网络地址转换(NAT)概述

1、Cisco PublicITE PC v4.0Chapter 11-网络地址转换(NAT)概述CCNA (640-802) 网络地址转换概述网络地址转换概述4-1地址转换的提出背景合法的IP地址资源日益短缺一个局域网内部有很多台主机，但不是每台主机都有合法的IP地址，为了使所有内部主机都可以连接因特网，需要使用地址转换地址转换技术可以有效地隐藏内部局域网中的主机，具有一定的网络安全保护作用地址转换可以在局域网内部提供给外部FTP、WWW、Telnet服务 NAT的原理改变IP包头，使目的地址、源地址或两个地址在包头中被不同地址替换网络地址转换概述网络地址转换概述4-2局域网局域网PC2PC1I

2、nternet网络地址转换概述网络地址转换概述4-3IP:Port:3010IP:Port:3000IP 数据包数据包IP:Port:3000IP:Port:3010网络地址转换概述网络地址转换概述4-4 NAT的3种实现方式静态转换动态转换端口多路复用 使用双向NAT可以处理地址交叉的情况 使用两个方向上的动态NAT 会用到4种类型的地址NAT的术语的术语2-1公司合并，公司合并，可能导致地可能导致地址交叉址交叉NAT的术语的术语2-外部主机外部主机B外部主机外部主机C10.1.

3、1.1NAT内部主机内部主机A1234SA=DA1内部本地地址内部本地地址外部本地地址外部本地地址主机主机A发出的包发出的包SA=DA=经过路由器转换的包经过路由器转换的包2内部全局地址内部全局地址外部全局地址外部全局地址经过路由器转换的包经过路由器转换的包SA=DA=4外部本地地址外部本地地址内部本地地址内部本地地址SA=DA=外部主机外部主机B返回的包返回的包3外部全局地址外部全局地址内部全局地址内部全局地址王家村的狗蛋，王家村的狗蛋，全名为王建临全名为王

4、建临李家村的狗蛋，李家村的狗蛋，全名为李家成全名为李家成狗蛋这种名字最好不要被外人知道，自家人狗蛋这种名字最好不要被外人知道，自家人知道就够了。自己对外公布的是全名。（假知道就够了。自己对外公布的是全名。（假设姓名不重复）设姓名不重复）internetAB 对于网络地址转换的理解核心在于搞清楚NAT术语中所提到的四个地址。事实上，所有的地址转换工作就是在对这四个地址进行反复的变化。因此下面的例子用十分形象和生活化的内容来解释了四个地址之间的关系。 注释： 自有网络：归自己管理，进行IP规划的网络 私有主机：属于自有网络的主机 四个术语的内容： inside local(内部本地地址) insi

5、de global(内部全局地址) outside local(外部本地地址) outside global(外部全局地址) 对于这四个地址的解释如下： inside local(内部本地地址)：在自有网络中分配给私有主机的地址，一般情况下该地址是RFC1918中定义的私有地址。inside local地址的特点是只会出现在自有网络中并且一定是给私有主机使用的。 inside global(内部全局地址)：私有主机在非自有网络中使用的地址，通常情况下inside global地址是从合法的全局统一可寻址空间中分配的地址，也就是通常所说的共有IP。inside global地址的特点是只会出现在

6、非自有网络中并且一定是给私有主机使用的。 outside local(外部本地地址)：非私有主机在自有网络内表现出来的IP地址。该地址是自有网络的管理员为本网络以外的设备所准备的用于在自有网络内使用的 IP地址。outside local地址的特点是只会出现在自有网络内但是是供给非私有主机使用的。 outside global(外部全局地址)：非私有主机在自有网络以外的区域使用的IP地址，是非私有主机所在网络的管理员负责管理个分配的。outside global地址的特点是不会出现在自有网络中而且不是给私有主机使用，不归自有网络的管理员负责。 为便于理解采用如下例子： inside local

7、自己在家里穿的拖鞋 inside global自己上班时穿的皮鞋 outside local朋友到家里访问给朋友准备的拖鞋 outside global朋友自己的鞋，随便是他的拖鞋或是皮鞋 inside代表自己，outside代表别人，local代表自己家，global代表外面。 inside local就是自己在家里活动的时候肯定需要穿拖鞋，这个拖鞋就相当于IP地址，可以看出来这种地址不会穿在别人脚上，而且不会在家里以外的地方去穿。 inside global就是自己上班时肯定要穿的皮鞋，这个皮鞋一定是给自己穿的，但是一定不会在家里穿而是要在外面穿。 outside local就是别人来家里

8、访问的时候自己给这个客人准备的拖鞋，因此不会出现在外面，而且也不会是自己穿。 outside global别人自己的鞋，无论是拖鞋还是皮鞋反正不会出现在自己家里，也不会是自己穿。 所 以insdie local地址一般都是私有地址，inside global地址多数情况下是共有地址但是在解决地址交叉问题时也可能是私有地址，outside local地址并不固定因为只是外部主机在自有网络的代表所以私有和公有地址都可以，outside global地址和自己没有任何关系所以私有或公有地址也都可以。NAT的优缺点的优缺点 NAT的优点节省公有合法IP地址处理地址交叉增强灵活性安全性 NAT的缺点延迟

9、增大配置和维护的复杂性不支持某些应用支持的业务类型和应用支持在数据流中有IP地址的业务类型不支持的业务类型任何应用数据流中不承载源/目的IP地址的TCP/UDP业务ICMP路由表更新HTTPFTP（包括PORT和 PASV)DNS区域传送TFTPTCP/IP上的NetBIOS（数据报、名称和会话服务BOOTPTelnetDNS（A和PTR查询）talk，ntalkNTPH.323/NetMeetingSNMPNFSIP多播（只转换源地址）NetshowNAT支持的数据流支持的数据流SADASAD

10、A NAT转换表转换表协议 内部用本地IP地址内部用全局IP地址外部用全局IP地址TCP:23外部主机外部主机B外部主机外部主机C转换转换LAN内部地址内部地址Internet协议 内部用本地IP地址内部用全局IP地址外部用全局IP地址TCP:1492:1492:23TCP:1723:1723:23TCP:1024:1024:

11、23复用复用LAN的内部地址的内部地址SADASADA NAT转换表转换表外部主机外部主机B外部主机外部主机CInternet-配置网络地址转换(NAT)CCNA (640-802) NAT配置配置 NAT配置步骤1、接口IP地址配置2、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池4、指定地址转换映射5、在内部和外部端口上启用NAT静态静态NAT配置配置3-1InternetNAT外部端口外部端口NAT内

12、部端口内部端口内部网络内部网络-/24 29 第一步： 设置外部端口 第二步 ：设置内部端口 第三步： 在内部本地和内部合法地址之间建立静态地址转换 第四步：在内部和外部端口上启用NATRouter(config)#ip nat inside source static 30Router(config)#ip nat inside source static 31Router(config)#i

13、nterface serial 0/0Router(config-if)#ip address 29 48Router(config)#interface FastEthernet 0/0Router(config-if)#ip address Router(config)#interface serial 0/0Router(config-if)#ip nat outsideRouter(config)#interface fastethernet 0/0Router(config-if)#

14、ip nat inside静态静态NAT配置配置3-2静态静态NAT配置配置3-3InternetSADA NAT转换转换DA30SA30 29 NAT转换表转换表协议内部用本地IP地址内部用全局IP地址外部用全局IP地址TCP30TCP31T

15、CP34外部主机外部主机外部主机外部主机InternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络-/24 29 动态动态NAT配置配置4-1Internet动态动态NAT配置配置4-2 第一步： 设置外部端口IP地址 第二步： 设置内部端口IP地址 第三步：定义内部网络中允许访问外部的访问控制列表Router(config)#interface serial 0/0Rout

16、er(config-if)#ip address 29 92Router(config)#interface FastEthernet 0/0Router(config-if)#ip address Router(config)#access-list 1 permit 55动态动态NAT配置配置4-3 第四步：定义合法IP地址池 第五步：指定网络地址转换映射 第六步：在内部和外部端口上启用NAT Router(config)#ip nat insid

17、e source list 1 pool test0Router(config)#ip nat pool test0 30 90 netmask 92Router(config)#Interface serial 0/0Router(config-if)#Ip nat outsideRouter(config)#Interface fastethernet 0/0Router(config-if)#Ip nat insideInternetSADA

18、 NAT转换转换DA30SA30 外部主机外部主机外部主机外部主机29 协议内部用本地IP地址内部用全局IP地址：端口号外部用全局IP地址TCP30TCP31TCP34NAT转换表转换表动态动态NAT配置配置4-4In

19、ternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络-54/24 29 PAT配置配置9-1 第一步 ：设置外部端口IP地址 第二步： 设置内部端口IP地址 第三步 ：定义内部网络中允许访问外部的访问控制列表 Router(config)#interface serial 0/0Router(config-if)#ip address 29 92Router(config)#interface FastEthernet 0/0Router(config-if

20、)#ip address Router(config)#access-list 1 permit 55PAT配置配置9-2 第三步：定义合法IP地址池 第五步：指定网络地址转换映射 第六步：在内部和外部端口上启用NAT Router(config)#ip nat inside source list 1 pool onlyone overloadRouter(config)#ip nat pool onlyone 30 30 netmask 48Ro

21、uter(config)#interface serial 0/0Router(config-if)#ip nat outsideRouter(config)#interface fastethernet 0/0Router(config-if)#ip nat insidePAT配置配置9-3PAT配置配置9-4InternetSADA NAT转换转换DA30SA30 外部主机外部主机外部主机外部主机29 协议内部用本地IP地址内部用全局IP地

22、址：端口号外部用全局IP地址TCP:102630：1026TCP:1121230：11212TCP54:102730：1027NAT转换表转换表54地址转换过程中，也直接使用接口的IP地址作为转换后的源地址Internet局域网局域网 -254/24PC2PC1S0:2 PC1 和和 PC2 可以直接使可以直接使用用 S0接口的接口的I

23、P 地址作为地址作为地址转换后的公用地址转换后的公用IP地址地址PAT配置配置9-5InternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络-54/24 29 10.1.1 .1 PAT配置配置9-6 第一步： 设置外部端口 第二步 ：设置内部端口 第三步 ：定义内部网络中允许访问外部的访问控制列表Router(config)# interface serial 0/0Router(config-if)# ip address29 52Router(config)# int

24、erface FastEthernet 0/0Router(config-if)# ip address Router(config)# access-list 1 permit 55PAT配置配置9-7 第四步：定义合法IP地址池直接使用路由器的接口地址，不用定义地址池 第五步：指定网络地址转换映射 第六步： 在内部和外部端口上启用NAT Router(config)#ip nat inside source list 1 interface serial0/0 overloadRouter(config)#inte

25、rface serial 0/0Router(config-if)#ip nat outsideRouter(config)#interface fastethernet 0/0Router(config-if)#ip nat insidePAT配置配置9-8PAT配置配置9-9InternetSADA NAT转换转换DA29SA29外部主机外部主机外部主机外部主机29 协议内部用本地IP地址内部用全局IP地址：端口号外部用全局IP地址TCP1

26、:102629:1026TCP:1121229:11212TCP54:102729:1027NAT转换表转换表54NAT检查与排错检查与排错3-1 常见问题动态地址池中是否有正确的范围的地址动态地址池中是否有重复的地址静态映射的地址与动态地址池中的地址之间是否有重复访问列表是否指明了要转换的正确地址，是否漏掉一些地址，是否包括了一些不该包括的地址是否指明了正确的内部和外部接口不对称路由问题NAT检查与排错检查与排错3-2 测试联通性验证NAT配置 命令show ip nat translationsshow ip nat statisticsRouter# show ip nat translations Pro inside global inside local outsid