《计算机网络技术》课件-NAT

主讲：目录1NAT产生的背景及定义2NAT使用的术语3NAT解决的问题4NAT的工作方式NAT产生的背景及定义1NAT产生的背景及定义IP地址危机IP地址现状：即将耗尽解决方案：IPv6过渡方案：NAT+私有地址NAT产生的背景及定义私有地址类别CIDR前缀IP地址范围A10.0.0.0/810.0.0.0~10.255.255.255B172.16.0.0/12172.16.0.0~172.31.255.255C192.168.0.0/16192.168.0.0~192.168.255.255通常，一个局域网由于申请不到足够多的IP地址，在局域网内部采用私有IP地址为设备编址。但是，私有IP地址不经过注册即可使用，这导致这些地址是不唯一的，只能在局域网内部使用。NAT产生的背景及定义

NAT的定义为了使具有私有IPv4地址的设备能够访问本地网络之外的设备和资源，必须首先将私有地址转换为公有地址。此时，NAT（网络地址转换）就应运而生了。NAT使用的术语2NAT使用的术语内部网络与外部网络内部网络：需要经过转换的网络地址集外部网络：指所有其他网络NAT使用的术语

内部本地地址：局域网内设备的私有IP地址内部全局地址：经过NAT转换后的公有IP地址外部本地地址：互联网上设备的公有IP地址外部全局地址：一般而言与外部本地地址相同NAT四类地址NAT的工作方式3NAT的工作方式在图中，具有私有地址192.168.10.10的PC1想要与具有公有地址209.165.201.1的外部Web服务器通信。NAT具体工作流程如下：NAT的工作方式

PC1发送了一个目标地址为Web服务器的数据包，数据包由R1转发到R2。当数据包到达R2时，R2会读取数据包的源IPv4地址，以确定数据包是否符合规定的转换标准。NAT的工作方式

源IPv4从192.168.10.10转换为209.165.200.226R2将此本地与全局地址映射关系添加到NAT表中。R2将具有转换后的源地址的数据包发送到目的地。NAT解决的问题4NAT解决的问题使用NAT与私有地址相结合变为一个节约公有IPv4地址的有效方法。单个IPv4地址可以由数百甚至数千台设备共享，而为每台设备配置一个唯一个私有IPv4地址。缓解IPv4地址不足NAT解决的问题提高内部网络安全性在利用NAT技术实现内网访问外网时，NAT设备通过对IP数据包的重新封装，隐藏了内部设备的存在，让外网设备认为只有NAT设备存在，所有的数据访问都是NAT设备独自发出的。内部设备对外网设备的不可见，使得内部设备更加安全。主讲：目录1NAT的简介2NAT的优势3NAT的劣势NAT的简介1NAT的简介NAT即网络地址转换。通常，组织为内部主机分配私有IP地址，当内部主机的流量离开网络时，其源地址（私有地址）将转换为公有IP地址。同样，公有IP地址返回流量的目的地址将重新转换为内部网络的私有IP地址。NAT的简介NAT的优势2NAT的优势NAT的优势节省IP地址NAT允许对内联网实行私有编址，利用NAT过载的方式，对于要进行的外部通信，所有内部主机可以共享一个公有的IPv4地址，从而达到节约公有地址的目的。NAT的优势NAT的优势提高内部网络安全性在利用NAT技术实现内网访问外网时，NAT设备通过对IP数据包的重新封装，隐藏了内部设备的存在，内部设备对外网的不可见，使得内部设备更加安全。NAT的劣势3NAT的劣势NAT的劣势影响网络性能路由器必须查看每个收到的数据包，以决定是否需要转换。如果确定需要转换，路由器就必须更改IPv4报头，这无疑需要增加时间开销，影响网络的性能。NAT的劣势NAT的劣势无法进行端到端IP追溯由于经过多个NAT转换点，数据包的地址已被改变多次，因此追溯数据包将更加困难，排除故障也会更具挑战性。一些安全应用程序会因为源IPv4地址在到达目的地之前发生改变而失败。有时，通过实施静态NAT映射可避免此问题。导致有些应用程序无法正常运行主讲：目录1NAT故障排除命令2NAT故障排除场景NAT故障排除命令1NAT故障排除命令在右图中，R2上启用了动态PAT，使用的地址池范围为209.165.200.226到209.165.200.240。现在我们以该拓扑为例，为大家介绍常用的NAT故障排除命令。NAT故障排除命令NAT故障排除命令首先，我们要确定NAT的配置是否有问题。我们可以使用showipnatstatistics命令查看NAT的统计信息，着重查看NAT的内、外部接口，地址池和ACL的绑定配置是否有误。NAT故障排除命令NAT故障排除命令如果从NAT的统计信息看不出问题，我们可以使用showaccess-lists命令查看ACL，注意判断我们配置的ACL是否允许了所有需要进行转换的内部网络。NAT故障排除命令NAT故障排除命令需要注意的是，在NAT环境中发生IPv4连通性问题时，有很大的可能是因为需要地址转换的主机没有到达NAT路由器的路由。此时，我们需要使用showrunning-config查看路由器的基本配置，使用showiproute命令查看路由信息。NAT故障排除命令NAT故障排除场景2NAT故障排除场景如图所示的NAT环境中出现了IPv4连通性问题，我们先使用showipnatstatistics命令查看NAT的统计信息。NAT故障排除场景NAT故障排除场景通过将输出与拓扑进行比较，我们可以发现NAT的内部接口和外部接口定义错误。下列的文本显示了删除NAT接口配置并应用正确配置时所需的命令。NAT故障排除场景NAT故障排除场景假设从PC1到Svr1和Svr2的ping测试仍然失败，那么请确定我们配置的ACL是否允许了所有必须的网络。使用showaccess-lists命令，输出结果如下。NAT故障排除场景NAT故障排除场景从结果可以看出，ACL中使用了错误的通配符位掩码。通配符掩码（0.0.0.255）只允许192.168.0.0/24子网，而内部网络是192.168.0.0/16，若要允许该子网，通配符掩码应该为0.0.255.255。NAT故障排除场景NAT故障排除场景下列的文本显示了删除错误的ACL，然后使用正确通配符掩码重新配置ACL所需要的命令。NAT故障排除场景NAT故障排除场景在更正了配置后，再次从PC1对Svr1执行ping操作，这次ping操作成功。下列输出结果确认了NAT现在正在运行，并且已经创建了外部链接。NAT故障排除场景主讲：目录1NAT的特点2PAT的特点3NAT和PAT的差异NAT的特点1NAT的特点对于NAT而言，无论是静态NAT还是动态NAT都是将一个内部本地地址永久或暂时地映射到一个内部全局地址，都需要保证有足够的公有IP地址，从而来确保同时发生的会话的地址转换需要。NAT的特点一对一PAT的特点2PAT的特点对于PAT而言，它可以允许内部网络的多个私有地址同时映射到一个公有地址上，并使用端口号来唯一标识一个会话。显然，PAT只需要一个或极少数的公有IP地址就可以确保大量内部主机访问外部网络时的地址转化需要。PAT的特点多对一NAT与PAT的差异3NAT与PAT的差异NAT与PAT的差异从图中我们可以明显地看出NAT与PAT之间的差异。显然，NAT强调每个私有地址与公有地址之间的一一对应关系，每个私有地址转换后的公有地址是不一样的。NAT与PAT的差异NAT与PAT的差异PAT不同于NAT的地方就是可以进行地址的复用，所有私有地址转换后的地址都是相同的，PAT会使用不同的端口号来标识每一个转换。目录1动态NAT的简介2配置动态NAT3验证动态NAT动态NAT的简介1动态NAT的简介动态NAT是一种将内部网络的私有地址暂时地映射到公有地址池中的某个地址上的地址转换方式。它使用一个公有的IPv4地址池来实现内部本地地址与内部全局地址之间的自动转换。动态NAT的简介配置动态NAT2配置动态NAT动态NAT配置步骤1静态NAT的配置共分为四个步骤。第一个步骤是定义将会用于转换的地址池，并为该池分配一个名称来标识它。我们可以使用：ipnatpool<pool-name><start-ip><end-ip>netmask<netmask>命令创建一个由一组公有地址组成的地址池。说明：地址池中的地址应该是经过注册的合法IP地址。配置动态NATipnatpool<pool-name><start-ip><end-ip>netmask<netmask>功能：定义一个用于地址转换的地址池参数：pool-name，地址池名称start-ip，地址池起始地址 end-ip，地址池结束地址netmask，掩码动态NAT配置步骤1例：建立一个名为P1，地址范围在200.1.1.1~200.1.1.10/24的地址池ipnatpoolP1200.1.1.1200.1.1.10netmask255.255.255.0

配置动态NAT动态NAT配置步骤2动态NAT配置的第二个步骤是创建一个标准ACL，用于仅允许我们标识的内部地址进行地址转换。我们可以使用:access-list<access-list-number>permit<souce+wildcard>命令创建一个标准的ACL。说明：这里定义的ACL不是用于数据过滤的，它只是用于指定参与NAT转换的私有地址范围。配置动态NATaccess-list<access-list-number>permit<souce+wildcard>功能：创建ACL，设定被转换的私有地址范围参数：access-list-number，ACL编号 source+wildcard，IP地址+反掩码确定私有地址的范围动态NAT配置步骤2例：创建一个编号为1的ACL，定义的地址范围是192.168.10.0/24access-list1permit192.168.10.00.0.0.255配置动态NAT动态NAT配置步骤3动态NAT配置的第三个步骤是将我们创建的ACL和地址池绑定起来，我们可以使用：ipnatinsidesourcelist<access-list-number>pool<pool-name>命令将我们创建的ACL的地址池绑定起来。说明：经此定义后，每当路由器收到一个数据包就检测它的源地址，如果其源地址与我们配置的ACL相匹配，路由器就使用地址池中的地址对其进行转换。配置动态NATipnatinsidesourcelist<access-list-number>pool<pool-name>功能：绑定ACL和地址池参数：access-list-number，ACL编号 pool-name，地址池名称动态NAT配置步骤3例：将编号为1的ACL和名为P1的地址池绑定起来ipnatinsidesourcelist1poolP1配置动态NATipnatinside功能：指定当前接口为NAT的内部接口动态NAT配置步骤4动态NAT配置的第二个步骤是使用ipnatinside和

ipnatoutside命令配置NAT的内部接口和外部接口。ipnatoutside功能：指定当前接口为NAT的外部接口验证动态NAT3验证动态NAT验证动态NAT假设我们已经在NAT路由器上配置好了动态NAT，使用showipnattranslations命令可以查看活动的NAT转换。验证动态NAT验证动态NAT从命令结果可以看出，三台内部PC的私有地址被转换为了地址池中的三个不同公有地址。通过配置动态NAT满足了内部主机访问网络时地址转换的需要。验证动态NAT验证动态NAT验证NAT操作的另一个有用的命令是showipnatstatistics，该命令显示了总的NAT转换数、NAT的配置参数、地址池中地址数量和已分配地址数量等信息。主讲：目录1静态NAT的简介2配置静态NAT3验证静态NAT静态NAT的简介1静态NAT的简介静态NAT是一种将内部网络的私有地址永久地映射到一个公有地址上的地址转换方式，它强调的是地址之间一对一的映射关系。静态NAT允许外部设备使用内部设备转换后的公有地址发起对内部设备的连接。静态NAT的简介配置静态NAT2配置静态NATipnatinsidesourcestatic<local-ip><global-ip>功能：静态源地址转换参数：local-ip，内部私有地址；global-ip，转换后的公有地址静态NAT配置步骤1静态NAT的配置共分为两个步骤。第一个步骤是使用