项目7私有网络接入Internet

-1-通信工程系

《交换与路由技术》精品课程项目名称：

私有地址网络接入Internet

教学目标-2-通信工程系

《交换与路由技术》精品课程理解NAT的概念、及其工作原理理解NAT的工作原理和过程掌握在路由器上配置NATIPv4地址资源的紧缺为了解决IPv4地址资源的紧缺，在RFC1918中规定了在企业内部使用的私有地址空间。私有地址是指可不经过申请直接在内部私有网络中使用的地址，私有地址不能出现在公共网络上。而公有地址是指局域网的外部地址（即在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：A类：10.0.0.0～10.255.255.255；B类：172.16.0.0～172.31.255.255；C类：192.168.0.0～192.168.255.255。使用私有地址的网络Internet192.168.0.0/24192.168.0.0/24192.168.0.0/24LAN1LAN2LAN3NAT的基本概念NAT（NetworkAddressTranslation，简称NAT）称为网络地址转换，它是在IP地址日益短缺的情况下提出的。它是一种把内部网络的私有地址翻译成合法的公共网络的公有IP地址的技术。NAT可以有效的节约Internet公网IP地址，使得所有的内部主机都可以使用有限的外部合法地址连接到Internet网络。地址转换技术还可以有效的隐藏内部局域网中的主机，因此地址转换同时也是一种有效的网络安全保护技术。NAT的优点（1）可以节省公网IP地址，缓解IP地址资源匮乏的问题；（2）减少和消除地址冲突发生的可能性；（3）小型网络可以通过NAT的方式，灵活地接入Internet；（4）对外界隐藏内部网络结构，维持局域网的私密性。NAT的缺点（1）使用NAT必然要引入额外的延迟；（2）丧失端到端的IP跟踪能力；（3）一些特定应用可能无法正常工作，如地址转换对于报文内容中含有有用的地址信息的情况很难处理；（4）地址转换由于隐藏了内部主机地址，有时候会使网络调试变得复杂。

NAT的工作原理

Internet内网10.1.1.1内部本地地址网络地址转换表（简化）内部全局地址10.1.1.2HostB177.20.7.310.1.1.210.1.1.1AASA10.1.1.1DDA10.1.1.1199.168.2.3199.168.2.2BBSA199.168.2.2CDA199.168.2.2NAT的工作原理

10.0.0.1HostARTA10.0.0.254/24198.76.28.1/24HostB10.0.0.2InternetServer198.76.29.4/24地址池（198.76.28.11～20）InternetS=10.0.0.1D=198.76.29.4S=198.76.28.11D=198.76.29.4S=198.76.29.4D=198.76.28.11S=198.76.29.4D=10.0.0.110.0.0.2198.76.28.12NATtableInsideAddress10.0.0.1198.76.28.11GlobalAddress123465NAT的工作方式

一对一转换一对一转换是指在进行地址转换过程中，一个私有地址对应转换为一个合法的公有地址，私有地址和公有地址是一对一的关系。一对一转换可以存在静态NAT和动态一对一转换两种方式。

一对多转换

为了更有效的节约公有地址，使用了一对多超载（Overloading）方式。一对多超载是指在进行转换时将内部私有地址转换成一个外部合法的IP地址和某个传输层的端口号的组合，即“私有IP+端口号→公有IP+端口号”。一对多转换包括一对多超载和PAT（PortAddressTranslation，称为端口地址转换）两种方式。

静态一对一转换Internet内网10.1.1.210.1.1.2HostB177.20.7.32SA10.1.1.23SA199.168.2.210.1.1.310.1.1.4DA199.168.2.24DA10.1.1.2510.1.1.310.1.1.2199.168.2.3199.168.2.2NATtable内部本地地址内部全局地址10.1.1.4199.168.2.41动态一对一转换Internet内网10.1.1.210.1.1.2HostB177.20.7.32SA10.1.1.24SA199.168.2.210.1.1.310.1.1.4DA199.168.2.25DA10.1.1.26NATtable内部本地地址池本部全局地址池1310.1.1.2

199.168.2.210.1.1.3199.168.2.310.1.1.4199.168.2.4一对多超载Internet内网10.1.1.1HostB177.21.7.32SA10.1.1.110.1.1.210.1.1.3DA199.168.2.25DA10.1.1.16SA199.168.2.24NATtable1内部全局地址:端口号外部全局地址:端口号协议内部本地地址:端口号

TCP10.1.1.2:1723199.168.2.2:5723177.21.7.3:23

TCP10.1.1.3:1723199.168.2.2:5492177.21.7.3:233TCP10.1.1.1:1024199.168.2.2:5024177.21.7.3:23

PAT转换Internet内网10.1.1.1HostB177.21.7.310.1.1.210.1.1.3DA199.168.2.25NATtable1内部全局地址:端口号外部全局地址:端口号协议内部本地地址:端口号

TCP10.1.1.2:1723199.168.2.1:5723177.21.7.3:23

TCP10.1.1.3:1723199.168.2.1:5492177.21.7.3:233TCP10.1.1.1:1024199.168.2.1:5024177.21.7.3:23

199.168.2.1静态NAT配置

启动NAT功能配置静态转换关系定义内外部接口ZXR10(config)#ipnatstartZXR10(config)#ipnatinsidesourcestatic{tcp|udp}<local-ip><local-port><global-ip><global-port>

1）定义内部接口ZXR10(config-if)#ip

natinside2）定义外部接口ZXR10(config-if)#ip

natoutside静态NAT转换配置实例

配置命令详见教材图7-6基础知识第一步：在全局配置模式，启动NAT功能。RouterA(config)#ip

nat

start第二步：配置静态NAT转换规则，将内部主机192.168.1.1发出的数据包中的源地址转换为210.31.235.1发送到外部网络。RouterA(config)#ip

natinsidesourcestatic192.168.1.1210.31.235.1第三步：进入接口配置模式，配置IP地址，指定此接口为NAT的内部接口。RouterA(config)#interfacefei_0/1RouterA(config-if)#ipaddress192.168.1.254255.255.255.0RouterA(config-if)#ip

nat

inside基础知识第四步：进入另一个接口的配置模式，配置IP地址，指定此接口为NAT的外部接口。RouterA(config)#interfaceserial_0/2RouterA(config-if)#ipaddress12..0.0.1255.255.255.252RouterA(config-if)#ip

nat

outside注意：为了让上述NAT正常工作，还需要为路由器A，B配置路由器信息。（1）为路由器A配置默认路由

RouterA(config)#iproute0.0.0.00.0.0.012.0.0.2（2）为了让路由器B配置静态路由

RouterA(config)#iproute210.31.235.1255.255.255.25512.0.0.1在完成上述配置后，主机A就可以访问外部网络了，我们可以利用ping命令进行测试动态NAT配置

启动NAT功能配置NAT转换的地址池定义访问控制列表配置转换规则定义内外部接口ZXR10(config)#ipnatpool<pool-name><start-address><end-address>prefix-length<prefix-length>ZXR10(config)#ipnatinsidesourcelist<list-number>pool<pool-name>[overload]示例示例1：配置一对一动态转换。ZXR10(config)#access-list3permit10.1.1.00.0.0.255ZXR10(config)#ipnatpoolp1170.1.1.1170.1.1.254prefix-length24ZXR10(config)#ipnatinsidesourcelist3poolp1示例2：一对多超载转换。ZXR10(config)#access-list3permit10.1.1.00.0.0.255ZXR10(config)#ipnatpoolp1170.1.1.1170.1.1.254prefix-length24ZXR10(config)#ipnatinsidesourcelist3poolp1overload动态NAT配置实例详细配置步骤详见图7-7动态NAT配置实例第一步：在全局配置模式下，启动NAT功能。RouterA(config)#ip

nat

start第二步：配置名为dyn-nat的地址池，将合法外部地址段210.31.235.1至210.31.235.6加入地址池。RouterA(config)#ip

natpooldyn-nat210.31.235.1210.31.235.6prefix-length24第三步：配置标准ACL，列表号为1，匹配从源地址网段10.0.0.0/8发出的数据包RouterA(config)#aclstandardnumber1RouterA(config-stan-acl)#rule1permit192.168.1.00.0.0.255第四步：配置NAT转换语句，将内网的符合ACL1的数据包的源地址转换为地址池dyn-nat中的地址。RouterA(config)#ip

natinsidesourcelist1pooldyn-nat动态NAT配置实例第五步：进入接口配置模式，配置IP地址，指定此接口为NAT的内部接口。RouterA(config)#interfacefei_0/1RouterA(config-if)#ipaddress192.168.1.254255.255.255.0RouterA(config-if)#ip

nat

inside第六步：进入另一个接口的配置模式，配置IP地址，指定此接口为NAT的外部接口。RouterA(config)#interfaceserial_0/2RouterA(config-if)#ipaddress12.0.0.1255.255.255.252RouterA(config-if)#ip

nat

outside动态NAT配置实例注意：为了让上述NAT正常工作，还需要为路由器A、B配置路由信息。如下：（1）为路由器A配置默认路由：

RouterA(config-)#iproute0.0.0.00.0.0.012.0.0.2（2）为路由器B配置静态路由：

RouterB(config-if)#iproute210.31.235.0255.255.255.24812..0.0.1在完成上述配置后，主机A就可以访问外部网络了。我们可以利用ping命令进行测试。