NP12网络地址转换NAT

第十二章

网络地址转换（NAT）交换今日汗水，路由明朝辉煌教学目标掌握网络地址转换（NAT）的概念掌握NAT的类型及应用场合掌握NAT工作原理及配置方法本章内容NAT概述NAT配置与调试NAT的功能课程议题NAT概述NAT概念地址空间不足带来的问题注册IP地址空间将要耗尽，而Internet的规模仍在持续增长随着Internet的增长，骨干互联网路由选择表中的IP路由条目也在增加，这引发了路由选择算法的扩展问题NAT概念网络地址转换NAT（NetworkAddressTranslation）NAT是一种大型网络中节约注册IP地址数量，并简化IP寻址管理任务的机制。NAT已经标准化并在RFC1613中描述它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP地址出现在Internet上它是一种把内部私有网络地址翻译成合法公网IP地址的技术什么时候使用NAT局域网与Internet互联时，需要使用NAT技术常见实现方式代理服务器proxy、ISA、ICS、

wingate、sysgate等NAT/NAPT(网络地址转换/网络地址端口转换)路由器、防火墙、核心交换机、服务器NAT/NAPT带来的好处解决地址空间不足的问题；IPv4的空间已经严重不足私有IP地址网络与公网互联；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16非注册IP地址网络与公网互联；建网时分配了全局IP地址－但没注册网络改造中，避免更改地址带来的风险什么是NAT/NAPT概念：NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为NAT的类型NAT（NetworkAddressTranslation） 转换后，一个本地IP地址对应一个全局IP地址NAPT（NetworkAddressPortTranslation） 转换后，多个本地地址对应一个全局IP地址NAT/NAPT的术语Inside：表示内部网络，这些网络的地址需要被转换。在内部网络，每台主机都分配一个内部IP地址，但与外部网络通讯时，又表现为另外一个地址。每台主机的前一个地址又称为本地地址，后一个地址又称为全局地址。Outside：指内部网络需要连接的网络，一般指互联网，也可以是另外一个机构的网络。外部的地址也可以被转换，外部主机也同时具有内部地址和外部地址。互联网OutsideInside企业内部网外部网NAT/NAPT的术语内部本地地址（InsideLocalAddress）

分配给内部网络主机的IP地址，可能是非法的未向相关机构注册的IP地址，也可能是合法的私有网络地址。内部全局地址（InsideGlobalAddress）

合法的全局可路由地址，在外部网络代表着一个或多个内部本地地址。外部本地地址（OutsideLocalAddress）

外部网络的主机在内部网络中表现的IP地址，该地址是内部可路由地址，往往是一个公网地址。外部全局地址（OutsideGlobalAddress）

外部网络分配给外部主机的IP地址，可能是一个私网地址课程议题NAT配置与调试NAT分类根据NAT的映射方式可分为：静态NAT：手动建立一个内部IP地址到一个外部IP地址的映射关系该方式经常用于企业网的内部设备需要能够被外部网络访问到的场合动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址常用于整个公司共用多个公网IP地址访问Internet时NAT分类超载（Overloading）NAT：动态NAT的一种特殊形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。用于整个公司共用1个公网IP地址访问Internet时重叠（Overlapping）NAT：当在内部网络中使用的IP地址是其他网络中已经使用的ip时，NAT路由器就需要维护一张查找表，以便用唯一的IP地址来替换这些重复的IP地址。NAT路由器不但要将这些内部IP地址转换为一个唯一的地址，而且将外部地址转换为外部一个唯一的地址。静态与动态NAT静态NAT需要向外网络提供信息服务的主机永久的一对一IP地址映射关系动态NAT只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数最多访问外网主机数决定于全局IP地址数临时的一对一IP地址映射关系NAT示例内部本地地址内部全局地址192.168.12.2200.168.12.2192.168.12.0/24192.168.12.2192.168.12.1168.168.12.1InsideOutside源地址：192.168.12.2

目的地址：168.168.12.1源地址：200.168.12.2

目的地址：168.168.12.1源地址：168.168.12.1

目的地址：200.168.12.2源地址：168.168.12.1

目的地址：192.168.12.2配置静态NAT建立静态的映射关系Router(config)#ip

natinsidesourcestaticlocal-addressglobal-address定义内网接口和外网接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ip

natinside

Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ip

natoutside

示例192.168.12.2F1/0192.168.12.1InsideOutsideS1/2200.168.12.1内部本地地址内部全局地址192.168.12.2200.168.12.2Router(config)#ip

natinsidesourcestatic192.168.12.2

200.168.12.2Router(config)#interfacefastEthernet1/0Router(config-if)#ip

natinsideRouter(config)#interfaceserial1/2

Router(config-if)#ip

natoutside配置动态NAT定义内网接口和外网接口

Router(config-if)#ip

natoutside

Router(config-if)#ip

natinside定义内部本地地址范围，只有匹配该列表才转换

Router(config)#access-listaccess-list-numberpermitip-addresswildcard

定义内部全局地址池 Red-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmask

mask|prefix-lengthprefix-length}建立映射关系

Router(config)#ip

natinsidesourcelistaccess-list-numberpooladdress-pool

示例interfaceFastEthernet1/0

ipaddress192.168.12.1255.255.255.0ip

natinside!interfaceSerial1/2ipaddress200.168.12.1255.255.255.0encapsulationppp

ip

natoutside!ip

natpoolnet200200.168.12.2200.168.12.100netmask255.255.255.0ip

natinsidesourcelist1poolnet200access-list1permit192.168.12.00.0.0.255NAPT配置传统的NAT一般是指一对一的地址映射，不能同时满足所有的内部网络主机与外部网络通讯的需要。使用NAPT，可以将多个内部本地地址映射到一个内部全局地址，路由器用“内部全局地址+TCP/UDP端口号”来对应“一个内部主机地址+TCP/UDP端口号”。当进行NAPT转换时，路由器需要维护足够的信息（比如IP地址、TCP/UDP端口号）才能将全局地址转换回内部本地地址，目前RGNOS的NAT缺省就是支持NAPT转换的。静态与动态NAPT静态NAPT需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址+端口”映射关系NAPT工作原理源IP:192.168.1.7:1024目的IP:63.5.8.1:80内部本地地址：端口内部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:200.8.7.3:1024200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7Web服务源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:192.168.1.7:1024源IP:63.5.8.1:80目的IP:192.168.1.7:1024配置静态NAPT定义全局IP地址池

Router(config)#ip

natinsidesourcestatic{UDP|TCP}local-addressportglobal-addressport

定义内网接口和外网接口

Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ip

natinside

Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ip

natoutside配置静态NAPT相关说明如果有条件，尽量不要用outside接口的全局地址作为内部全局地址，该接口地址的所有者是互联网服务提供商（ISP）。当线路变更时该地址就会改变，就需要更改DNS记录了，如果是直接通过IP提供服务，那就更麻烦了，而线路的变更是常有的事。配置动态NAPT定义内网接口和外网接口

Router(config-if)#ip

natoutside

Router(config-if)#ip

natinside定义内部本地地址范围，只有匹配该列表才转换

Router(config)#access-listaccess-list-numberpermitip-addresswildcard

定义内部全局地址池 Red-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmask

mask|prefix-lengthprefix-length}建立映射关系

Router(config)#ip

natinsidesourcelistaccess-list-numberpooladdress-pool

overload什么时候用NAPT缺乏全局IP地址甚至没有专门申请的全局IP地址，只有一个连接ISP的全局IP地址内部网络要求上网的主机数很多提高内部网络的安全性调整地址转换超时时间静态NAT转换是永久有效的，但动态NAT转换过一定的时间，如果一直处于空闲状态，就会超时。对于不同的协议，以及不同应用，超时时间都不一样。要调整NAT地址转换超时时间，在全局配置模式中执行。调整地址转换超时时间命令作用Red-Giant(config)#ip

nattranslationdns-timeoutseconds定义DNS转换记录的超时时间，缺省60秒Red-Giant(config)#ip

nattranslationfinrst-timeoutseconds定义TCP连接FIN以及RESET后转换记录的超时时间，缺省60秒Red-Giant(config)#ip

nattranslationicmp-timeoutseconds定义ICMP转换记录的超时时间，缺省60秒Red-Giant(config)#ip

nattranslationtcp-timeoutseconds定义TCP连接转换记录的超时时间，缺省24小时Red-Giant(config)#ip

nattranslationudp-timeoutseconds定义UDP连接转换记录的超时时间，缺省300秒NAT的监视和维护命令显示命令显示翻译统计

showip

natstatistics显示活动翻译

showip

nattranslations[verbose]清除状态命令从NAT转换表中清除所有动态地址转换项

clearip

nattranslation*课程议题NAT的功能NAT功能NAT功能：内部网络地址转换复用内部的全局地址TCP负载均衡解决网络地址重叠复用内部的全局地址将一个内部全局地址用于同时代表多个内部局部地址主要用IP地址和端口号的组合来唯一区分各个内部主机TCP负载均衡TCP负载均衡：用于将一台虚拟的主机映射到几台真实的主机上。TCP负载均衡示例Router(config)#access-list10permithost10.1.1.127Router(config)#ip

natpoolwebserver10.1.1.110.1.1.3prefix-length24typerotaryRouter(config)#ip

nat

outsidedestinationlist10poolwebserverRouter(config)#interface

fasetEthernet0/0Router(config-if)#ipaddress10.1.1.254255.255.255.0Router(config-if)#ip

natinsideRouter(config-if)#exitRouter(config)#interface

fasetEthernet0/1Router(config-if)#ipaddress172.16.2.1255.255.255.0Router(config-if)#ip

natoutsideRouter(config-if)#exit地址重叠的NAT转换解决网络地址重叠示例Router(config)#access-list10permit10.1.1.00.0.0.255Router(config)#ip

natpoolin-out192.2.2.1192.2.2.254prefix-length24Router(config)#ip

natpoolout-in192.3.3.1192.3.3.254prefix-length24Router(c