NAT网络地址转换实验详解.pdf

《NAT网络地址转换实验详解.pdf》由会员分享，可在线阅读，更多相关《NAT网络地址转换实验详解.pdf（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、.-一、原理回忆一、原理回忆网络地址转换网络地址转换(NAT,Network Address Translation)(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种将私有将私有(保存保存)地址转化为合法地址转化为合法 IPIP 地址地址的转换技术的转换技术,它被广泛应用于各种类型 Internet 接入方式和各种类型的网络中。原因很简单，NAT 不仅完美地解决了解决了 lPlP 地地址缺乏的问题址缺乏的问题，而且还能够有效地防止来自网络外部的攻击，隐藏并保护网络部的计算机防止来自网络外部的攻击，隐藏并保护网络部的计算机。虽然 NAT 可以借

2、助于某些代理效劳器来实现，但考虑到运算本钱和网络性能，很多时候都是在路由器上来实现的。随着接入 Internet 的计算机数量的不断猛增，IP 地址资源也就愈加显得捉襟见肘。事实上，除了中国教育和科研计算机网(CERNET)外，一般用户几乎申请不到整段的 C 类 IP 地址。在其他 ISP 那里，即使是拥有几百台计算机的大型局域网用户，当他们申请 IP 地址时，所分配的地址也不过只有几个或十几个 IP 地址。显然，这样少的 IP 地址根本无法满足网络用户的需求，于是也就产生了 NAT 技术。l.NATl.NAT 简介简介借助于 NAT，私有(保存)地址的部网络通过路由器发送数据包时，私有地址被

3、转换成合法的 IP 地址，一个局域网只一个局域网只需使用少量需使用少量 IPIP 地址地址(甚至是甚至是 1 1 个个)即可实现私有地址网络所有计算机与即可实现私有地址网络所有计算机与 InternetInternet 的通信需求的通信需求。NATNAT 将自动修改将自动修改 IPIP 报文的源报文的源 IPIP 地址和目的地址和目的 IPIP 地址，地址，IpIp 地址校验那么在地址校验那么在 NATNAT 处理过程中自动完成对于处理过程中自动完成对于 ICMPICMP，NATNAT 也自动也自动完成地址转换。有些应用程序将源完成地址转换。有些应用程序将源 IPIP 地址嵌入到地址嵌入到 I

4、PIP 报文的数据局部中，所以还需要同时对报文进展修改，以匹配报文的数据局部中，所以还需要同时对报文进展修改，以匹配 IPIP 头头中已经修改正的源中已经修改正的源 IPIP 地址。否那么，在报文数据都分别嵌入地址。否那么，在报文数据都分别嵌入 IPIP 地址的应用程序就不能正常工作。地址的应用程序就不能正常工作。2.NAT2.NAT 实现方式实现方式NAT 的实现方式有三种，即静态转换静态转换 Static NatStatic Nat、动态转换动态转换 Dynamic NatDynamic Nat 和 端口多路复用端口多路复用 OverLoadOverLoad。静态转换静态转换是指将部网络的

5、私有 IP 地址转换为公有 IP 地址，IP 地址对是一对一的，是一成不变的，某个私有IP 地址只转换为某个公有 IP 地址。借助于静态转换，可以实现外部网络对部网络中某些特定设备(如效劳器)的访问。动态转换动态转换是指将部网络的私有 IP 地址转换为公用 IP 地址时，IP 地址对是不确定的，而是随机的，所有被授权访问上 Internet 的私有 IP 地址可随机转换为任何指定的合法 IP 地址。也就是说，只要指定哪些部地址可以进展转换，以及用哪些合法地址作为外部地址时，就可以进展动态转换。动态转换可以使用多个合法外部地址集。当 ISP 提供的合法 IP 地址略少于网络部的计算机数量时。可以

6、采用动态转换的方式。端口多路复用端口多路复用(Port address Translation,PAT)(Port address Translation,PAT)是指改变外出数据包的源端口并进展端口转换改变外出数据包的源端口并进展端口转换，即端口地址转换(PAT，Port Address Translation).采用端口多路复用方式。部网络的所有主机均可共享一个合法外部部网络的所有主机均可共享一个合法外部 IPIP 地址实现对地址实现对 InternetInternet 的访的访问，从而可以最大限度地节约问，从而可以最大限度地节约IPIP 地址资源地址资源。同时，又可隐藏网络部的所有主机，

7、有效防止来自internet 的攻击。因此，目前网络中应用最多的就是端口多路复用方式。.优选-.-受到受到 NATNAT 影响的应用程序影响的应用程序一些高层协议比方 FTP，Quake，SIP,VPN是在在 IPIP 包的有效数据发送网络层第三层信息的包的有效数据发送网络层第三层信息的。比方，主动模式的 FTP使用单独的端口分别来控制命令传输和数据传输。当请求一个文件传输时，主机在发送请求的同时也通知对方自己想要在哪个端口承受数据。但是，如果主机是在一个简单的 NAT 防火墙后发送的请求，那么由于端口的映射将会使对方接收到的信息无效。一个应用层网关Application Layer Gate

8、way 或 ALG可以修正这个问题。运行在 NAT 防火墙设备上的 ALG 软件模块可以更新任何由地址转换而导致无效的信息。显然，ALG 需要明白它所要修正的上层协议，所以每个有这种问题的协议都需要有一个单独的 ALG。但是，除但是，除 FTPFTP 外的大多数传统的客户机效劳器协议不需要发送网络层第三层信息，也就不需要外的大多数传统的客户机效劳器协议不需要发送网络层第三层信息，也就不需要 ALGALG。这个问题的另一个可能的解决方法是使用象 STUN 这样的技术，但是这只针对建立在 UDP 上的高层协议，并且需要它建这种技术。这种技术对对称 NAT 也是无效的。还有一种可能的方案是 UPnP

9、，但它需要和 NAT 设备配合起来使用.工作原理工作原理当一台小型商务企业的部网计算机用户连接到 Internet 资源时，该用户的 TCP/IP 协议产生一个 IP 数据包，该数据包包含以下值，这些值位于 IP 和 TCP 或 UDP 标头中：(粗体容表示受 NAT 影响的工程)：目标 IP 地址：Internet 资源 IP 地址源 IP 地址：私有 IP 地址目标端口：Internet 资源 TCP 或 UDP 端口 源端口:源应用程序 TCP 或 UDP 端口请求源主机或者其它路由器将此 IP 数据包发送给 NAT,然后由 NAT 将向外发送的数据包的地址解析如下：目标 IP 地址：I

10、nternet 资源 IP 地址 源 IP 地址：ISP 分配的公用地址 目标端口：Internet 资源 TCP 或 UDP 端口 源端口：重新映射的源应用程序 TCP 或 UDP 端口NAT 将重新映射的 IP 数据包发送到 Internet。响应计算机将向 NAT 返回一个响应。当 NAT 接收到此响应时，该数据包将包含以下地址信息：目标 IP 地址：ISP 分配的公用地址 源 IP 地址：Internet 资源 IP 地址目标端口：重新映射的源应用程序 TCP 或 UDP 端口源端口：Internet 资源的 TCP 或者 UDP 端口当 NAT 完成映射和解析地址后，将向 Inter

11、net 客户端发送数据包，此数据包包含以下地址信息：目标 IP 地址：私有 IP 地址 源 IP 地址：Internet 资源 IP 地址 目标端口：源应用程序 TCP 或者 UDP 端口 源端口：Internet 资源 TCP 或 UDP 端口对于向外发送的数据包，源 IP 地址和 TCP/UDP 端口号将被映射到一个公用源 IP 地址和一个可能变化的 TCP/UDP 端口号。对于接收的数据包，目标 IP 地址和 TCP/UDP 端口号将被映射到私有 IP 地址和初始 TCP/UDP 端口号。那么，NAT 转换表何时进展初始化呢，一般有三种方式：手工初始化，外发数据报时，传入名字查找。大多数

12、NAT 实现方式都使用外发数据报时初始化转换表，当部主机通过 NAT 向外发送数据报时，NAT 此时在转换表中创立一个表项.优选-.-二、实验分析二、实验分析一：拓扑图一：拓扑图二：使用二：使用 dynamipsdynamips 完成实验完成实验三：实验步骤三：实验步骤1 1：在：在 R5R5 上上RouterenRouterenRouter*configure terminalRouter*configure terminalRouter(config)*hostname PC5Router(config)*hostname PC5PC5(config)*no ip domain-looku

13、pPC5(config)*no ip domain-lookup/告诉告诉 RouterRouter 不要对它不知道的字符串做不要对它不知道的字符串做DNSDNS 解析解析PC5(config)*line console 0PC5(config)*line console 0PC5(config-line)*exec-timeout 0 0PC5(config-line)*exec-timeout 0 0PC5(config-line)*logging synchronousPC5(config-line)*logging synchronousPC5(config-line)*exitPC5

14、(config-line)*exitPC5(config)*no ip routingPC5(config)*no ip routing 去除路由器的路由功能来模拟成去除路由器的路由功能来模拟成pcpcPC5(config)*interface s1/1PC5(config)*interface s1/1PC5PC5配置配置 ipip 地址地址PC5(config-if)*no shutdownPC5(config-if)*no shutdownPC5(config-if)*exitPC5(config-if)*exitPC5PC5配置默认网关配置默认网关PC5(config)*endPC5(

15、config)*endPC5*PC5*2 2：在：在 R6R6 上：上：使用使用 ACLACLRouterenableRouterenableRouter*configure terminalRouter*configure terminalRouter(config)*hostname R6Router(config)*hostname R6R6(config)*no ip domain-lookupR6(config)*no ip domain-lookupR6(config)*line console 0R6(config)*line console 0R6(config-line)*e

16、xec-timeout 0 0R6(config-line)*exec-timeout 0 0R6(config-line)*logging synchronousR6(config-line)*logging synchronousR6(config-line)*exitR6(config-line)*exitR6(config)*inter fa2/0R6(config)*inter fa2/0R6(config-if)*ip addressR6(config-if)*ip addressR6(config-if)*no shutdownR6(config-if)*no shutdownR

17、6(config-if)*interface s1/0R6(config-if)*interface s1/0R6(config-if)*ip addressR6(config-if)*ip addressR6(config-if)*no shutdownR6(config-if)*no shutdownR6(config-if)*ip access-group 1 outR6(config-if)*ip access-group 1 outR6(config-if)*exitR6(config-if)*exit.255.255标准标准 ACLACLR6(config)*access-list

18、 1 permit anyR6(config)*access-list 1 permit any标准标准 ACLACL，允许任何来包，允许任何来包R6(config)*R6(config)*测试：测试：PCPCIPIP：A:A:使用静态使用静态 NATNAT：在部本地地址和部全局地址之间建立在部本地地址和部全局地址之间建立一对一的映射关系的映射关系R6*R6*.优选-.-R6*conf tR6*conf t配置静态配置静态 natnat，部本地地址和部全局地址做一对一对应，部本地地址和部全局地址做一对一对应R6(config)*interface fa2/0R6(config)*interfa

19、ce fa2/0R6(config-if)*ip nat insideR6(config-if)*ip nat inside设置设置 fa2/0fa2/0 接口为部网络接口为部网络R6(config-if)*interface s1/0R6(config-if)*interface s1/0R6(config-if)*ip nat outsideR6(config-if)*ip nat outside设置设置 s1/0s1/0 网络为外部网络网络为外部网络R6(config-if)*endR6(config-if)*endR6*R6*B B：使用动态地址转换使用动态地址转换 NATNAT：在部

20、本地地址和部全局地址之间建立动态的映射关系。在部本地地址和部全局地址之间建立动态的映射关系。这是通过指定要转换的这是通过指定要转换的本地地址和全局地址池本地地址和全局地址池，并将它们之间关联起来来实现的。路由器在需要时创立转换条目，并将它们之间关联起来来实现的。路由器在需要时创立转换条目R6*R6*R6*conf tR6*conf t.255.255设置设置 ACLACL 来设置可以被来设置可以被 NATNAT 的流量的流量设置设置 NATNAT 地址池地址池R6(config)*ip nat inside source list 2 poolciscoR6(config)*ip nat in

21、side source list 2 poolcisco设置设置 NATNAT：只有符合：只有符合 ACL2ACL2 的流量才可以被的流量才可以被 NATNAT，并使用地址池并使用地址池 ciscocisco 的地址进展转换，后可以跟的地址进展转换，后可以跟 overloadoverloadR6(config)*interface fa2/0R6(config)*interface fa2/0R6(config-if)*ip nat insideR6(config-if)*ip nat inside设置设置 fa2/0fa2/0 接口为部网络接口为部网络R6(config-if)*interf

22、ace s1/0R6(config-if)*interface s1/0R6(config-if)*ip nat outsideR6(config-if)*ip nat outside设置设置 s1/0s1/0 网络为外部网络网络为外部网络R6(config-if)*endR6(config-if)*endR6*R6*C C：使用地址重载使用地址重载overloadoverload:通过转换通过转换 TCPTCP 连接或连接或 UDPUDP 连接的端口号，连接的端口号，可以节省部全局地址池中的地址。可以节省部全局地址池中的地址。将不同的部本地地址映射到同一个部全局地址，使用部主机的将不同的部本

23、地地址映射到同一个部全局地址，使用部主机的tcp/updtcp/upd 端口号来区分它们端口号来区分它们R6*R6*R6*conf tR6*conf t.255.255设置设置 ACLACL 来设置可以被来设置可以被 NATNAT 的流量的流量R6(config)*ip nat inside source list 2 interface s1/0 overloadR6(config)*ip nat inside source list 2 interface s1/0 overloadR6(config)*interface fa2/0R6(config)*interface fa2/0R6

24、(config-if)*ip nat insideR6(config-if)*ip nat inside设置设置 fa2/0fa2/0 接口为部网络接口为部网络R6(config-if)*interface s1/0R6(config-if)*interface s1/0R6(config-if)*ip nat outsideR6(config-if)*ip nat outside设置设置 s1/0s1/0 网络为外部网络网络为外部网络R6(config-if)*endR6(config-if)*endR6*R6*D D：实现端口映射：实现端口映射Pc6Pc6 开启开启 telnettelne

25、t 功能功能目的：目的：R5R5 启用启用 ACLACL 不让网访问外网，外网访问用不让网访问外网，外网访问用 NATNAT 端口映射端口映射配置：配置：在在 R4R4 上：上：RouterenableRouterenableRouter*conf tRouter*conf tRouter(config)*hostname PC4Router(config)*hostname PC4PC4(config)*no ip domain-lookupPC4(config)*no ip domain-lookupPC4(config)*line console 0PC4(config)*line co

26、nsole 0PC4(config-line)*exec-timeout 0 0PC4(config-line)*exec-timeout 0 0PC4(config-line)*logging synchronousPC4(config-line)*logging synchronous.优选-.-PC4(config-line)*exitPC4(config-line)*exitPC4(config)*no ip routingPC4(config)*no ip routing 去除路由器的路由功能去除路由器的路由功能PC4(config)*interface s1/1PC4(config

27、)*interface s1/1PC42PC42配置配置 ipip 地址地址PC4(config-if)*no shutdownPC4(config-if)*no shutdownPC4(config-if)*exitPC4(config-if)*exitPC41PC41配置默认网关配置默认网关PC4(config)*endPC4(config)*endPC4*PC4*在在 R6R6 上：上：RouterenableRouterenableRouter*conf tRouter*conf tRouter(config)*interface s1/0Router(config)*interfac

28、e s1/0Router(config-if)*ip addressRouter(config-if)*ip addressRouter(config-if)*no shutdownRouter(config-if)*no shutdownRouter(config-if)*exitRouter(config-if)*exitRouter(config)*hostname PC6Router(config)*hostname PC6PC6(config)*no ip rouringPC6(config)*no ip rouringPC6(config)*no ip domain-lookupP

29、C6(config)*no ip domain-lookupPC6(config)*ip default-gateway 192.1PC6(config)*ip default-gateway 192.1PC6(config)*enable password ciscoPC6(config)*enable password ciscoPC6(config)*line console 0PC6(config)*line console 0PC6(config-line)*logging synchronousPC6(config-line)*logging synchronousPC6(conf

30、ig-line)*exec-timeout 0 0PC6(config-line)*exec-timeout 0 0PC6(config-line)*exitPC6(config-line)*exitPC6(config)*line vty o 4PC6(config)*line vty o 4PC6(config-line)*password ciscoPC6(config-line)*password ciscoPC6(config-line)*loginPC6(config-line)*loginPC6(config-line)*exitPC6(config-line)*exitPC6(

31、config)*exitPC6(config)*exitPC6*PC6*在在 R5R5 上：上：RouterenableRouterenableRouter*conf tRouter*conf tRouter(config)*hostname R5Router(config)*hostname R5R5(config)*interface s1/0R5(config)*interface s1/0R5(config-if)*ip addressR5(config-if)*ip addressR5(config-if)*no shutR5(config-if)*no shutR5(config-

32、if)*interface s1/1R5(config-if)*interface s1/1R5(config-if)*ip addressR5(config-if)*ip addressR5(config-if)*no shutdownR5(config-if)*no shutdownR5(config-if)*endR5(config-if)*endR5*conf tR5*conf tR5(config)*no ip domain-lookupR5(config)*no ip domain-lookupR5(config)*line con 0R5(config)*line con 0R5

33、(config-line)*logg syR5(config-line)*logg sy.优选-.-R5(config-line)*exec-timeout 0 0R5(config-line)*exec-timeout 0 0R5(config-line)*exitR5(config-line)*exit.255.255建立建立 ACLACL 不让外网通讯不让外网通讯R5(config)*access-list 1 permit anyR5(config)*access-list 1 permit anyR5(config)*interface s1/0R5(config)*interfac

34、e s1/0R5(config-if)*ip access-group 1 outR5(config-if)*ip access-group 1 outR5(config-if)*endR5(config-if)*endR5*R5*R5*conf tR5*conf tR5(config)*interface s1/0R5(config)*interface s1/0R5(config-if)*ip nat outsideR5(config-if)*ip nat outsideR5(config-if)*interface s1/1R5(config-if)*interface s1/1R5(config-if)*ip nat insideR5(config-if)*ip nat insideR5(config-if)*endR5(config-if)*endR5*R5*实现测试：实现测试：.优选-