NAT地址转换原理及配置解读课件.ppt

1、NAT地址转换原理及配置地址转换原理及配置ISSUE 1.1日期：杭州华三通信技术有限公司 版权所有，未经授权不得使用与传播n 掌握掌握NAT的工作原理的工作原理n 熟悉熟悉NAT的配置实现的配置实现n 了解了解NAT监控调试方法监控调试方法n 常见组网及故障排查方法常见组网及故障排查方法课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n NAT工作原理工作原理n NAT配置实现配置实现n NAT验证及调试验证及调试n NAT常见组网常见组网目录目录4NATl 地址转换是在地址转换是在IP地址日益短缺的背景下出现的。地址日益短缺的背景下出现的。l 一个局域网内部有很多台主机

2、，可是不能保证每台主机都一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的拥有合法的IP地址，为了使所有的内部主机都可以访问地址，为了使所有的内部主机都可以访问Internet，需要进行地址转换。，需要进行地址转换。l 地址转换技术可以有效隐藏局域网地址转换技术可以有效隐藏局域网内的内的主机，是一种有效主机，是一种有效的网络安全保护技术。的网络安全保护技术。l 地址转换可以按照用户的需要，在局域网内向外提供地址转换可以按照用户的需要，在局域网内向外提供FTP、WWW、Telnet等服务。等服务。5地址类别（公有地址和私有地址）地址类别（公有地址和私有地址）l 公有地址和私有地址公有地

3、址和私有地址公有地址是因特网上全球唯一的IP地址，由IANA统一分配。私有地址为RFC规定的保留IP地址段，仅用于内部网，不能与Internet直接通信。Internet私有10.0.0.0/8私有172.16.0.0/12私有192.168.0.0/24LAN ALAN BLAN C私有地址范围：私有地址范围：10.0.0.0 -10.255.255.255172.16.0.0 -172.31.255.255 192.168.0.0 -6NAT基本概念基本概念10.0.0.2198.76.28.12NAT tableInside Address10.0.0.1198.76.28.11Priv

4、atePublicAddress Pool IP Addresspool1198.76.28.11198.76.28.20Address PoolGlobal Address10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetHostC198.76.29.4/24address-group 1（198.76.28.11198.76.28.20）7Basic NAT198.76.29.4/2410.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetH

5、ostC13245S=10.0.0.1D=198.76.29.4S=198.76.28.11D=198.76.29.4S=198.76.29.4D=198.76.28.11S=198.76.29.4D=10.0.0.110.0.0.2198.76.28.12NAT tableInside Address10.0.0.1198.76.28.11Global AddressS：源IP地址D：目的IP地址address-group 1（198.76.28.11198.76.28.20）8NAPT10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.

6、0.2InternetHostC198.76.29.4/2413245S=10.0.0.1 P=1024D=198.76.29.4 P=21S=198.76.28.11 P=2001D=198.76.29.4 P=21S=198.76.29.4 P=21D=198.76.28.11 P=2001S=198.76.29.4 P=21D=10.0.0.1 P=102410.0.0.2 1024198.76.28.11 3001NAT tableInside AddressPort10.0.0.1 1024198.76.28.11 2001Global AddressPortS：源IP地址D：目的I

7、P地址P：TCP、UDP端口address-group 1（198.76.28.11198.76.28.20）9ALGl ALG：有些应用层协议在数据中携带IP地址或端口信息，对它们作NAT时需要同时修改上层数据中的IP地址或端口信息。一些非TCP、UDP的协议（如ICMP、PPTP）作上层NAT时，需要对它们的特征参数（如ICMP的ID参数）进行转换。10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetHostC198.76.29.4/2413245S=10.0.0.1 P=1024D=198.76.29.4 P=2

8、1S=198.76.28.11 P=2001D=198.76.29.4 P=21S=198.76.29.4 P=21D=198.76.28.11 P=2002S=198.76.29.4 P=21D=10.0.0.1 P=500110.0.0.1 5001198.76.28.11 2002NAT tableInside AddressPort10.0.0.1 1024198.76.28.11 2001Global AddressPort“S=10.0.0.1 P=5001”“S=198.76.28.11 P=2002”FTP Control 通道通道FTP Data 通道通道address-gr

9、oup 1（198.76.28.11198.76.28.20）10NAT DNS mappingn NAT工作原理工作原理n NAT配置实现配置实现n NAT验证及调试验证及调试n NAT常见组网常见组网目录目录12EASY IPl Easy IP：在地址转换的过程中直接使用接口的：在地址转换的过程中直接使用接口的IP地址作地址作为转换后的源地址。在接口视图下配置：为转换后的源地址。在接口视图下配置：nat outbound acl-numberPrivatePublic10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2Intern

10、etHostC198.76.29.4/24RTA使用E0/1接口的IP 地址作为地址转换后的公有IP地址E0/0E0/13Static NATl 静态映射：在内部私有静态映射：在内部私有IP与外部公用与外部公用IP之间建立一对一的映之间建立一对一的映射关系。配置如下：射关系。配置如下：（全局）（全局）nat static ip-addr1 ip-addr2（接口）（接口）nat outbound staticPrivatePublic10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetHostC198.76.29.4/

11、24RTA为HostA和HostB静态映射公有地址E0/0E0/14多对多多对多NATl Address Pool：连续：连续IP地址的集合，用于为内部用户动态分地址的集合，用于为内部用户动态分配公用地址。配置如下：配公用地址。配置如下：（全局）（全局）nat address-group pool-number start-addr end-addr（接口）（接口）nat outbound acl-number address-group pool-number no-pat注：注：no-pat指基于指基于IP的地址转换，缺省为的地址转换，缺省为pat方式。方式。PrivatePublic10

12、.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetHostC198.76.29.4/24从地址池pool1中为HostA和HostB动态分配公有地址E0/0E0/1address-group 1（198.76.28.11198.76.28.20）15NAT Serverl 内部服务器：将（外部地址、端口）映射到内部的服务器上，将（外部地址、端口）映射到内部的服务器上，使外部网络可访问内部服务器。配置如下：使外部网络可访问内部服务器。配置如下：（接口）（接口）nat server acl-number protocol p

13、ro-type global global-addr global-port inside host-addr host-port PrivatePublic10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetHostC198.76.29.4/24RTA为HostA和HostB静态映射（公有地址:端口）E0/0E0/1n NAT工作原理工作原理n NAT配置实现配置实现n NAT验证及调试验证及调试n NAT常见组网常见组网目录目录17验证调试验证调试l 显示地址转换信息显示地址转换信息display nat addr

14、ess-group|aging-time|all|outbound|server|statistics|session|slot slot-number|source global global-addr|source inside inside-addr|destionation ip-addr l 调试地址转换过程调试地址转换过程debugging nat alg|event|packet interface interface-type interface-number l 清除地址转换连接清除地址转换连接reset nat sessionn NAT工作原理工作原理n NAT配置实现配置

15、实现n NAT验证、调试验证、调试n NAT常见组网常见组网目录目录19（一）（一）Easy IP and Static NATl 组网：HostA访问访问HostC时使用时使用Easy IP转换，同时在转换，同时在RTA上为上为HostB提供静态映射地址提供静态映射地址198.76.28.4。PrivatePublic10.0.0.1HostARTA10.0.0.254/24198.76.28.0/24198.76.29.4HostC1RTB198.76.29.1/24E0/0E0/12E0/1E0/0HostB20（一）配置实现（一）配置实现l RTA配置interface Etherne

16、t0/0 ip address 10.0.0.254 255.255.255.0interface Ethernet0/1 ip address 198.76.28.1 255.255.255.0 nat outbound 2000 nat outbound staticacl number 2000 rule 0 permit source 10.0.0.0 0.0.0.255nat static 10.0.0.2 198.76.28.4ip route-static 0.0.0.0 0 198.76.28.2l RTB配置interface Ethernet0/0 ip address 1

17、98.76.28.2 255.255.255.0interface Ethernet0/1 ip address 198.76.29.1 21（二）内部服务器（二）内部服务器l 组网：组网：RTA上配置内部服务器，使上配置内部服务器，使HostC能够访问内网能够访问内网的的FTP服务器。当服务器。当HostA访问访问HostC时使用时使用address-group 1中的地址。中的地址。PrivatePublic10.0.0.1HostARTA10.0.0.254/24198.76.28.0/24198.76.29.4HostC1RTB198.76.29.1/24E0/0E0/12E0/1E0

18、/0http Server10.0.0.4address-group 1（198.76.28.11198.76.28.20）22（二）配置实现（二）配置实现l RTA配置interface Ethernet0/0 ip address 10.0.0.254 255.255.255.0 interface Ethernet0/1 ip address 198.76.28.1 255.255.255.0 nat outbound 2000 address-group 1 nat server 3000 protocol tcp global 198.76.28.10 http inside 10.

19、0.0.4 httpacl number 2000 rule 0 permit source 10.0.0.0 0.0.0.255acl number 3000 rule 0 permit ip source 10.0.0.4 0 destination 198.76.29.4 0 rule 1 deny ipnat address-group 1 198.76.28.11 198.76.28.20 ip route-static 0.0.0.0 0 198.76.28.2l RTB配置interface Ethernet0/0 ip address 198.76.28.2 255.255.2

20、55.0interface Ethernet0/1 ip address 198.76.29.1 23内部服务器（续）内部服务器（续）l 组网：组网：PC机同时要实现使用公网域名与公网机同时要实现使用公网域名与公网IP访问访问访问访问内部服务器内部服务器24配置实现（续）配置实现（续）l 路由器配置命令(MSR最新版本)interface GigabitEthernet0/1#外网口 port link-mode route nat outbound 2000 nat server protocol tcp global 200.0.0.2 www inside 192.168.1.2 www

21、 ip address 200.0.0.2 255.255.255.0l 路由器配置命令（MSR之前版本）H3C-acl-adv-3000rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.1.2 0interface GigabitEthernet0/0#内网口H3C-GigabitEthernet0/0nat outbound 3000H3C-GigabitEthernet0/0nat server protocol tcp global 200.0.0.2 www inside 192.168.1.2 25（

22、三）双出口地址转换（三）双出口地址转换l 组网：用户有多条用户有多条Internet出口线路，通往出口线路，通往Public1和和Public2，要求，要求HostA访问访问Public1时用时用address-group 1地址，访问地址，访问Public2时用时用address-group 2地址。地址。PrivatePublic210.0.0.1HostARTA10.0.0.254/24198.76.28.0/24198.76.29.4HostB1RTB198.76.29.1/24HostC198.77.28.0/24RTC198.77.29.1/24198.77.29.4/24E0/0

23、E0/1212E1/0E0/0E0/1E0/1E0/0address-group 2（198.77.28.11198.77.28.20）Public1address-group 1（198.76.28.11198.76.28.20）26（三）配置实现（三）配置实现l RTA配置interface Ethernet0/0 ip address 10.0.0.254 255.255.255.0interface Ethernet0/1 ip address 198.76.28.1 255.255.255.0 nat outbound 2000 address-group 1interface Et

24、hernet1/0 ip address 198.77.28.1 255.255.255.0 nat outbound 2000 address-group 2acl number 2000 rule 0 permit source 10.0.0.0 0.0.0.255nat address-group 1 198.76.28.11 198.76.28.20nat address-group 2 198.77.28.11 198.77.28.20ip route-static 198.76.29.0 24 198.76.28.2ip route-static 198.77.29.0 24 19

25、8.77.28.2l RTB配置interface Ethernet0/0 ip address 198.76.28.2 255.255.255.0interface Ethernet0/1 ip address 198.76.29.1 255.255.255.0l RTC配置interface Ethernet0/0 ip address 198.77.28.2 255.255.255.0interface Ethernet0/1 ip address 198.77.29.1 27双出口（续）双出口（续）l 组网：同一台设备多个公网出口，不同的外网用户从对应的接口访问内部服务器，并且返回数据

26、按照原路返回n NAT的应用场合的应用场合n NAT的基本工作原理的基本工作原理n NAT的分类的分类n NAT的基本配置实现的基本配置实现n NAT的验证及调试方法的验证及调试方法本章总结本章总结29参考资料参考资料l RFC 2663IP Network Address Translator(NAT)Terminology and Considerationsl RFC 2993Architectural Implications of NATl RFC 3022Traditional IP Network Address Translator(Traditional NAT)l RFC 3027Protocol Complications with the IP Network Address Translator杭州华三通信技术有限公司