1、培养目标通过本章的学习,希望您能够:掌握网络地址转换(NAT)的概念掌握NAT的类型及应用场合掌握NAT工作原理及配置方法1 公用和私有IP编址n所有公有 Internet 地址都必须在所属地域的相应 Internet 注册管理机构(RIR)注册。n与公有 IP 地址不同,私有 IP 地址是保留的数值块,任何人均可以使用。何谓 NAT?2何谓 NAT?nNAT 就像大办公室中的前台接待员。客户拨打您办公室的总机号码,这是客户知道的唯一号码。nNAT 有很多用途,但最主要的用途是让网络能使用私有 IP 地址以节省 IP 地址。NAT 将不可路由的私有内部地址转换成可路由的公有地址。NAT 还能在
2、一定程度上增加网络的私密性和安全性,因为它对外部网络隐藏了内部 IP 地址。nR2 执行 NAT 过程,将主机的内部私有地址转换为公有、外部、可路由的地址。2何谓 NAT?n内部本地地址内部本地地址 通常不是通常不是 RIR 或服务器提供商分配的或服务器提供商分配的 IP 地址,极有可能是地址,极有可能是 RFC 1918 私有地址。图中,私有地址。图中,IP 地址地址 192.168.10.10 被分配给内部网络上的被分配给内部网络上的主机主机 PC1。n内部全局地址内部全局地址 当内部主机流量流出当内部主机流量流出 NAT 路由器时分配给内部主机的有效路由器时分配给内部主机的有效公有地址。
3、当来自公有地址。当来自 PC1 的流量发往的流量发往 Web 服务器服务器 209.165.201.1 时,路由器时,路由器 R2 必须进行地址转换。本例中,必须进行地址转换。本例中,PC1 的内部全局地址使用的内部全局地址使用 IP 地址地址 209.165.200.226。n外部全局地址外部全局地址 分配给分配给 Internet 上主机的可达上主机的可达 IP 地址。例如,地址。例如,Web 服务器服务器的可达的可达 IP 地址为地址为 209.165.201.1。n外部本地地址外部本地地址 分配给外部网络上主机的本地分配给外部网络上主机的本地 IP 地址。大多数情况下,此地址。大多数情
4、况下,此地址与外部设备的外部全局地址相同。地址与外部设备的外部全局地址相同。NAT 如何工作?2何谓 NAT?n内部主机(192.168.10.10)希望与外部 Web 服务器(209.165.201.1)通信。它发送数据包给配置了 NAT 的网络边界网关 R2。nR2 读取数据包的目的 IP 地址,并检查数据包是否符合规定的转换标准。NAT 如何工作?2何谓 NAT?nR2 有一个 ACL,它确定内部网络中可进行转换的有效主机。因此,R2 将内部本地 IP 地址转换成内部全局 IP 地址,本例中为 209.165.200.226。它将此本地与全局地址映射关系存储在 NAT 表中。NAT 如何
5、工作?2何谓 NAT?n路由器将数据包发送到目的地。NAT 如何工作?2何谓 NAT?n当 Web 服务器回应时,数据包回到 R2 的全局地址(209.165.200.226)。NAT 如何工作?2何谓 NAT?nR2 参考 NAT 表,发现这是原先转换的 IP 地址。因此,它将内部全局地址转换成内部本地地址,然后将数据包转发给 IP 地址为 192.168.10.10 的 PC1。n如果它没有找到映射关系,数据包将被丢弃。NAT 转换有两种类型2何谓 NAT?n动态 NAT:使用公有地址池,并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时,动态 NA
6、T 从地址池中选择一个未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。n静态 NAT:使用本地地址与全局地址的一对一映射,这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。NAT 过载2何谓 NAT?nNAT 过载(有时称为端口地址转换或 PAT)将多个私有 IP 地址映射到一个或少数几个公有 IP 地址。因为每个私有地址也会用端口号加以跟踪。n大多数家用路由器就是这样工作的。NAT 过载2何谓 NAT?n当 NAT 处理各数据包时,它使用端口号(本例中为 1331 和 1
7、555)来识别发起数据包的客户端。nNAT 过载将 SA 变成客户端的内部全局 IP 地址,同样会附加端口号。下一可用端口2何谓 NAT?nNAT 过载会尝试保留源端口号。下一可用端口2何谓 NAT?n但是,如果此源端口已被使用,NAT 过载会从适当的端口组 0-511、512-1023 或 1024-65535 开始分配第一个可用端口号。当没有端口可用时,如果配置了一个以上的外部 IP 地址,则 NAT 过载将会使用下一 IP 地址,再次尝试分配原先的源端口。NAT 与 NAT 过载之间的区别2何谓 NAT?nNAT 一般只按公有 IP 地址与私有 IP 地址之间的一对一对应关系转换 IP
8、地址。NAT 过载则会同时修改发送者的私有 IP 地址和端口号。NAT 过载选择对公有网络上主机可见的端口号。nNAT 将传入的数据包路由给其内部目的地时,将以公有网络上主机给出的传入源 IP 地址为依据。利用 NAT 过载,一般只需一个或极少的几个公有 IP 地址。3使用 NAT 的利弊4配置静态 NATn静态 NAT 为内部地址与外部地址的一对一映射。静态 NAT 允许外部设备发起与内部设备的连接。n首先需要定义要转换的地址,然后在适当的接口上配置 NAT。4配置静态 NAT5配置动态 NATn动态 NAT 则是将私有 IP 地址映射到公有地址。这些公有 IP 地址源自 NAT 池。n动态
9、 NAT 不是创建到单一 IP 地址的静态映射,而是使用内部全局地址池。5配置动态 NAT6配置 NAT过载n仅有一个公有 IP 地址时,过载配置通常把该公有地址分配给连接到 ISP 的外部接口。所有内部地址离开该外部接口时,均被转换为该地址。n使用 interface 关键字来标识外部 IP 地址,因此没有定义 NAT 池。利用 overload 关键字,可以将端口号添加到转换中。n为单一公有 IP 地址配置 NAT 过载6配置 NAT过载n为单一公有 IP 地址配置 NAT 过载6配置 NAT过载n当 ISP 提供了一个以上公有 IP 地址时,NAT 过载将使用地址池。这种配置与动态、一对
10、一 NAT 配置的主要区别是前者使用了 overload 关键字。overload 关键字允许进行端口地址转换。n为公有 IP 地址池配置 NAT 过载6配置 NAT过载n为公有 IP 地址池配置 NAT 过载7 检验 NAT 和 NAT 过载n以上是测试的例子。.n检验 NAT 和 NAT 过载7 检验 NAT 和 NAT 过载nshow ip nat translations 命令的输出显示命令的输出显示NAT 分配的详细情分配的详细情况。在该命令中增加况。在该命令中增加 verbose 可显示关于每个转换的附加信可显示关于每个转换的附加信息,包括创建和使用条目的时间长短。息,包括创建和使
11、用条目的时间长短。n该命令显示所有已配置的静态转换和所有由流量创建的动态转该命令显示所有已配置的静态转换和所有由流量创建的动态转换。换。n检验 NAT 和 NAT 过载7.检验 NAT 和 NAT 过载nshow ip nat statistics 命令显示以下信息:活动转换总数、命令显示以下信息:活动转换总数、NAT 配置参数、池中的地址数量以及已分配的地址数量。配置参数、池中的地址数量以及已分配的地址数量。n转换条目默认超时时间为转换条目默认超时时间为 24 小时,在全局配置模式下使用小时,在全局配置模式下使用 ip nat translation timeouttimeout_ seco
12、nds 命令可重新配置命令可重新配置超时时间。超时时间。n检验 NAT 和 NAT 过载7.检验 NAT 和 NAT 过载n要在超时之前清除动态条目,请使用要在超时之前清除动态条目,请使用 clear ip nat translation 全局命令。全局命令。n可以具体指定删除哪一转换,也可以使用可以具体指定删除哪一转换,也可以使用 clear ip nat translation*全局全局命令清除表中的全部转换,如本例所示。命令清除表中的全部转换,如本例所示。n检验 NAT 和 NAT 过载7 检验 NAT 和 NAT 过载nNAT 和 NAT 过载配置的故障排除7 检验 NAT 和 NAT 过载nNAT 和 NAT 过载配置的故障排除n步骤 1.根据配置,清楚地确定应该实现什么样的 NAT。这可能会揭示出配置问题。n步骤 2.使用 show ip nat translations 命令检验转换表中转换条目是否正确。n步骤 3.使用 clear 和 debug 命令检验 NAT 是否如预期一样工作。检查动态条目被清除后,是否又被重新创建出来。n步骤 4.详细审查数据包传送情况,确认路由器具有移动数据包所需的正确路由信息。n使用 debug ip nat 命令显示关于被路由器转换的每个数据包的信息,检验 NAT 功能的运作。?Any Question
