网络地址转换(NAT)
5
10.1.1.3 DA
10.1.1.1
3
SA
192.168.2.2
4
172.20.7.3
外部主机B 外部主机 Internet 10.1.1.2
1
SA
10.1.1.1 172.21.7.3
10.1.1.1
2
NAT转换表 转换表
外部主机C 外部主机
协议 TCP TCP TCP
内部用局部IP 内部用局部IP地址 IP地址 10.1.1.3:1492 10.1.1.2:1723 10.1.1.1:1024
NAT的术语 NAT的术语2-1 的术语2
• 使用双向NAT可以处理地址交叉的情况 使用双向NAT NAT可以处理地址交叉的情况 • 使用两个方向上的动态NAT 使用两个方向上的动态NAT • 会用到4种类型的地址 会用到4
公司合并, 公司合并, 可能导致地 址交叉
B公司 公司 10.1.1.0
A公司 公司 10.1.1.0
网络地址转换概述4 网络地址转换概述4-1
• 地址转换的提出背景
– 合法的IP地址资源日益短缺 合法的IP IP地址资源日益短缺 – 一个局域网内部有很多台主机,但不是每台主机都有合 一个局域网内部有很多台主机, 法的IP地址,为了使所有内部主机都可以连接因特网, IP地址 法的IP地址,为了使所有内部主机都可以连接因特网, 需要使用地址转换 – 地址转换技术可以有效地隐藏内部局域网中的主机,具 地址转换技术可以有效地隐藏内部局域网中的主机, 有一定的网络安全保护作用 – 地址转换可以在局域网内部提供给外部FTP、WWW、 地址转换可以在局域网内部提供给外部FTP WWW、 FTP、 Telnet服务 Telnet服务
不支持的 业务类型
路由表更新 DNS区域传送 DNS区域传送 BOOTP talk, talk,ntalk SNMP Netshow
转换LAN 转换LAN内部地址 LAN内部地址
5
10.1.1.3 DA
10.1.1.1
3
SA
192.168.2.2
4
172.20.7.3
外部主机B 外部主机B Internet 10.1.1.2
静态NAT配置3 静态NAT配置3-3 NAT配置
5
192.168.100.6 DA
192.168.100.2
3
SA
61.159.62.130
4
155.34.2.3 外部主机
Internet 192.168.100.3
1
SA
2 NAT转换 转换
61.159.62.129 192.168.100.1 NAT转换表 转换表 210.3.4.5 外部主机
支持在数据流中有 IP地址的业务类型 IP地址的业务类型
ICMP FTP(包括PORT FTP(包括PORT和 PASV) PORT和 TCP/IP上的NetBIOS( TCP/IP上的NetBIOS(数据 上的NetBIOS 报、名称和会话服务 DNS( DNS(A和PTR查询) PTR查询) 查询 H.323/NetMeeting IP多播(只转换源地址) IP多播(只转换源地址) 多播
AB公司 公司
NAT的术语 NAT的术语
• 自己用的拖鞋代表内部局部地址, 自己用的拖鞋代表内部局部地址 内部局部地址, • 给别人用的拖鞋代表外部局部地址 给别人用的拖鞋代表外部局部地址 • 自己用的皮鞋代表内部全局地址, 自己用的皮鞋代表内部全局地址 内部全局地址, • 别人穿的皮鞋代表外部全局地址; 别人穿的皮鞋代表外部全局地址 外部全局地址;
将内部网络地址172.168.100.1-172.168.100.254转 将内部网络地址172.168.100.1-172.168.100.254转 172.168.100.1 换为合法的外部地址61.159.62.130 61.159.62.130换为合法的外部地址61.159.62.130-61.159.62.190
静态NAT配置3 静态NAT配置3-2 NAT配置
• 第一步: 设置外部端口 第一步:
Router(config)#interface serial 0/0 Router(config-if)#ip address 61.159.62.129 255.255.255.248
• 第二步 :设置内部端口
192.168.100.2
192.168.100.2
协议
TCP TCP TCP
内部用局部IP 内部用局部IP地址 IP地址
192.168.100.2 192.168.100.3 192.168.100.6
内部用全局IP 内部用全局IP地址 IP地址
61.159.62.130 61.159.62.131 61.159.62.134
……
• 第四步:在内部和外部端口上启用NAT 第四步:在内部和外部端口上启用NAT
Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside
外部用全局IP 外部用全局IP地址 IP地址
155.34.2.3 210.3.4.5 210.3.4.5
动态NAT配置4 动态NAT配置4-1 NAT配置
Internet 61.159.62.129 172.168.100.1 NAT外部端口 外部端口
NAT内部端口 内部端口
内部网络
172.168.100.2-172.168.100.6/24
内部局部地址
DA=10.1.1.1
外部全局地址
经过路由器转换的包 SA=193.3.3.1
外部局部地址
4
外部主机B返回的包 外部主机 返回的包
外部全局地址
3
DA=10.1.1.1
内部局部地址
SA=10.1.1.1 DA=192.2.2.1
内部全局地址
NAT的优缺点 NAT的优缺点
• NAT的优点 NAT的优点
– – – – 节省公有合法IP 节省公有合法IP地址 IP地址 处理地址交叉 增强灵活性 安全性
• NAT的缺点 NAT的缺点
– 延迟增大 – 配置和维护的复杂性 – 不支持某些应用
NAT支持的数据流 NAT支持的数据流
支持的业务类型和应 用
任何应用数据流中不承 载源/目的IP IP地址的 载源/目的IP地址的 TCP/UDP业务 TCP/UDP业务 HTTP TFTP Telnet NTP NFS
10.1.1.127 虚拟主机
TCP TCP TCP
NAT配置 NAT配置
• NAT配置步骤
1、接口IP地址配置 接口IP IP地址配置 使用访问控制列表定义哪些内部主机能做NAT 哪些内部主机能做 2、使用访问控制列表定义哪些内部主机能做NAT 决定采用什么公有地址, 3、决定采用什么公有地址,静态或地址池 4、指定地址转换映射 在内部和外部端口上启用NAT 5、在内部和外部端口上启用NAT
Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 192.168.100.1 255.255.255.0
• 第三步: 在内部本地和内部合法地址之间建立静态 第三步: 地址转换
Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130 Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131
NAT的术语 NAT的术语2-2 的术语2
2
10.1.1.1
1
internet 10.1.1.1 外部主机B 外部主机
4
主机A 主机 NAT
3
经过路由器转换的包 SA=192.2.2.1
内部全局地址
主机A发出的包 主机 发出的包
1
外部局部地址
2
10.1.1.2 外部主机C 外部主机
SA=10.1.1.1 DA=193.3.3.1 =
本章结构
NAT的概念 的概念 NAT概念和术语 概念和术语 NAT的术语 的术语 NAT的优势缺点 的优势缺点
网络地址转换 NAT/PAT
NAT的应用 的应用
静态NAT的配置 的配置 静态 动态NAT的配置 的配置 动态 PAT的配置 的配置
NAT的配置 的配置 NAT的检查与排 的检查与排 错
TCP负载均衡配置 负载均衡配置 用NAT解决地址交叉的问题 解决地址交叉的问题
地址转换
Internet
IP:202.0.0.1 Port:3010
PC2
局域网
IP:192.168.0.2 Port:3010
网络地址转换概述4 网络地址转换概述4-4
• NAT的3种实现方式 NAT的
– – – 静态转换(一对一的转换) 静态转换(一对一的转换) 动态转换(多对多的转换) 动态转换(多对多的转换) 地址及端口的转换) 端口多路复用 (地址及端口的转换)
1
SA
10.1.1.1 172.21.7.3
10.1.1.1 协议 TCP
2
NAT转换表 转换表 内部用全局 IP地址 IP地址 192.168.2.2
外部主机C 外部主机 外部用全局 IP地址 IP地址 172.20.7.3:2 3
内部用局部 IP地址 IP地址 10.1.1.1
复用LAN 复用LAN的内部地址 LAN的内部地址
1
10.1.1.3
