DCN-ROUTE-004-NAT网络地址转换v1.2课件

DCN-ROUTE-004

NAT-网络地址转换

V1.0

客服中心技术支持团队目录NAT概述NAT术语NAT原理及规则

实验案例NAT配置可选参数NAT概述按照目前Internet网络迅猛发展的速度，到2010年IPv4的地址将消耗殆尽。目前IPv6(IPng)的推广和部署受到一定的阻力，无法在短时间内完成网络从IPv4到IPv6的过渡。目前解决IP地址短缺的有效方法：NAT和CIDRNAT概述NAT(NetworkAddressTranslator)网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。NAT概述使用NAT的优点：节省IP地址，减少费用减少地址冲突安全性高NAT概述使用NAT的缺点：延时大对数据报跟踪比较困难会影响别的应用正常工作NAT概述NAT有以下几种应用:1、M-1:内部网多个地址翻译到一个IP地址。2、1-1:简单的一对一地址翻译。3、M-N:内部网多个地址翻译到地址池中的多个IP地址。NAT术语公有地址和私有地址私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：

-55-55-55

NAT术语NAT术语内部局部地址（insidelocal）：在内部网络上一个主机被管理员自行指定的IP地址。这个地址不是网络信息中心(NIC)或服务提供商所分配的合法IP地址，如果与外部网络通信需要进行地址转换。内部全局地址（insideglobal）：一个合法的可被公网路由器路由的IP地址(由NIC或服务供应商分配)，向外部网络描述一个或多个本地IP地址。NAT术语外部局部地址（outsidelocal）：被内部网络主机看到的一个外部主机的IP地址。它不一定是合法地址，可以在内部网络中从可路由的地址空间进行分配，只要内部网络可以对这个地址空间进行路由。外部全局地址（outsideglobal）：分配给外部网络主机的可被公网路由器路由的IP地址。该地址可以从全局可路由地址或网络空间进行分配。NAT术语访问列表指定了翻译对象的集合。是对翻译对象的限制。只有符合访问列表的对象才能被翻译。如果是内部源地址翻译，则指明可以上网的内部地址集合。如果是内部目的地址翻译，则指明了可提供服务的内部主机集合的外部可见地址。NAT术语地址池地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。NAT术语生存时间（TTL）每一个NAT的连接都记录着一个生存时间TTL，用于维护连接的有效性。TTL在连接建立时被赋初值，有相关报文流经时被复位，计时器到时被递减。当TTL减到0时，连接将被删除。NAT原理及规则静态翻译指定了翻译的确切对象和目标，翻译前与翻译后的IP地址是指定了的单一IP地址，或按照某一简单法则建立的一一对应关系。具体的可以分为3种：静态单个地址翻译规则静态网段地址翻译规则静态TCP/UDP翻译规则NAT原理及规则动态翻译具有某些不确定性：如基于PAT翻译的TCP/UDP的端口具有不确定性，基于地址池的可能随机选择地址池中的某一IP地址。常见选择方式如下：基于可提供的公网地址的数目的多少而选择。当公网地址足够多时，可采用地址池的翻译方式。当公网地址足够少（如1个），则采用基于接口的翻译方式。NAT原理及规则对于静态翻译规则，翻译的对象与目标是固定的，故连接的方向是可以不受限制。一旦把这个规则配置了，那么就会产生一条固定nat的转换条目，并且一直有效。没有什么触发方向，既支持内部到外部的连接，也支持外部到内部的连接。对于动态翻译来说，配置了规则之后，并不马上生成nat转换条目。直到有符合转换规则的数据包来触发路由器的nat操作后，才会生成一条nat转换条目，该条目有一定的生存时间，过了生存时间后，该条目会被清除掉。翻译时的对象与目标具有不确定性，不正确的方向可能导致无法正确选择翻译目标。NAT原理及规则NAT的处理流程:1.即时报文处理。2.定时对连接进行有效性检查3.触发事件处理NAT配置要素动态NAT1、定义访问列表

2、定义地址池（可用外网接口地址代替）

3、指定内网口和外网口

4、定义转换规则静态NAT1、指定内网口和外网口2、定义转换规则实验1.PAT-端口地址转换PAT-配置命令第一步：标记NAT的进出端口Router_config_f0/3#ipnatinside

标记当前接口连接到内部Router_config_f0/0#ipnatoutside

标记当前接口连接到外部第二步：创建允许转换的数据包规则Router_config#ipaccess-liststandard访问列表名Router_config_std_nacl#permit内网地址

子网掩码第三步：在内部本地地址和转换端口之间建立地址转换规则Router_config#ipnatinsidesourcelist访问列表名interfaceFastEthernet0/0

PAT-地址转换条目Router#showipnattranslationsPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalTCPOUT:47700:4770:23:23

createtime00:01:20,lefttime00:00:10PAT-地址转换过程Router#debugipnatdetail

2002-1-102:23:07NATFastEthernet0/0:TX.TCPs=:4771->0:4771,d=:23translated2002-1-102:23:07NATFastEthernet0/0:RX.TCPs=:23,d=0:4771->:4771translated2002-1-102:23:07NATFastEthernet0/0:TX.TCPs=:4771->0:4771,d=:23translated2002-1-102:23:07NATFastEthernet0/0:RX.TCPs=:23,d=0:4771->:4771translated

实验2.动态地址池配置动态地址池第一步：标记NAT的进出端口Router_config_f0/3#ipnatinsideRouter_config_f0/0#ipnatoutside第二步：创建允许转换的数据包规则Router_config#ipaccess-liststandard访问列表名Router_config_std_nacl#permit内网地址

子网掩码第三步：定义一个关于全局地址的地址池Router_config#ipnatpool地址池名起始ip地址结束ip地址子网掩码第四步：建立动态的地址转换，应用之前定义的访问控制列表，并加上关键字overload。Router_config#ipnatinsidesourcelist访问列表名pool地址池名overload

动态地址池-地址转换条目Router#shipnattranslationsPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalICMPOUT:512:6512:6512:6512createtime00:00:35,lefttime00:00:30动态地址池-地址转换过程Router#debugipnatdetail2002-1-102:15:32NATFastEthernet0/0:TX.ICMPs=:512->:6512,d=:6512translated2002-1-102:15:32NATFastEthernet0/0:RX.ICMPs=:6512,d=:6512->:512translated2002-1-102:15:33NATFastEthernet0/0:TX.ICMPs=:512->:6512,d=:6512translated2002-1-102:15:33NATFastEthernet0/0:RX.ICMPs=:6512,d=:6512->:512translated实验3.静态地址映射配置静态地址映射第一步：标记NAT的进出端口Router_config_f0/3#ipnatinsideRouter_config_f0/0#ipnatoutside

第二步：在内部本地地址与全局地址之间建立静态的转换Router_config#ipnatinsidesourcestatic内部本地地址内部全局地址

静态地址映射-地址转换条目Router_config#shipnattranslationsPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobal-------0------静态地址映射配置完后，会立刻生成一条nat转换条目，该条目一直有效，路由器为该会话的后续数据包做nat转换的时候，将一直使用此条目。静态地址映射-地址转换过程Router#debugipnatdetail2002-1-200:24:46NATFastEthernet0/0:TX.ICMPs=->0,d=translated2002-1-200:24:46NATFastEthernet0/0:RX.ICMPs=,d=0->translated2002-1-200:24:47NATFastEthernet0/0:TX.ICMPs=->0,d=translated2002-1-200:24:47NATFastEthernet0/0:RX.ICMPs=,d=0->translated实验4.端口静态映射配置端口静态映射第一步：标记NAT的进出端口Router_config_f0/3#ipnatinsideRouter_config_f0/0#ipnatoutside

第二步：在内部本地地址端口和与全局地址端口之间建立静态的转换。Router_config#ipnatinsidesourcestatictcp内部本地地址内部映射端口内部全局地址自定端口端口静态映射-地址转换条目Router#shipnattranslations

Pro.DirInsidelocalInsideglobalOutsidelocalOutsideglobalTCP---:23:23------端口静态映射-地址转换过程Router#debugipnatdetail2002-1-201:30:48NATFastEthernet0/0:RX.TCPs=0:1041,d=:23->:23translated2002-1-201:30:51NATFastEthernet0/0:RX.TCPs=0:1041,d=:23->:23translated实验5.网吧私服应用网吧私服应用-配置第一步：打开特殊私服服务Router_config#

ipnatserviceprivateservice

第二步：定义地址转换规则Router_config#ipnatoutsidedestinationstatic公网地址

内部地址Router_config#

ipnatinsidesourcestatic内部地址公网地址

网吧私服应用-转换条目Router#shipnattrPro.DirInsidelocalInsideglobalOutsidelocalOutsideglobal---