（锐捷）基本动态地址转换NAT

基本动态地址转换NAT，在内部建立公有IP地址池，将内部私有IP地址与公有IP地址池，建立瞬时一对一、动态多对多的对应关系。

（1）定义外网接口interface??/?//进入AS边界路由的外连接口??/?ipnatoutside//指定该接口是外网接口

（2）定义所有的内网接口

interface??/?//进入接口??/?

ipnatinside//指定该接口是内网接口......//重复以上2步，定义AS边界路由器所有内网接口

exit//退出接口，回到全局模式二、思科（锐捷）网络地址转换技术2.思科（锐捷）基本动态地址转换NAT（3）用acl标准访问控制列表定义内部私有IP地址段（全局模式）

access-listnpermitx.x.x.xw.w.w.w

//用ACL标准访问控制列表逐个网络段的定义

access-list

npermit

....//n:1~99,x.x.x.x网络地址,w.w.w.w:反掩码（4）建立公有IP地址池（全局模式）

ipnatpool

poolnamestartIPendIPnetmaskm.m.m.m（5）建立映射关系（全局模式）

ipnatinsidesourcelist

npoolpoolname（6）建立自治系统到外网的默认路由

iproute

nexthop

如果AS之间建立了BGP等外部动态路由，就不需要这一条默认路由命令。二、思科（锐捷）网络地址转换技术3.思科（锐捷）基于端口号动态地址转换NAPT1

当IP地址池里的公有IP不够多时，就需采用端口号的IP地址复用NAT技术——NAPT1。

与前述NAT地址转换的第（1）~（4）、（6）条命令完全相同。

只有第5条命令不同，需要在第（5）条命令的后面添加一个关键字overload——基于端口的IP复用，从而建立起基于端口号的多对多地址映射关系

（5）建立映射关系（全局模式）

ipnatinsidesourcelist

npoolpoolnameoverload二、思科（锐捷）网络地址转换技术4.思科（锐捷）基于单一物理接口动态地址转换NAPT2

特殊情况，AS网络系统只有一个可用的公有IP地址（已配置在边界路由器对外接口）此时如何实现内网私IP到公有IP的转换？只能将多个内部私有IP地址和一个对外接口的公有IP地址建立对应关系——NAPT2。NAPT2的前3条命令以及最后1条命令与NAT地址转换的第（1）~（3）、（6）条命令相同，由于没有公有IP地址池,上述第（4）条命令没有了。第（5）条命令.需要指定唯一的对外接口名，内网对边界R外端口的多对一地址映射关系：

ipnatinsidesourcelist

ninterface??/?

overload二、思科（锐捷）网络地址转换技术5.思科(锐捷)SAT与NAPT1综合实例

采用2台思科路由器、3台主机组件如图2-10-2所示的AS内、外网络。Router1是AS内网的边界路由器，Router2是因特网上的路由器，Router1和Router2各添加了一块1FX的光纤接口板，用光纤连接起来。图中PC1和Server0在AS内网，PC2在外网。内网除了有192.168.10/24、/24私有网段外，还有loopback1虚接口(/32)。二、思科（锐捷）网络地址转换技术边界路由器Router1的对外接口配有公有IP地址/29，其所在的公有IP网络段/29，可指派的公有IP地址范围~（其中和已分别在Router2和Router1的光接口fa1/0使用）。

将所有的IP地址都按图2-10-2所示配置好。此时，AS内网所有的IP设备都能互相ping通，譬如从PC1到Server0(6)能ping通，也能访问其Web网页（在Server0的http协议里，先做好网页），但是从内网的私有IP地址主机PC1到外网PC2（）的访问,却不通。如图2-10-3(a)(b)所示。二、思科（锐捷）网络地址转换技术下面在Router1上进行静态地址SAT和基于端口号的动态地址转换NAPT1配置。从公有IP地址网段/29中拿出一个公有地址作为SAT之用，用于与服务器Server0建立映射，将公有地址-作为公有地址池，作NAPT1之用。Router1内外网接口指定:intfa0/0ipnatinsideintfa0/1ipnatinsideintfa1/0ipnatoutsideintloopback1ipadd55exRouter1的SAT与NAPT1主要配置命令:ipnatinsidesourcestatic6access-list12permit55access-list12permithostipnatpoolpool02netmask48ipnatinsidesourcelist12poolpool02overloadiproute二、思科（锐捷）网络地址转换技术在Router1上执行完上述命令以后，在PC1pingPC2()、从PC2pingServer0()、PC2访问Server0的Web网页，都是成功的。见图2-10-4(a)(b)(d)，从内网私有IP地址的主机可以访问万网，外网的主机也可以访问内网作了SAT的服务器。但是，外网的主机PC２就不能主动访问内网任意一个私有IP地址的主机，如图2-10-4(c)所示。

这就达到了SAT和NAPT1应有的目标。二、思科（锐捷）网络地址转换技术经内外网主机之间这样访问过后，我们来用showipnattranslation命令和showipnatstatistics查看路由器Router1上的动态静态地址转换缓存信息。如图2-10-5(a)(b)所示。二、思科（锐捷）网络地址转换技术6.思科(锐捷)NAPT2实例

如果ISP（InternetServiceProvider,因特网服务商）只为AS内网提供了一个可指派的公有IP地址，即AS边界路由器与ISP路由器之间用了一个掩码为/30的公有IP地址子网（譬如：/30），该子网有4个IP地址，可指派的IP地址只有2个（分别为、）。

在图2-10-2的基础上作这样的修改：路由器Router1的fa1/0接口IP地址为/30，路由器Router2的fa1/0接口IP地址为/30，如图2-10-6所示。二、思科（锐捷）网络地址转换技术在这个AS内外网络图上，要使AS内网的所有私有IP地址的主机都能访问外网主机，就只能做基于单一物理端口的动态网络地址转换NAPT2方法了。

图2-10-6所示的这个网络是在图2-10-2的基础上修改而成。于是先来修改已经变化的配置参数。Router2只要修改fa1/0接口地址就可以了。Router2变更配置参数命令:intfa1/0ipadd52noshutRouter1基础配置命令:intfa0/0ipnatinsideintfa0/1ipnatinsideintfa1/0ipadd52noshutipnatoutsideintloopback1ipadd55ipnatinsideexit//返回全局模式二、思科（锐捷）网络地址转换技术Router1的NAPT2主要配置命令:access-list13permit55access-list13permithostipnatinsidesourcelist13intfa1/0overloadiproute在Router2、Router1执行上述命令以后，从PC1pingPC2、从Server0pingPC2，通信都是成功的，如图2-10-7(a)(b)所示。再查看路由器Router1上的动态地址转换信息，如图2-10-7(c)所示,从这里可以看出，内网的私有IP地址主机访问外网时，都是转换为同一个公有IP地址，不同的是端口号。三、华为网络地址转换技术1.华为SAT配置命令

与思科（锐捷）不一样，华为做网络地址转换时，不需指定内网接口和外网接口。

（1）在AS边界路由器的对外网接口下配置SAT

interface

??/?

//进入AS边界路由器的外网接口

natstaticglobal

g.g.g.ginsidex.x.x.x[netmaskM]其中：g.g.g.g公有IP地址（分配给本自治系统的可指派公有IP地址）x.x.x.x私有IP地址M私有IP地址对应的掩码

（2）建立AS自治系统到外网的缺省路由

iproute-static

nexthop

如果AS之间建立了BGP等外部动态路由，就不需要这一条缺省路由命令。三、华为网络地址转换技术（3）华为路由器SAT/NAT查看命令displaynatsessionall(先在路由器上输入该命令，再ping公有IP，过一会儿就要显示SAT/NAT信息)三、华为网络地址转换技术2.华为基本NAT配置命令

（1）用acl标准访问控制列表定义内网所有的私有IP地址段（系统视图下）

aclnumber

n1//创建acln1，n1:2000-2999

rule

1permitsource

x1.x1.x1.x1w1.w1.w1.w1

//逐个定义私有网络段

rule

2permitsource

x2.x2.x2.x2w2.w2.w2.w2......

其中：n1:2000~2999，x?.x?.x?.x?内部私有IP网络(子网)地址，w?.w?.w?.w?反掩码

（2）建立公有IP地址池（系统视图下）

nataddress-group

n2s.s.s.se.e.e.e

其中：n2地址池编号，取值:0~7s.s.s.s:公有地址池最小的IP地址e.e.e.e:公有地址池最大的IP地址三、华为网络地址转换技术2.华为基本NAT配置命令（3）建立内、外地址映射

interface

??/?//进入AS边界路由器的外网接口??/?

natoutbound

n1address-groupn2no-pat其中：n1(一定义好的内部地址aclid号):2000-2999n2(一定义好的地址池id号):0~7

no-pat:不进行端口号映射

（4）建立AS自治系统到外网的缺省路由

iproute-static

nexthop

如果AS之间建立了BGP等外部动态路由，就不需要这一条缺省路由命令。三、华为网络地址转换技术3.华为NAPT1配置命令

第（1）（2）（4）条命令与“2.华为NAT配置命令”的第（1）（2）（4）条命令相同。

第（3）条命令略有相同，就是去掉最后的no-pat，即允许端口号映射。

interface??/?//进入AS边界路由器的外网接口??/?

natoutbound

n1address-groupn2//n1(内部地址aclid号):2000-2999,n2(地址池id号):0~7三、华为网络地址转换技术4.华为NAPT2配置命令

特殊情况下，当AS内网只有一个公有IP（已配置在边界路由器对外接口上）时，要使内网所有私有IP地址的主机都能够访问外网，就必须使用此NAPT2配置技术。NAPT2配置技术的第（1）、（4）条命令与NAPT1相同，去掉第（2）条命令（因为没有公有地址池了）。第（3）条配置命令（在AS边界路由器对外接口视图下进行）为：

interface??/?//进入AS边界路由器的外网接口??/?

natoutbound

n1

其中：n1(已定义的内部IP网段aclid号):2000-2999三、华为网络地址转换技术5.华为SAT与NAPT1地址综合实例

（1）AS内外网初步构成

用2台华为路由器（AR1、AR2）和4台主机组成的AS内外网络，如图2-10-8所示。AS内网由AR1、PC1、PC2和Server1组成，外网由AR2和PC3组成。

我们先来分析一下AS内可使用的公有IP地址情况。AR1的g0/0/0接口与AR2的g0/0/0接口连接的子网是公有IP地址段/28，该公有IP地址段（子网）共有16个IP地址，IP地址范围为：-5，可指派的IP地址范围：-4（其中和已指派，该子网剩余可指派的公有IP地址范围：-4）。三、华为网络地址转换技术将图2-10-8所示网络中设备的IP地址，全部配置好（包括loopback1回环接口的地址）以后，检测一下从内网(PC1)到外网(PC3)的通信，如图2-10-9所示。这时，内网私有IP地址的主机不能与外网通信，外网的主机也不能访问AS内网中具有私有IP地址的服务器。三、华为网络地址转换技术（2）AR1静态地址转换SAT配置AR1上的SAT配置命令:intg0/0/0

natstaticglobalinside6netmask55quitiproute-static（3）AR1基于端口号的动态地址转换NAPT1配置aclnumber2001rule1permitsource55rule2permitsourcerule3permitsource55quitnataddress-group14

intg0/0/0natoutbound2001address-group1

q三、华为网络地址转换技术由于第（2）已配置了缺省路由命令iproute-static所以，第（3）就省略了这一条命令。

在AR1路由器上，配置好上述命令。

（4）通信检测与地址转换查看

我们来检测从内网私有IP地址的主机PC1到外网PC3()的通信，结果畅通，从AR1的地址转换缓存中用dispnatsessionall 命令可以看到NAPT1地址转换。如图2-10-10所示。三、华为网络地址转换技术检测从内网私有IP地址的主机PC2到外网PC3()的通信，结果畅通，从AR1的地址转换缓存中用dispnatsessionall 命令可以看到NAPT1地址转换。如图2-10-11所示。三、华为网络地址转换技术再检测从外网PC3到内网服务器Server1（）的通信，是畅通的；再检测从PC3主动ping内网主机PC1（私有IP地址0）的通信，不成功。这如实体现了AS内网主机与因特网主机的通信关系。如图2-10-12所示。三、华为网络地址转换技术6.华为NAPT2地址转换实例

如果ISP给AS内网的公有地址中只有一个可指派的IP地址，譬如AR1与AR2互联的子网的掩码为/30时，该子网2个可指派IP地址全部用了，没有多余的公有IP地址作为地址池了。如图2-10-13所示。该网络是在图2-10-8的基础上稍加修改而成，图2-10-13中AR1的g0/0/0接口与AR2的g0/0/0接口所在子网为/30。三、华为网络地址转换技术先将AR1与AR2的g0/0/0接口地址修改好，按如下配置。AR2修改配置:intg0