网络地址转换NAT课件.ppt

1、第八章 网络地址转换（NAT）学习目标学习目标理解理解NAT的实现方式的实现方式理解理解NAT的工作过程的工作过程了解了解NAT的各种应用的各种应用会配置会配置NAT会分析并排查各类会分析并排查各类NAT故障故障2知识结构知识结构网络地址转换网络地址转换NAT概述概述NAT的概念与实现方式的概念与实现方式NAT的术语与转换表的术语与转换表NAT实现方法的工作过程实现方法的工作过程NAT的特性的特性NAT的配置的配置静态静态NAT动态动态NATPAT验证验证NAT配置配置NAT的应用的应用NAT实现网络访问实现网络访问虚拟服务器的实现虚拟服务器的实现NAT故障处理故障处理3NAT概述概述地址转换

2、出现的背景地址转换出现的背景合法的合法的IP地址资源日益短缺地址资源日益短缺2、一个局域网内部有很多台主机，但不是每台主机都、一个局域网内部有很多台主机，但不是每台主机都有合法的有合法的IP地址，为了使所有内部主机都可以连接因地址，为了使所有内部主机都可以连接因特网，需要使用地址转换特网，需要使用地址转换3、地址转换技术可以有效地隐藏内部局域网中的主机、地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用，具有一定的网络安全保护作用4、地址转换可以在局域网内部提供给外部、地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务服务4NAT概述概述NAT的工作原理的

3、工作原理NAT（Network Address Translation，网络地址转，网络地址转换）是将换）是将IP 数据报头中的数据报头中的IP 地址转换为另一个地址转换为另一个IP 地址地址的过程。在实际应用中，的过程。在实际应用中，NAT 主要用于实现私有网络主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有访问公共网络的功能。这种通过使用少量的公有IP 地地址代表较多的私有址代表较多的私有IP 地址的方式，将有助于减缓可用地址的方式，将有助于减缓可用IP 地址空间的枯竭。地址空间的枯竭。RFC 1918 为私有网络预留出了三个为私有网络预留出了三个IP 地址块，如下地址块，如

4、下：A 类：类：10.0.0.010.255.255.255 B 类：类：172.16.0.0172.31.255.255 C 类：类：192.168.0.0192.168.255.255 NAT概述概述NAT实现方式实现方式静态转换（静态转换（Static Translation）p是指将内部网络的私有是指将内部网络的私有IP地址转换为公有地址转换为公有IP地址，地址，IP地址对是地址对是一对一的，是一成不变的，某个私有一对一的，是一成不变的，某个私有IP地址只转换为某个公有地址只转换为某个公有IP地址。借助于静态转换，可以实现外部网络对内部网络中某地址。借助于静态转换，可以实现外部网络对内

5、部网络中某些特定设备（如服务器）的访问。些特定设备（如服务器）的访问。动态转换（动态转换（Dynamic Translation）p是指将内部网络的私有是指将内部网络的私有IP地址转换为公用地址转换为公用IP地址时，地址时，IP地址是地址是不确定的，是随机的，所有被授权访问不确定的，是随机的，所有被授权访问Internet的私有的私有IP地址地址可随机转换为任何指定的合法可随机转换为任何指定的合法IP地址。也就是说，只要指定哪地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。动态转换可以

6、使用多个合法外部地时，就可以进行动态转换。动态转换可以使用多个合法外部地址集。当址集。当ISP提供的合法提供的合法IP地址略少于网络内部的计算机数量地址略少于网络内部的计算机数量时。可以采用动态转换的方式。时。可以采用动态转换的方式。NAT概述概述NAT实现方式实现方式端口多路复用（端口多路复用（Port Address Translation，PAT）p指改变外出数据包的源端口并进行端口转换，即端口地址转换指改变外出数据包的源端口并进行端口转换，即端口地址转换（PAT，Port Address Translation).采用端口多路复用方式采用端口多路复用方式。内部网络的所有主机均可共享一个

7、合法外部。内部网络的所有主机均可共享一个合法外部IP地址实现对地址实现对Internet的访问，从而可以最大限度地节约的访问，从而可以最大限度地节约IP地址资源。同时地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自，又可隐藏网络内部的所有主机，有效避免来自internet的攻的攻击。因此，目前网络中应用最多的就是端口多路复用方式。击。因此，目前网络中应用最多的就是端口多路复用方式。Inside Local Address(内部本地地址内部本地地址)指一个网络内部分配给网上主机的指一个网络内部分配给网上主机的IP地址，此地址通常不是地址，此地址通常不是Internet上的合法地址，即不是

8、网络信息中心上的合法地址，即不是网络信息中心(NIC)或或Internet服服务提供商务提供商(ISP)所分配的所分配的IP地址。地址。Inside Global Address(内部全局地址内部全局地址)用来代替一个或者多个内部本地用来代替一个或者多个内部本地IP地址的、对外的、地址的、对外的、Internet上合上合法的法的IP地址。地址。Outside Local Address(外部本地地址外部本地地址)一个外部主机相对于内部网所用的一个外部主机相对于内部网所用的IP地址。此地址需要是地址。此地址需要是Internet上合法的地址，但是从内部网可以进行路由的地址空间中进行分上合法的地址

9、，但是从内部网可以进行路由的地址空间中进行分配的。配的。Outside Global Address(外部全局地址外部全局地址)由主机拥有者分配给在外部网上主机的由主机拥有者分配给在外部网上主机的IP地址。此地址是从一个地址。此地址是从一个从全局可路由的地址或网络空间中分配的。从全局可路由的地址或网络空间中分配的。NAT术语与转换表术语与转换表NAT术语与转换表术语与转换表NAT包含包含4类地址类地址NATInternetPC192.168.1.2目的目的IP=192.168.1.2源源IP=203.51.23.55经过路由器后的包经过路由器后的包目的目的IP=203.51.23.55源源IP

10、=192.168.1.2PC访问服务器的包访问服务器的包目的目的IP=125.25.65.3源源IP=203.51.23.55服务器返回服务器返回PC的包的包203.51.23.55目的目的IP=203.51.23.55源源IP=125.25.65.3经过路由器后的包经过路由器后的包转换转换转换转换内部内部外部外部内部本地地址内部本地地址外部本地地址外部本地地址外部全局地址外部全局地址NAT的转换条目的转换条目简单转换条目简单转换条目扩展转换条目扩展转换条目内部全局地址内部全局地址9NAT实现方法的工作过程实现方法的工作过程2-1静态转换和动态转换静态转换和动态转换Internet10.1.1

11、.110.1.1.2172.20.7.3外部主机外部主机BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NATNAT转换表转换表协议协议内部用局部内部用局部IP地址地址内部用全局内部用全局IP地址地址外部用全局外部用全局IP地址地址TCP10.1.1.1192.168.2.2172.20.7.3:231234510NAT实现方法的工作过程实现方法的工作过程2-2PATInternet10.1.1.110.1.1.2172.20.7.3外部主机外部主机BSA10.1.1.1SA192.168.2.2DA192.168.2.2DA10.1.1.1NAT

12、NAT转换表转换表协议协议内部用局部内部用局部IP地址地址内部用全局内部用全局IP地址地址外部用全局外部用全局IP地址地址TCP10.1.1.1:1492192.168.2.2:1492172.20.7.3:23TCP10.1.1.2:1493192.168.2.2:1493172.20.7.3:801234511NAT的特性的特性NAT的优点的优点节省公有合法节省公有合法IP地址地址处理地址处理地址重叠重叠增强灵活性增强灵活性安全性安全性NAT的缺点的缺点延迟增大延迟增大配置和维护的复杂性配置和维护的复杂性不支持某些应用不支持某些应用12NAT配置配置NAT配置步骤配置步骤1、接口、接口IP

13、地址配置地址配置2、使用访问控制列表定义哪些内部主机能做、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池、决定采用什么公有地址，静态或地址池Router(config)#ip nat pool pool-name star-ip end-ip netmask netmask|prefix-length prefix-length type rotary4、指定地址转换映射、指定地址转换映射Router(config)#ip nat inside source static local-ip global-ip extendableRouter(config)#

14、ip nat inside source list access-list-number pool pool-name overload5、在内部和外部端口上启用、在内部和外部端口上启用NAT定义地址池定义地址池静态静态NAT地址映射地址映射动态动态NAT或或PAT地址映射地址映射13静态静态NAT配置配置3-1将内网地址将内网地址192.168.100.2、192.168.100.3静态转换为静态转换为合法的外部地合法的外部地址址61.159.62.131、61.159.62.132，以便访问外网或被外网访问，以便访问外网或被外网访问192.168.100.2192.168.100.254/

15、24内部网络内部网络192.168.100.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口Internet14静态静态NAT配置配置3-2设置外部端口的设置外部端口的IP地址：地址：Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.248设置内部端口的设置内部端口的IP地址：地址：Router(config)#interface FastEthernet 1/0Router(config-if)#ip address

16、 192.168.100.1 255.255.255.0建立静态地址转换建立静态地址转换Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131在内部和外部端口上启用在内部和外部端口上启用NATRouter(config)#interface FastEthernet 0/0Router(config-if)#ip nat outsideRouter(config)#int

17、erface FastEthernet 1/0Router(config-if)#ip nat inside配置默认路由配置默认路由Router(config)#ip route 0.0.0.0 0.0.0.0 61.159.62.12915静态静态NAT配置配置3-3Internet192.168.100.2192.168.100.3155.34.2.3SA192.168.100.2SA61.159.62.13161.159.62.131DA61.159.62.131DA192.168.100.2NATNAT转换表转换表协议协议内部用局部内部用局部IP地址地址内部用全局内部用全局IP地址地址

18、外部用全局外部用全局IP地址地址TCP192.168.100.261.159.62.131155.34.2.3TCP192.168.100.361.159.62.132155.34.2.3192.168.100.161.159.62.13016NAT端口映射端口映射NAT端口映射端口映射Router(config)#ip nat inside source static protocol local-ip UDP/TCP-port global-ip UDP/TCP-port extendableNAT端口映射配置示例端口映射配置示例Router(config)#ip nat inside s

19、ource static tcp 192.168.100.2 80 61.159.62.131 80 extendableRouter(config)#ip nat inside source static tcp 192.168.100.3 80 61.159.62.131 8080 extendable17动态动态NAT配置配置3-1将内部地址将内部地址172.168.100.2172.168.100.254转换为合法地址转换为合法地址61.159.62.13161.159.62.190，以便访问，以便访问Internet172.168.100.2172.168.100.254/24内部网

20、络内部网络172.168.100.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口Internet18动态动态NAT配置配置3-2设置外部端口的设置外部端口的IP地址：地址：Router(config)#interface FastEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的设置内部端口的IP地址：地址：Router(config)#interface FastEthernet 1/0Router(config-if)#ip address 172

21、.168.100.1 255.255.255.0定义内部网络中允许访问外部网络的访问控制列表定义内部网络中允许访问外部网络的访问控制列表 Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255定义合法定义合法IP地址池地址池Router(config)#ip nat pool test0 61.159.62.131 61.159.62.190 netmask 255.255.255.192实现网络地址转换实现网络地址转换Router(config)#ip nat inside source list 1 pool test0在内部

22、和外部端口上启用在内部和外部端口上启用NAT，以及配置默认路由，以及配置默认路由与静态与静态NAT配置相同配置相同19动态动态NAT配置配置3-3Internet172.168.100.2172.168.100.3155.34.2.3SA172.168.100.2SA61.159.62.13161.159.62.131DA61.159.62.131DA172.168.100.2NATNAT转换表转换表协议协议内部用局部内部用局部IP地址地址内部用全局内部用全局IP地址地址外部用全局外部用全局IP地址地址TCP172.168.100.261.159.62.131155.34.2.3TCP172.

23、168.100.361.159.62.132155.34.2.3172.168.100.161.159.62.13020PAT配置配置3-1将内部网络地址将内部网络地址10.1.1.110.1.1.254转换为合法的地址转换为合法的地址61.159.62.131/29，以便访问，以便访问Internet10.1.1.210.1.1.254/24内部网络内部网络10.1.1.161.159.62.130NATNAT内部端口内部端口NATNAT外部端口外部端口Internet21PAT配置配置3-2设置外部端口的设置外部端口的IP地址：地址：Router(config)#interface Fas

24、tEthernet 0/0Router(config-if)#ip address 61.159.62.130 255.255.255.192 设置内部端口的设置内部端口的IP地址：地址：Router(config)#interface FastEthernet 1/0Router(config-if)#ip address 10.1.1.1 255.255.255.0定义内部网络中允许访问外部网络的访问控制列表定义内部网络中允许访问外部网络的访问控制列表 Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255定义合法定义合法IP地址池地址

25、池Router(config)#ip nat pool onlyone 61.159.62.131 61.159.62.131 netmask 255.255.255.248实现网络地址转换实现网络地址转换Router(config)#ip nat inside source list 1 pool onlyone overload在内部和外部端口上启用在内部和外部端口上启用NAT，以及配置默认路由，以及配置默认路由与静态与静态NAT配置相同配置相同overloadoverload进行端口转换进行端口转换22PAT配置配置3-3Internet10.1.1.210.1.1.3155.34.2.

26、3SA10.1.1.2SA61.159.62.13161.159.62.131DA61.159.62.131DA10.1.1.2NATNAT转换表转换表协议协议内部用局部内部用局部IP地址地址内部用全局内部用全局IP地址地址外部用全局外部用全局IP地址地址TCP10.1.1.2:102861.159.62.131:1028155.34.2.3TCP10.1.1.2:1121261.159.62.131:11212155.34.2.310.1.1.161.159.62.13023复用路由器外部接口地址复用路由器外部接口地址直接使用接口的直接使用接口的IP地址作为转换后的源地址地址作为转换后的源地

27、址Router(config)#ip nat inside source list 1 interface FastEthernet 0/0 overload复用路由器外网接口地址复用路由器外网接口地址作为转换后的源地址作为转换后的源地址24NAT配置实例配置实例需求描述需求描述配置静态配置静态NAT实现外网能够访问公司内网服务器实现外网能够访问公司内网服务器配置配置PAT实现公司内部主机能够访问外网实现公司内部主机能够访问外网NATISP192.168.2.2/24192.168.2.1/24192.168.1.2/2410.0.0.2/30192.168.1.1/2410.0.0.1/30

28、207.35.14.83/24207.35.14.1/24公司内网公司内网外部网络外部网络25验证验证NAT配置配置查看查看NAT转换条目转换条目Router#show ip nat translations verboseverbose：显示详细的：显示详细的NAT转换条目信息转换条目信息Router#show ip nat translations Pro Inside global Inside local Outside local Outside globalicmp 207.35.18.2:6002 192.168.1.3:6002 207.35.14.83:6002 207.35

29、.14.83:6002icmp 207.35.18.2:15488 192.168.1.3:15488 207.35.14.83:15488 207.35.14.83:15488icmp 207.35.18.2:14225 192.168.1.2:14225 207.35.14.83:14225 207.35.14.83:14225icmp 207.35.18.2:14481 192.168.1.2:14481 207.35.14.83:14481 207.35.14.83:14481-207.35.18.6 192.168.2.2 -Router#show ip nat translatio

30、ns verbose Pro Inside global Inside local Outside local Outside globalIcmp 207.35.18.2:31634 192.168.1.2:31634 207.35.14.83:31634 207.35.14.83:31634 create 00:00:14,use 00:00:14 timeout:60000,left 00:00:45,Map-Id(In):1,flags:extended,use_count:0,entry-id:36,lc_entries:0-207.35.18.6 192.168.2.2 -crea

31、te 00:34:40,use 00:27:57 timeout:0,flags:static,use_count:0,entry-id:1,lc_entries:0查看查看NATNAT统计信息统计信息Router#show ip nat statistics静态静态NAT条目条目PAT动态条目动态条目协议协议内部全局地址内部全局地址内部局部地址内部局部地址外部局部地址外部局部地址外部全局地址外部全局地址NATNAT转换条目的创建时转换条目的创建时间、使用时间、超时间、使用时间、超时时间值时间值静态静态NATNAT条目永远存在条目永远存在26NAT转换条目超时时间转换条目超时时间默认情况下默认

32、情况下UDP超时值：超时值：5分钟分钟DNS超时值：超时值：1分钟分钟TCP超时值：超时值：24小时小时更改超时时间配置更改超时时间配置Router(config)#ip nat translation dns-timeout|icmp-timeout|tcp-timeout|udp-timeout seconds|never 27清除清除NAT转换条目转换条目清除清除NAT转换表中的所有条目转换表中的所有条目Router#clear ip nat translation*清除包含内部转换的转换条目清除包含内部转换的转换条目Router#clear ip nat translation ins

33、ide local-ip global-ip清除包含外部转换的转换条目清除包含外部转换的转换条目Router#clear ip nat translation outside local-ip global-ip静态静态NATNAT条目不能被清除条目不能被清除28小结小结请思考：请思考：NAT的实现方式？的实现方式？NAT的配置步骤？的配置步骤？NAT的的4类地址分别是什么？类地址分别是什么？29NAT实现网络访问实现网络访问需求分析需求分析根据拓扑图配置根据拓扑图配置NAT实现公司访问实现公司访问Internet配置静态配置静态NAT实现外网访问内部服务器实现外网访问内部服务器Interne

34、t服务器区服务器区VLAN3VLAN4VLAN2NATSW2SW3SW130虚拟服务器（服务分配）的实现虚拟服务器（服务分配）的实现需求分析需求分析内部多台提供不同服务的服务器，对外通过一个内部多台提供不同服务的服务器，对外通过一个IP地地址实现访问址实现访问InternetNAT Web服务器服务器 SMTP服务器服务器 31NAT故障处理故障处理2-1常见问题常见问题ACL阻止转换后的流量阻止转换后的流量进行地址转换的进行地址转换的ACL不全不全overload参数漏配参数漏配不对称路由不对称路由问题问题动态地址池动态地址池IP地址范围配置错误地址范围配置错误动态地址池与静态转换地址重叠动

35、态地址池与静态转换地址重叠Inside和和outside接口配置错误接口配置错误32NAT故障处理故障处理2-2NAT故障的排除故障的排除检查物理设备和检查物理设备和NAT配置配置通过通过show命令查看命令查看NAT的各种信息的各种信息通过通过debug ip nat命令跟踪命令跟踪NAT操作操作R1#debug ip nat IP NAT debugging is on*Mar 1 00:03:56.875:NAT:s=192.168.4.2-145.52.23.2,d=1.1.1.1 52225*Mar 1 00:03:57.667:NAT*:s=192.168.4.2-145.52.2

36、3.2,d=1.1.1.1 52481*Mar 1 00:03:57.811:NAT*:s=1.1.1.1,d=145.52.23.2-192.168.4.2 52481s s192.168.4.2192.168.4.2表示源地址是表示源地址是192.168.4.2192.168.4.2。d d1.1.1.11.1.1.1表示目的地址是表示目的地址是1.1.1.11.1.1.1。192.168.4.2-145.52.23.2192.168.4.2-145.52.23.2表示将地址表示将地址192.168.4.2192.168.4.2转换为转换为 145.52.23.2 145.52.23.2 33