第网络地址转换课件.ppt

1、 1999,Cisco Systems,Inc.8-1第十二章第十二章网络地址转换网络地址转换 1999,Cisco Systems,IICND8-2本章目标本章目标通过本章学习，您应该掌握以下内容：通过本章学习，您应该掌握以下内容：u掌握网络地址转换（掌握网络地址转换（NAT）和端口地址转）和端口地址转换（换（PAT）的相关概念。）的相关概念。u掌握静态掌握静态NAT、动态、动态NAT、PAT的配置。的配置。1999,Cisco Systems,IICND8-3网络地址转换的应用背景网络地址转换的应用背景u随着因特网的飞速发展，上网主机的数量日益膨随着因特网的飞速发展，上网主机的数量日益膨胀

2、，胀，IPv4地址空间即将被耗尽。地址空间即将被耗尽。u一种长期的解决方案：一种长期的解决方案：IPv6，具有，具有128 比特的寻比特的寻址空间。目前，尚未得到大规模应用。址空间。目前，尚未得到大规模应用。u两种短期方案的成功，缓解了两种短期方案的成功，缓解了IPv4地址即将耗尽地址即将耗尽的压力。的压力。RFC1918（私有（私有IP寻址）寻址）RFC1631（网络地址转换）（网络地址转换）1999,Cisco Systems,IICND8-4私有地址寻址私有地址寻址RFC1918私有地址私有地址uA类：类：10.0.0.010.255.255.255uB类：类：17.16.0.0172.

3、31.255.255uC类：类：192.168.0.0192.168.255.255通常用于内网设备的私有通常用于内网设备的私有IPIP（内部本地内部本地IPIP地地址址），不能直接用于与公共网络通信，如因），不能直接用于与公共网络通信，如因特网。特网。1999,Cisco Systems,IICND8-5网络地址转换网络地址转换u网络地址转换（网络地址转换（NAT）能够解决）能够解决内部本地内部本地IPIP地址不能与公共网络通信的问题。地址不能与公共网络通信的问题。u其具体的做法是把其具体的做法是把IP包中包中内部本地内部本地IP地址地址用互联网上公开注册的用互联网上公开注册的IP地址（地址

4、（内部全局内部全局IP地址地址）来替换。）来替换。内部本地内部本地IP地址地址内部全局内部全局IP地址地址NAT 1999,Cisco Systems,IICND8-6NAT术语术语内部本地内部本地IP地址：分配给内部网络设备的地址：分配给内部网络设备的IP地址，通常是一个由地址，通常是一个由RFC1918定义的私有定义的私有IP地址。地址。内部全局内部全局IP地址：在互联网上公开注册的合地址：在互联网上公开注册的合法法IP地址，用以代替内部本地地址，用以代替内部本地IP地址。地址。静态：在两个地址之间手工执行地址转换，静态：在两个地址之间手工执行地址转换，可能包括端口号。如静态可能包括端口号

5、。如静态PAT。动态：一个地址转换设备在两个地址之间自动态：一个地址转换设备在两个地址之间自动执行地址转换，可能包括端口号。动执行地址转换，可能包括端口号。1999,Cisco Systems,IICND8-7地址转换类型地址转换类型u网络地址转换（网络地址转换（NAT）：只转换）：只转换IP（不包（不包含端口号），含端口号），“一对一一对一”映射。映射。静态静态NAT：转换表手工建立：转换表手工建立动态动态NAT：转换表动态生成：转换表动态生成u端口地址转换（端口地址转换（PAT）：把多个内部本地）：把多个内部本地IP转换为单个或少量几个全局转换为单个或少量几个全局IP，这种，这种“多多对一

6、对一”的映射，端口号来确定转换的唯一性的映射，端口号来确定转换的唯一性。1999,Cisco Systems,IICND8-8网络地址转换网络地址转换动态动态NAT：将内部：将内部IP地址和预先设定的地址和预先设定的全局全局IP地址池地址池中未使用的中未使用的一个地址进行一个地址进行“一对一一对一”转换。转换。静态静态NAT：手工进行：手工进行“一对一一对一”转换。转换。1999,Cisco Systems,IICND8-9网络地址转换过程网络地址转换过程 1999,Cisco Systems,IICND8-10端口地址转换端口地址转换 1999,Cisco Systems,IICND8-11

7、端口地址转换过程端口地址转换过程 1999,Cisco Systems,IICND8-12配置静态配置静态NAT步骤：步骤：1.指定连接外部网络的外部端口指定连接外部网络的外部端口2.指定连接网络的内部端口指定连接网络的内部端口3.在内部本地地址与内部合法地址之间建立在内部本地地址与内部合法地址之间建立静态地址转换静态地址转换Router(config-if)#ip nat outsideRouter(config-if)#ip nat insideRouter(config)#ip nat inside source static local-ip global-ip 1999,Cisco

8、Systems,IICND8-13静态静态NAT配置实例配置实例 1999,Cisco Systems,IICND8-14配置动态配置动态NAT步骤：步骤：1.指定与外部网络相连的外部端口指定与外部网络相连的外部端口2.指定与内部网络相连的内部端口指定与内部网络相连的内部端口3.在全部配置模式下，定义内部合法地址池在全部配置模式下，定义内部合法地址池4.在全局配置模式下，定义一个标准在全局配置模式下，定义一个标准ACL，允许那些内部地址可以进行，允许那些内部地址可以进行动态地址转换动态地址转换5.在全局配置模式下，将由在全局配置模式下，将由ACL指定的内部本地地址与指定的内部合法指定的内部本地

9、地址与指定的内部合法地址池进行地址转换地址池进行地址转换Router(config)#ip nat pool name start-ip end-ip netmask netmask|prefix-length prefix-length Router(config)#access-list access-list-number permit source source-wildcard Router(config)#ip nat inside source list access-list-number pool name 1999,Cisco Systems,IICND8-15动态动态NA

10、T配置实例配置实例 1999,Cisco Systems,IICND8-16动态动态NAT和静态和静态NAT区别：区别：1.动态动态NAT允许内网有超过地址池中允许内网有超过地址池中IP地址的数量地址的数量的用户被转换，但的用户被转换，但同时同时被转换出去的用户不能超过被转换出去的用户不能超过地址池中的地址池中的IP地址的数量。地址的数量。静态静态NAT有多少个有多少个IP地地址，就能配置多少个转换。址，就能配置多少个转换。2.动态动态NAT中刚开始是没有中刚开始是没有NAT转换条目的，转换条目的，只有只有内网用户访问外网时，才会动态创建转换条目。内网用户访问外网时，才会动态创建转换条目。静静

11、态态NAT中的条目时一直存在的。中的条目时一直存在的。3.在动态在动态NAT中，外网不确定连接哪一个公网地址中，外网不确定连接哪一个公网地址，而静态而静态NAT中转换条目时固定的。中转换条目时固定的。1999,Cisco Systems,IICND8-17PAT配置命令配置命令 Establishes dynamic source translation,specifying the access list defined in the prior step Router(config)#ip nat inside source list access-list-number interfac

12、e interface overload Defines a standard IP access list permitting those inside local addresses that are to be translatedRouter(config)#access-list access-list-number permit source source-wildcard 1999,Cisco Systems,IICND8-18配置配置PAT配置步骤与配置动态配置步骤与配置动态NAT地址转换步骤几乎完全相同。地址转换步骤几乎完全相同。仅在仅在配置内部本地地址与内部合法配置内部本

13、地地址与内部合法IP地址池时，多加一个参数地址池时，多加一个参数“OVERLOAD”步骤：步骤：1.指定与外部网络相连的外部端口指定与外部网络相连的外部端口2.指定与内部网络相连的内部端口指定与内部网络相连的内部端口3.在全部配置模式下，定义内部合法地址池在全部配置模式下，定义内部合法地址池4.在全局配置模式下，定义一个标准在全局配置模式下，定义一个标准ACL，允许那些内部地，允许那些内部地址可以进行动态地址转换址可以进行动态地址转换5.在全局配置模式下，将由在全局配置模式下，将由ACL指定的内部本地地址与指定指定的内部本地地址与指定的内部合法地址池进行地址转换的内部合法地址池进行地址转换Ro

14、uter(config)#ip nat inside source list access-list-number interface interface overload 1999,Cisco Systems,IICND8-19PAT配置实例配置实例 1999,Cisco Systems,IICND8-20清除清除NAT转换表转换表 Clears a simple dynamic translation entry containing an inside translationRouter#clear ip nat translation inside global-ip local-ip

15、 Clears all dynamic address translation entriesRouter#clear ip nat translation*Clears a simple dynamic translation entry containing an outside translation Router#clear ip nat translation outside local-ip global-ip Clears an extended dynamic translation entry Router#clear ip nat translation protocol

16、inside global-ip global-port local-ip local-port 1999,Cisco Systems,IICND8-21 Displays translation statistics Router#show ip nat statistics Displays active translations Router#show ip nat translations Router#show ip nat translation Pro Inside global Inside local Outside local Outside global -172.16.

17、131.1 10.10.10.1 -Router#show ip nat statistics Total active translations:1(1 static,0 dynamic;0 extended)Outside interfaces:Ethernet0,Serial2.7 Inside interfaces:Ethernet1 Hits:5 Misses:0 查看查看NAT相关信息相关信息 1999,Cisco Systems,IICND8-22使用使用debug ip nat命令命令Router#debug ip nat NAT:s=192.168.1.95-172.31.2

18、33.209,d=172.31.2.132 6825NAT:s=172.31.2.132,d=172.31.233.209-192.168.1.95 21852 NAT:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6826 NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95 23311 NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6827 NAT*:s=192.168.1.95-172.31.233.209,d=172.31.1.161 6828

19、 NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95 23313 NAT*:s=172.31.1.161,d=172.31.233.209-192.168.1.95 23325debug ip nat用于实时显示路由器执行地址转换的情况。用于实时显示路由器执行地址转换的情况。1999,Cisco Systems,IICND8-23地址转换的应用地址转换的应用1、内部私有、内部私有IP主机访问主机访问Internet，PAT方式。方式。2、外部访问内网服务器，静态、外部访问内网服务器，静态NAT或静态或静态PAT。inside_local_ip i

20、nside_global_ip 静态静态NATinside_local_ip+port_numberinside_global_ip+port_number 静态静态PATip nat inside source static tcp|udp ip nat inside source static 1999,Cisco Systems,IICND8-24PAT实验实验IP地址规划：地址规划：交换机连接的内网的交换机连接的内网的IP地址段为：地址段为：192.168.1.0/24LAN+ISP上连接交换机的上连接交换机的fa0/1接口为接口为192.168.1.254/24，接，接ISP端的端的fa0/0接口为接口为12.0.0.1/24。ISP端端fa0/0接口为接口为12.0.0.2/24