数据交换与路由技术网络地址转换.pptx

学习目标学习目标在在 路由器上配置路由器上配置 NAT。包括说明。包括说明 NAT 和和 NAT 过载的主要过载的主要功能与运作，说明功能与运作，说明 NAT 的优点和缺点，配置的优点和缺点，配置 NAT 和和 NAT 过载以节省网络的过载以节省网络的 IP 地址空间，配置端口转发，以及检验地址空间，配置端口转发，以及检验 NAT 配置和排查配置和排查 NAT 故障。故障。第1页/共38页目录索引目录索引18.1 静态NAT和 动态NAT18.2 端口ANT18.3 实训第2页/共38页1 8 利 用利 用 N AT 扩 展 网 络扩 展 网 络第3页/共38页18 公用和私有公用和私有IP编址编址n所有公有Internet地址都必须在所属地域的相应Internet注册管理机构(RIR)注册。n与公有IP地址不同，私有IP地址是保留的数值块，任何人均任何人均可以使用。可以使用。第4页/共38页何谓 NAT？18何谓何谓 NAT？nNAT就像大办公室中的前台接待员。客户拨打您办公室的总机号码，这是客户知道的唯一号码。nNAT有很多用途，但最主要的用途是让网络能使用私有IP地址以节省IP地址。NAT将不可路由的私有内部地址转换成可路由的公有地址。NAT还能在一定程度上增加网络的私密性和安全性，因为它对外部网络隐藏了内部IP地址。nR2执行NAT过程，将主机的内部私有地址转换为公有、外部、可路由的地址。第5页/共38页18 私有地址空间私有地址空间 私有地址和NATRFC 1918 规定了私有地址空间的使用。A 类：类：10.0.0.0 10.255.255.255B 类：类：172.16.0.0 172.31.255.255C 类：类：192.168.0.0 192.168.255.255使用私有地址具有下列优点：不用为每台主机购买公有地址，降低了高额成本。少量公有地址即可满足数千名内部员工的需要。提供一定程度的安全性，因为其它网络或组织中的用户无法看到内部地址。第6页/共38页18 企业网边界上的企业网边界上的NAT企业连接至互联网要使用(NAT)内部私有源地址和外部共有地址边界路由器使用NAT增加安全性第7页/共38页18 何谓何谓 NAT？n内部本地地址内部本地地址 通常不是通常不是 RIR 或服务器提供商分配的或服务器提供商分配的 IP 地址，极有可能是地址，极有可能是 RFC 1918 私有地址。图中，私有地址。图中，IP 地址地址 192.168.10.10 被分配给内部网络上的被分配给内部网络上的主机主机 PC1。n内部全局地址内部全局地址 当内部主机流量流出当内部主机流量流出 NAT 路由器时分配给内部主机的有效路由器时分配给内部主机的有效公有地址。当来自公有地址。当来自 PC1 的流量发往的流量发往 Web 服务器服务器 209.165.201.1 时，路由器时，路由器 R2 必须进行地址转换。本例中，必须进行地址转换。本例中，PC1 的内部全局地址使用的内部全局地址使用 IP 地址地址 209.165.200.226。n外部全局地址外部全局地址 分配给分配给 Internet 上主机的可达上主机的可达 IP 地址。例如，地址。例如，Web 服务器服务器的可达的可达 IP 地址为地址为 209.165.201.1。n外部本地地址外部本地地址 分配给外部网络上主机的本地分配给外部网络上主机的本地 IP 地址。大多数情况下，此地址。大多数情况下，此地址与外部设备的外部全局地址相同。地址与外部设备的外部全局地址相同。第8页/共38页NAT 如何工作？18 何谓何谓 NAT？n内部主机(192.168.10.10)希望与外部Web服务器(180.149.132.15)通信。它发送数据包给配置了NAT的网络边界网关R2。nR2读取数据包的目的IP地址，并检查数据包是否符合规定的转换标准。第9页/共38页NAT 如何工作？18何谓何谓 NAT？nR2有一个ACL，它确定内部网络中可进行转换的有效主机。因此，R2将内部本地IP地址转换成内部全局IP地址，本例中为220.173.103.3。它将此本地与全局地址映射关系存储在NAT表中。第10页/共38页NAT 如何工作？18何谓何谓 NAT？n路由器将数据包发送到目的地。第11页/共38页NAT 如何工作？18何谓何谓 NAT？nR2参考NAT表，发现这是原先转换的IP地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给IP地址为192.168.10.10的PC1。n如果它没有找到映射关系，数据包将被丢弃。第12页/共38页18.1 静态NAT和动态NAT第13页/共38页NAT 转换有两种类型18.2.2何谓何谓 NAT？n静态静态 NAT：使用本地地址与全局地址的一对一映射，这些映射保持不变。静态NAT对于必须具有一致的地址、可从Internet访问的Web服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。n动态动态 NAT：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有IP地址的主机请求访问Internet时，动态NAT从地址池中选择一个未被其它主机占用的IP地址。这就是到目前为止所介绍的映射。第14页/共38页实例：实例：静态静态NAT静态NAT 例如例如：向外界开放向外界开放的的 Web 服务器和服务器和 FTP 服务器服务器映射可确保特定的内部本地地址始终与同一公有地址相关联静态 NAT 可确保外部设备始终能到达内部设备第15页/共38页18.2.4配置静态配置静态 NAT1.静态NAT为内部本地地址内部本地地址与内部全局地址内部全局地址的一对一映射一对一映射。静态NAT允许外部设备发起与内部设备的连接。2.配置内部内部和外部接口外部接口。第16页/共38页18.2.4配置静态配置静态 NATR1（config）#ipnatinsidesourcestatic192.168.20.200220.173.103.1/配置静态NAT映射R1（config）#interfacef0/0R1（config-if）#ipnatinside/配置NAT内部接口R1（config）#interfaceS0/0/0R1（config-if）#ipnatoutside/配置NAT外部接口第17页/共38页4.4.3 静态和动态静态和动态 NAT配置静态 NAT1.确定外部用户应使用哪个公有公有 IP 地址地址来访问内部设备/服务器。对于静态 NAT，管理员倾向于使用地址范围开头或结尾的地址。将内部（即私有）地址私有）地址转换为公有地址公有地址。2.配置内部内部和外部接口外部接口。R1#showrunning-config(省略部分输出)ipnatinsidesourcestatic192.168.20.200220.173.103.1!interfacefastethernet0/0ipaddress192.168.20.1255.255.255.0ipnatinside!interfaceserial0/0/0ipaddress220.173.103.6255.255.255.248ipnatoutside第18页/共38页18.2.5配置动态配置动态 NATn动态NAT则是将私有IP地址映射到公有地址。这些公有IP地址源自地址源自 NAT 池。池。n动态NAT不是创建到单一IP地址的静态映射，而是使用内部全局地址全局地址池。池。第19页/共38页4.4.3 静态和动态静态和动态 NAT配置动态 NAT：1.确定可用的公有 IP 地址池。2.创建访问控制列表(ACL)，以标识需要转换的主机。3.将接口指定为内部接口或外部接口。4.将访问列表与地址池关联起来R1（config）#ipnatpoolNAT 220.173.103.2220.173.103.4netmask255.255.255.248/定义公有IP地址池R1（config）#access-list1permit192.168.0.00.0.255.255/标识允许转换的流量R1（config）#ipnatinsidesourcelist1poolNAT /配置动态NAT映射R1（config）#interfacef0/1R1（config-if）#ipnatinside/配置NAT内部接口R1（config）#interfaceS0/0/0R1（config-if）#ipnatoutside/配置NAT外部接口第20页/共38页18.2 端口地址转换-PAT第21页/共38页NAT 过载 动态 NAT 的一种变体是端口地址转换(PAT)，也称为 NAT 过载18.2.1何谓何谓 PAT？nNAT过载（有时称为端口地址转换或端口地址转换或 PAT）将多个私有IP地址映射到一个或少数几个公有IP地址。因为每个私有地址也会用端口号加以跟踪。n大多数家用路由器就是这样工作的。第22页/共38页18.2.1 PAT实例实例PAT 将多个内部本地地址多个内部本地地址动态地转换为单个公有地址单个公有地址网关路由器将本地源地址和端口号转换为一个全局 IP 地址以及一个大于 1024 的唯一端口号每台主机都转换为同一个全局 IP 地址，每个会话关联的端口号却是唯一的可用的端口超过 64,000 个PAT 默认为启用状态第23页/共38页NAT 过载18.2.2 配置配置PAT？n当NAT处理各数据包时，它使用端口号（本例中为8563和5486）来识别发起数据包的客户端。nNAT过载将源地址变成客户端的内部全局IP地址，同样会附加端口号access-list1permit192.168.0.00.0.255.255/配置允许流量ipnatinsidesourcelist1interfaceserial0/0/0overload /配置PAT第24页/共38页18.2.3配置配置 NAT过载过载n仅有一个公有IP地址时，过载配置通常把该公有地址分配给连接到ISP的外部接口。所有内部地址离开该外部接口时，均被转换为该地址。n使用使用 interface 关键字来标识外部IP地址，因此没有定义NAT池。利用overload关键字，可以将端口号添加到转换中。n为单一公有为单一公有 IP 地址配置地址配置 NAT过载第25页/共38页18.2.4配置配置 NAT过载过载n当ISP提供了一个以上公有IP地址时，NAT过载将使用地址池。这种配置与动态、一对一NAT配置的主要区别是前者使用了overload 关键字关键字。overload关键字允许进行端口地址转换。n为公有IP地址池配置NAT过载第26页/共38页18.2.4配置配置 NAT过载过载n为公有IP地址池配置NAT过载第27页/共38页18.2.5使用使用 NAT 的利弊的利弊第28页/共38页18.2.6检验检验 NAT 和和 NAT 过载过载n以上是测试的例子。.n检验NAT和NAT过载第29页/共38页18.2.6检验检验 NAT 和和 NAT 过载过载nshow ip nat translations 命令的输出显示命令的输出显示NAT 分配的详细情分配的详细情况。在该命令中增加况。在该命令中增加 verbose 可显示关于每个转换的附加信可显示关于每个转换的附加信息，包括创建和使用条目的时间长短。息，包括创建和使用条目的时间长短。n该命令显示所有已配置的静态转换和所有由流量创建的动态转该命令显示所有已配置的静态转换和所有由流量创建的动态转换。换。n检验NAT和NAT过载第30页/共38页18.2.6检验检验 NAT 和和 NAT 过载过载n要在超时之前清除动态条目，请使用要在超时之前清除动态条目，请使用 clear ip nat translation 全局命令。全局命令。n可以具体指定删除哪一转换，也可以使用可以具体指定删除哪一转换，也可以使用 clear ip nat translation*全局全局命令清除表中的全部转换，如本例所示。命令清除表中的全部转换，如本例所示。n检验NAT和NAT过载第31页/共38页18.2.6检验检验 NAT 和和 NAT 过载过载nNAT和NAT过载配置的故障排除第32页/共38页18.2.6检验检验 NAT 和和 NAT 过载过载nNAT和NAT过载配置的故障排除n步骤1.根据配置，清楚地确定应该实现什么样的NAT。这可能会揭示出配置问题。n步骤2.使用showipnattranslations命令检验转换表中转换条目是否正确。n步骤3.使用clear和debug命令检验NAT是否如预期一样工作。检查动态条目被清除后，是否又被重新创建出来。n步骤4.详细审查数据包传送情况，确认路由器具有移动数据包所需的正确路由信息。n使用debugipnat命令显示关于被路由器转换的每个数据包的信息，检验NAT功能的运作。第33页/共38页18.3 实训第34页/共38页实训实训任务和步骤：R2接口地址：220.173.103.0/30，用于地址转换的全局地址池：220.173.103.8/29任务 1：进行路由器、交换机基本配置任务 2：配置路由协议、静态路由和默认路由任务 4：配置静态 NAT，Inside Server IP 地址静态映射到公有地址 220.173.103.1任务 5：利用地址池配置动态 NAT使用子网掩码/29 创建名为NAT_POOL 的地址池，其中包含从 220.173.103.9 到 220.173.103.14 的 IP地址范围。任务 6：测试并记录网络数据第35页/共38页NAT与NAT过载的关键特征和运作过程 NAT的优缺点配置NAT与NAT过载配置端口转发检验NAT的配置NAT配置故障排除总结总结第36页/共38页再见再见第37页/共38页感谢您的观看！第38页/共38页