中职教育一年级上学期电子与信息《网络地址转换NAT技术》教学课件

网络地址转换NAT目录（NAT）的基本知识1（NAT）的分类及配置2NAT基本概念NAT基本概念NAT概念：NAT(NetworkAddressTranslation)网络地址转换，是一种IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，是把内部私有网络地址转换成合法外部公有网络地址的技术。由于当前TCP/IP协议版本IPv4，具有天生缺陷，IP地址数量不够多，难以满足目前爆炸性增长的IP需求；如果专用网络的计算机要访问Internet，则组织机构在连接Internet的设备上至少需要一个公有IP地址，然后采用NAT技术，将内部网络的计算机私有IP地址转换为公有IP地址，从而让使用私有IP地址的计算机能够和Internet中的计算机进行通信。NAT分类NAT类型静态NAT动态NAT动态NAPT静态NAT静态NAT：在路由器中，将内网IP地址固定的转换为外网IP地址，通常应用在允许外网用户访问内网服务器的场景。静态NAT的工作过程如图所示。动态NAT动态NAT：将一个内部IP地址转换为一组外部IP地址池中的一个IP地址（公有地址）。动态NAT和静态NAT的在地址转换上很相似，只是可用的公有IP地址不是被某个专用网络的计算机所永久独自占有。动态NAT的工作过程如图所示。

动态NAPT动态NAPT：以IP地址及端口号（TCP或UDP）为转换条件，将内部网络的私有IP地址及端口号转换成外部公有IP地址及端口号。在静态NAT和动态NAT中，都是“IP地址”到“IP地址”的转换关系，而动态NAPT，则是“IP地址+端口”到“IP地址+端口”的转换关系。动态NAPT的工作过程如图所示。

静态NAPT静态NAPT：在路由器中以“IP+端口”形式，将内网IP及端口固定转换为外网IP及端口，应用在允许外网用户访问内网计算机特定服务的场景。静态NAPT的工作工程如图所示。

静态NAT配置示例案例6-5静态NAT配置示例案例背景与要求：如图所示，Jan16公司通过路由器R1接入到Internet，相关背景和需求如下。公司向Internet申请了2个公网IP：200.10.1.2和200.10.1.3。公司的Web服务器需要以静态NAT方式对外提供服务，映射IP为200.10.1.3。静态NAT配置示例案例配置思路为各设备接口配置IP地址；在路由器R1配置NAT，将Web服务器映射到200.10.1.3。案例配置过程路由器R1配置其他设备IP配置（省略）[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.0.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd200.10.1.224[R1-GigabitEthernet0/0/1]natstaticglobal200.10.1.3inside192.168.0.2[R1-GigabitEthernet0/0/1]quit静态NAT配置示例案例验证在路由器R1上执行【displaynatstatic】命令，查看公有IP地址与私有IP地址的映射关系。<R1>displaynatstaticStaticNatInformation:Interface:GigabitEthernet0/0/1GlobalIP/Port:200.10.1.3/----InsideIP/Port:192.168.0.2/----Protocol:----VPNinstance-name:----Aclnumber:----Netmask:255.255.255.255Description:----Total:1静态NAT配置示例在公网主机PC1中，执行【ping200.10.1.3】命令，测试与内网WEB服务器的连通性，结果显示可以成功连接Web服务器。PC>ping200.10.1.3Ping200.10.1.3:32databytes,PressCtrl_CtobreakFrom200.10.1.3:bytes=32seq=1ttl=127time=47msFrom200.10.1.3:bytes=32seq=2ttl=127time=47msFrom200.10.1.3:bytes=32seq=3ttl=127time=47msFrom200.10.1.3:bytes=32seq=4ttl=127time=31msFrom200.10.1.3:bytes=32seq=5ttl=127time=63ms

---200.10.1.3pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=31/47/63ms动态NAT配置示例案例背景与要求：如图所示，Jan16公司通过路由器R1接入Internet，相关背景和需求如下。公司向Internet申请了1批公网IP：200.10.1.1~200.10.1.20。公司内网计算机（192.168.1.0/24）可通过路由器R1随机映射到公网，实现内外网互访。动态NAT配置思路案例配置思路为各设备接口配置IP地址；在路由器R1配置公网IP地址池；在路由器R1配置ACL规则，该规则定义了可用于映射公网的主机；在路由器R1配置动态NAT，将符合ACL规则的主机自动映射到公网地址池IP中。案例配置过程路由器R1主要配置

[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.1.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd200.10.1.124[R1]nataddress-group1200.10.1.2200.10.1.20[R1]acl2000[R1-acl-basic-2000]rule5permitsource192.168.1.00.0.0.255[R1-acl-basic-2000]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1no-pat案例验证案例验证在路由器R1上执行【displaynataddress-groupgroup-index】命令，查看NAT地址池配置信息或执行【displaynatoutbound】命令，查看动态NAT配置信息。[R1]displaynataddress-group1NATAddress-GroupInformation:--------------------------------------IndexStart-addressEnd-address1200.10.1.2200.10.1.20[R1]displaynatoutboundNATOutboundInformation:----------------------------------------------------------------InterfaceAclAddress-group/IP/InterfaceType----------------------------------------------------------------GigabitEthernet0/0/120001no-pat----------------------------------------------------------------Total:1NAPT配置示例NAPT配置示例案例背景与要求：如图所示，Jan16公司通过动态NAT实现了内网主机和公网之间的通信，但随着公司员工的不断增加，有限的公网IP地址已不能满足所有员工上网需求，公司希望采用NAPT来解决更多员工的外网接入需求。案例配置思路案例配置思路为各设备接口配置IP地址；在路由器R1配置公网IP地址池；在路由器R1配置ACL规则，该规则定义了可用于映射公网的主机；在路由器R1配置NAPT，将符合ACL规则的主机自动映射到公网地址池IP中。案例配置过程案例配置过程路由器R1主要配置[R1]interfaceg0/0/0[R1-GigabitEthernet0/0/0]ipadd192.168.1.25424[R1-GigabitEthernet0/0/0]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]ipadd200.10.1.124[R1]nataddress-group1200.10.1.2200.10.1.20[R1]acl2000[R1-acl-basic-2000]rule5permitsource192.168.1.00.0.0.255[R1-acl-basic-2000]quit[R1]interfaceg0/0/1[R1-GigabitEthernet0/0/1]natoutbound2000address-group1案例验证案例验证私网主机PC1和PC2中，执行【ping200.10.1.201】命令，测试内网主机与外网的连通性，结果显示可以成功连接外网。PC>ping200.10.1.201Ping200.10.1.201:32databytes,PressCtrl_CtobreakFrom200.10.1.201:bytes=32seq=1ttl=127time=15msFrom200.10.1.201:bytes=32seq=2ttl=127time=15msFrom200.10.1.201:bytes=32seq=3ttl=127time=32msFrom200.10.1.201:bytes=32seq=4ttl=127time=31msFrom200.10.1.201:bytes=32seq=5ttl=127time=16ms---200.10.1.201pingstatistics---5packet(s)transmitted5packet(s)received0.00%packetlossround-tripmin/avg/max=15/21/32ms案例验证在路由器R1上执行【displaynatsessionall】命令，查看NAPT会话信息。[R1]dispnatsessionallNATSessionTableInformation:Protocol:ICMP(1)SrcAddrVpn:192.168.1.1