地址转换-NAT课件

1、地址转换NAT地址转换概述 如RFC1631 所描述，NAT（Network Address Translation，地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP 地址代表多数的私有IP 地址的方式将有助于减缓可用IP 地址空间枯竭的速度。2地址转换的提出背景地址转换是在IP地址日益短缺的情况下提出的。一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。地址转换技术可以有效的隐藏内部

2、局域网中的主机，因此同时是一种有效的网络安全保护技术。同时地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。3私有地址和公有地址InternetLAN1LAN2LAN3私有地址范围： - 55 - 55 - 55私有地址是指内部网络或主机地址，公有地址是指在因特网上全球唯一的IP 地址。上述三个范围内的地址不会在因特网上被分配，因而可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。4地址转换的原理 上述的NAT 过程对终端（如图中的PC 和服务器）来说是透明的。对外部服务器而言，它认为内部PC 的IP 地址就是，并不知道有 这个地址。因此， NA

3、T“隐藏”了企业的私有网络。地址转换的优点在于，为内部主机提供了“隐私”（Privacy）保护前提下，实现了内部网络的主机通过该功能访问外部网络资源。但它也有一些缺点：6地址转换的原理由于需要对数据报文进行IP 地址的转换，涉及IP 地址的数据报的报头不能被加密。在应用协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用加密的FTP 连接，否则FTP 的port 命令不能被正确转换。网络调试变得更加困难。比如，某一台内部网络的主机试图攻击其它网络，则很难指出究竟是哪一台机器是恶意的，因为主机的IP 地址被屏蔽了。在链路的带宽低于10Mbit/s 速率时，地址转换对网络性能基

4、本不构成影响，此时，网络传输的瓶颈在传输线路上；当速率高于10Mbit/s 时，地址转换将对路由器性能产生一些影响。7地址转换实现的功能如果我们可能希望某些内部的主机具有访问Internet（外部网络）的权利，而某些主机不允许访问。即当NAT 进程查看数据报报头内容时，如果发现源IP 地址是为那些不允许访问网络的内部主机所拥有的，它将不进行NAT 转换。这就是一个对地址转换进行控制的问题。Quidway 系列路由器可以通过定义地址池来实现多对多地址转换，同时利用访问控制列表来对地址转换进行控制的。 地址池：用于地址转换的一些公有IP 地址的集合。用户应根据自己拥有的合法IP 地址数目、内部网络

5、主机数目以及实际应用情况，配置恰当的地址池。地址转换的过程中，将会从地址池中挑选一个地址做为转换后的源地址。 利用访问控制列表限制地址转换：只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围，使特定主机能够有权利访问Internet。9NAPT网络地址端口转换 还有一种NAT 变形这就是NAPT（Network Address Port Translation），NAPT允许多个内部地址映射到同一个公有地址上，非正式的也可称之为“多对一地址转换”或地址复用。NAPT 映射IP 地址和端口号，来自不同内部地址的数据报可以映射到同一外部地址，但他们被转换为该地

6、址的不同端口号，因而仍然能够共享同一地址。也就是与之间的转换。10NAPT网络地址端口转换11地址转换的原理Internet局域网PC2PC1IP:Port:3000IP 报文IP:Port:4000IP:Port:3010IP:Port:4001地址转换IP:Port:301012内部服务器 NAT 隐藏了内部网络的结构，具有“屏蔽”内部主机的作用，但是在实际应用中，可能需要提供给外部一个访问内部主机的机会，如提供给外部一个WWW的服务器，或是一台FTP 服务器。使用NAT 可以灵活地添加内部服务器，例如，可以使用0 作为Web 服务器的外部地址；使用1 作为FTP 服务器的外部地址；甚至还

7、可以使用2:8080 这样的地址作为Web 的外部地址；还可为外部用户提供多台同样的服务器（如提供多台Web 服务器）。 Quidway 系列路由器的NAT 功能提供了内部服务器功能供外部网络访问。外部网络的用户访问内部服务器时，NAT 将请求报文内的目的地址转换成内部服务器的私有地址。对内部服务器回应报文而言，NAT 要将回应报文的源地址（私网地址）转换成公网地址。13内部服务器的应用Internet内部服务器外部用户E0Serial 0内部地址:内部端口:80外部地址:外部端口:80IP:配置地址转换:IP地址:端口:8080允许外部用户访问内部服务器14使用地址池进行地址转换地址池用来动

8、态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。地址池可以支持更多的局域网用户同时上Internet。Internet局域网PC2PC1地址池16利用ACL控制地址转换可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。Internet局域网PC2PC1设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。17NAT（外网内网实现流程公网地址私网地址私网端口公网端口2121Internet内部网络/8NAT路由器公用地址池 DI:,SI:DP:21,SP:1044DI:,SI:DP:1044,SP:21

9、DI:,SI:DP:1044,SP:21路由器查找地址转换表并实施地址转换路由器查找地址转换表并实施地址转换12345FTP客户FTP服务器6静态配置地址转换表项DI:,SI:DP:21,SP:104419NAT 配置NAT 配置包括： 配置地址池 配置地址转换 配置Easy IP 配置多对多地址转换 配置NAPT 配置内部服务器20NAT 配置配置地址池 地址池是一些连续的IP 地址集合，当内部数据包通过地址转换到达外部网络时，将会选择地址池中的某个地址作为转换后的源地址。 请在系统视图下进行下列配置。 当某个地址池已经和某个访问控制列表关联进行地址转换，是不允许删除这个地址池的。21配置地

10、址转换 将访问控制列表和地址池关联（或接口地址）后，即可实现地址转换。这种关联指定了“具有某些特征的IP 报文”才可以使用“这样的地址池中的地址（或接口地址）”。 当内部网络有数据包要发往外部网络时，首先根据访问列表判定是否是允许的数据包，然后根据转换关联找到与之对应的地址池（或接口地址）进行转换。 访问控制列表的配置请参见相关章节. 不同形式的形式地址转换，配置方法稍有不同。22配置地址转换Easy IP如果地址转换命令不带address-group 参数，即仅使用nat outbound acl-number命令，则实现了easy-ip 的特性。地址转换时，直接使用接口的IP 地址作为转换

11、后的地址，利用访问控制列表控制哪些地址可以进行地址转换。请在接口视图下进行下列配置。当直接使用接口地址作为NAT 转换后的公网地址时，若修改了接口地址应该首先使用reset nat session 命令清除原NAT 地址映射表项，然后再访问外部网络；否则就会出现原有NAT 表项不能自动删除，也无法使用reset nat 命令删除的情况。23配置地址转换配置一对一地址转换(1) 配置一对一地址转换请在系统视图下进行下列配置。(2) 使一对一转换在接口上生效24配置地址转换配置NAPT 将访问控制列表和NAT 地址池关联时，如果选择no-pat 参数，则表示只转换数据包的IP 地址而不使用端口信息

12、，即不使用NAPT 功能；如果不选择no-pat 参数，则启用NAPT 功能。缺省情况是启用。请在接口视图下进行下面配置。26配置地址转换配置内部服务器 通过配置内部服务器，可将相应外部地址、端口等映射到内部的服务器上，提供了外部网络可访问内部服务器的功能。内部服务器与外部网络的映射表是由nat server 命令配置的。 用户需要提供的信息包括：外部地址、外部端口、内部服务器地址、内部服务器端口以及服务协议类型。27NAT 配置举例1. 组网需求 如下图所示，一个公司通过Quidway 路由器的地址转换功能连接到广域网。要求该公司能够通过Quidway 路由器串口3/0/0 访问intern

13、et，公司内部对外提供www、ftp 和smtp 服务，而且提供两台www 的服务器。公司内部网址为/16。其中，内部ftp 服务器地址为，内部www 服务器1 地址为，内部www 服务器2 地址为，内部smtp 服务器地址为，并且希望可以对外提供统一的服务器的IP 地址。内部/24 网段可以访问Internet，其它网段的PC 机则不能访问Internet。外部的PC 可以访问内部的服务器。公司具有00 至 05 六个合法的IP 地址。选用00 作为公司对外的IP 地址，www 服务器2 对外采用8080 端口。29NAT 配置举例30NAT 配置举例3. 配置步骤# 配置地址池和访问控制列

14、表。Quidway nat address-group 1 00 05Quidway acl number 2001Quidway-acl-basic-2001 rule permit source 55Quidway-acl-basic-2001 rule deny source 55Quidway-acl-basic-2001 quit# 允许/24 网段地址转换。Quidway interface Serial3/0/0Quidway-Serial3/0/0 nat outbound 2001 address-group 131NAT 配置举例# 设置内部ftp 服务器。Quidway-Serial3/0/0 nat server protocol tcp global 00 inside ftp# 设置内部www 服务器1。Quidw