TCPIP路由交换技术-私有局域网与Internet的互联

私有局域网与Internet的互联课程议题通过本次内容的学习，希望您能够： 掌握NAT概念及其特点 掌握NAT工作原理 掌握NAT工作原方式 学会静态NAT配置、动态NAT配置和PAT配置学习目标１４.1

NAT概念和特点问题提出随着Internet技术的飞速发展，起来越多的用户加入到Internet，无论在办公室、宾馆、学校、公司及家庭，人们都需要接入Internet进行办公、娱乐等，互联网中任何两台主机间通信需要全球唯一的IP地址。目前，Internet的一个重要问题是IP地址需求急剧膨胀，IP地址空间已近衰竭，而NAT的使用恰好缓解了这个问题。解决办法还可以通过其它的一些技术来节省IP地址的使用如：1.可变长子网掩码（VLSM）2.无类域间路由（CIDR）3.网络地址转换（NAT）4.IPv6：为解决IP地址耗尽问题，IPv6应该是最终的解决手段，但是由于现有网络都使用IPv4，绝大多数都不支持IPv6，要升级设备需要大量的资金，是一个长期且浩大的工程。5什么是NATNAT（NetworkAddressTranslation）就是将网络地址从一个地址空间转换到另外一个地址空间的行为。它使得一个使用私有地址的网络中的主机以合法地址出现在Internet上。Internet/24/24为什么需要NAT?IP地址危机

IPv4地址空间不足在为企业内部网络、测试实验室或家庭进行网络编址时，可以使用私有地址，而不必每台设备都花钱从ISP或注册中心哪里获得全球唯一的地址。

—55（/8）

—55（/12）

—55（/16）

但是这些地址在Internet上是不可被路由的。为什么使用NAT？OutsideInsideInternetNAT

border

routerSASA

内网对Internet的访问网络安全保护技术节省IP地址在内部局域网提供外部网络服务使用NAT的优缺点优点缺点节省合法地址引入延迟减少地址冲突的机会丧失端到端的IP跟踪能力灵活连接Internet一些特定应用可能无法正常工作，如IPSEC，GRE，L2TP等维持局域网的私密性，因为内部IP地址是不公开的NAT的种类NAT功能通常被集成到路由器、防火墙或单独的NAT设备中。NAT路由器被置于内部网和外网的边界上，在数据包发送到外部网络之前将数据包的内部私有IP地址转换为Internet上的合法地址。NAT也可以应用到防火墙技术里，把个别IP地址隐藏起来不被外界发现，使外界无法直接访问内部网络，从而对内部网络起到保护作用。NAT的类型NAT（NetworkAddressTranslation）：转换后，一个内部本地IP地址对应一个全局IP地址。

NAT又分为：静态NAT和动态NAT。NAPT（NetworkAddressPortTranslation或NPAT）：转换后，多个内部本地地址对应一个全局IP地址。NAT基本原理NAT:NetworkAddressTranslation网络地址转换NAT是一种地址映射技术，将主机的私有IP地址映射为一个外部唯一可识别的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

内网外网私有IP地址公用IP地址私有地址和公有地址私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址(在因特网上的全球唯一的IP地址)。因特网地址分配组织规定以下的三个网络地址保留用做私有地址：

-55-55-55NAT工作原理Internet内网内部本地地址网络地址转换表（简化）内部全局地址HostBAASADDABBSACDANAT/NAPT的术语内部本地地址－InsideLocalAddress

指分配给内部网络主机的IP地址，该地址可能是非法的未向相关机构注册的IP地址，也可能是合法的私有网络地址。内部全局地址－InsideGlobalAddress

合法的全局可路由地址，由网络信息中心(NIC)或服务提供商提供的可在互联网上传输的地址,在外部网络代表着一个或多个内部本地地址。外部本地地址－OutsideLocalAddress

外部网络的主机在内部网络中表现的IP地址,该地址不一定是合法的地址,也可能是内部可路由地址。外部全局地址－OutsideGlobalAddress

外部网络分配给外部主机的IP地址，该地址是合法的全局可路由地址。16

内部网络外部网络Packet1源地址：00目标地址:0Packet1源地址：目标地址:0Packet2源地址：0目标地址:00Packet2源地址：0目标地址:00/240/24NAT路由器NAT/NAPT的术语内部本地地址内部全局地址PC1PC2双向NATPC1外部网络Packet1源地址：00目标地址:Packet1源地址：目标地址:0Packet2源地址：目标地址:00Packet2源地址：0目标地址:00/240/24NAT路由器内部全局地址外部全局地址内部本地地址外部本地地址PC2１４.２静态ＮＡＴ配置课程议题静态NAT静态NAT:

建立内部本地地址和内部全局地址的一对一的永久映射.永久的一对一IP地址映射关系需要向外部网络提供信息服务的主机的IP地址必采用静态NAT.NAT转换的过程可以是动态或静态NAT配置静态NAT1.定义内部源地址与全局地址的静态转换关系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address说明：local-address:内部私有地址;global-address:内部全局地址2.定义连接内部网络的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定义连接外部网络的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside工作任务1：静态NAT配置背景描述：你是某公司的网络管理员，内部网络有FTP服务器可以为外部用户提供服务，服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。NAT/24R1R2F0/0F0/1F0/0/24/24内部网络外部网络问题：如果要外网的主机访问到内网，路由器还需要配置什么？/24/24/24F0/1PC1/24工作要求①根据实际情况设计网络拓扑结构②根据客户需求制定配置方案和步骤，并以此为依据对网络设备进行配置和调试。③将配置方案及主要命令记录在工作过程记录单上。④每一配置步骤都要求进行相应的验证以保证当前配置的可靠性，尤其验证NAT地址的转换。⑤讨论：如果要外网的主机访问到内网，路由器还需要配置什么？配置步骤定义NAT转换关系指定内部网络接口指定外部网络接口配置默认路由配置回程路由测试NAT转换结果NAT的监视和维护命令显示命令showipnatstatistics

：显示转换的统计信息showipnattranslations：显示激活的转换清除状态命令clearipnattranslation*

：从NAT转换表中清除所有的动态地址转换条目总结：项目完成注意事项不要把inside和outside应用的接口弄错。要加上能使数据包向外转发的路由，比如默认路由。１４.３动态ＮＡＴ配置课程议题配置步骤定义NAT转换关系指定内部网络接口指定外部网络接口配置默认路由案例分析某公司有员工60人，其中，市场部10人，产品销售部20人，技术部20人，其他部门10人。一些员工因工作需要经常出差，平均每天在公司办公人员30人。公司网络使用/24地址组网，为了访问Intenet，申请了30个公有IP地址，请你合理配置公司网络，确保公司计算机能够访问Internet。相关知识

动态NAT简介动态NAT在路由器中建立一个地址池，放置可用的内部全局地址。当有内部本地地址需要转换时，查询地址池，取出内部全局地址，实现地址转换。当使用完毕后，这个内部全局地址返回地址池，供其他用户使用。

动态NAT动态NAT:建立内部本地地址和内部全局地址池的临时映射.临时的一对一IP地址映射关系适用于只访问外网服务，不提供信息服务的主机内部主机数可以大于全局IP地址数动态NAT工作过程动态NAT转换（访问过程）动态NAT转换（响应过程）动态NAT工作过程配置动态NAT（1）定义一个可以根据需要进行分配的全局IP地址池1.Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}说明：

address-pool：地址池的名称（可任意设定）

start-address：在地址池中定义地址范围的起始IP地址

end-address：在地址池中定义地址范围的结束IP地址

netmaskmask：定义网络掩码

例：定义一个NAT地址池。Router(config)#ipnatpoolmynatpool00netmask配置动态NAT（2）定义一个标准访问列表，只有匹配该列表的地址才可以进行动态地址转换Router(config)#access-list<1-99>

permitIP地址反掩码定义内部源地址动态转换关系：将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换Router(config)#ipnatinsidesourcelist标准ACL号pool地址池的名称例如：将访问控制列表用于NAT地址池。Router(config)#access-list20permit55Router(config)#ipnatinsidesourcelist20

pool

mynatpool配置动态NAT（3）定义该接口连接内部网络Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside定义接口连接外部网络Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfaces0/1/0Router(config-if)#ipnatoutsideRouter(config)#interfacef0/0Router(config-if)#ipnatinside工作任务1：动态NAT配置背景描述：某公司局域网使用私有地址/24网段，通过路由器与Internet连接。公司申请公有地址为－0，在路由器上进行动态NAT转换，实现局域网主机访问Internet.NAT/24R1R2F0/0F0/1F0/0/24/24内部网络外部网络问题：如果要外网的主机访问到内网，外部路由器还需要配置什么？/24/24F0/1/24/24工作要求①根据实际情况设计网络拓扑结构②根据客户需求制定配置方案和步骤，并以此为依据对网络设备进行配置和调试。③将配置方案及主要命令记录在工作过程记录单上。④每一配置步骤都要求进行相应的验证以保证当前配置的可靠性，尤其验证NAT地址的转换。⑤讨论：如果要外网的主机访问到内网，路由器还需要配置什么？配置步骤定义地址池定义ACL关联POOL与ACL定义内部端口定义外部端口配置默认路由配置回程路由测试NAT转换结果总结：项目完成注意事项除了与静态NAT配置相同的注意事项外，大家在配置ACL时，要注意网络通配符是反掩码１４.４NAPT的配置课程议题配置步骤定义地址池定义ACL关联POOL与ACL定义内部端口定义外部端口配置默认路由NAT与NAPT的区别是什么NAT（NetworkAddressTranslation）：转换后，一个内部本地IP地址对应一个全局IP地址。不能同时满足所有的内部网络主机与外部网络通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）：转换后，多个内部本地地址对应一个全局IP地址。NAPTNAPT只需要一个内部全局地址就可以映射多个内部本地地址，通过端口号来区分不同主机。

NAPT分为静态NAPT及动态NAPT。常见的端口号FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注册端口：1024-49151动态或私有端口：49152-65535主机A102823…源端口目的端口主机B应用客户端使用的源端口号一般为系统中未使用的且大于1023目的端口号为所进行的操作。如telnet为23。源/目的端口号102823SP.DP.102Seq.302Ack.102823DP.101Seq.301Ack.102823SP.DP.102Seq.301Ack.102823SP.DP.103Seq.302Ack.SP.TCP的工作过程hostAhostB静态与动态NAPT静态NAPT适用于需要向外网络提供信息服务的主机永久的一对一“IP地址+端口”映射关系动态NAPT只访问外网服务，不提供信息服务的主机临时的一对一“IP地址＋端口”映射关系静态NAPT工作过程内网中有一台Web服务器和一台FTP服务器，使用静态NAPT可以将两台服务器都映射到一个公有地址（）上，并使用不同的端口号进行区分。静态NAPT工作过程静态NAPT配置（1）定义静态转换关系

Router(config)#ipnatinsidesourcestaticprotocollocal-ip

local-port

global-ipglobal-port

其中：protocol为TCP或UDP；local-ip为本地地址；global-ip为全局地址；local-port为本地地址的服务端口号；global-port为全局地址的服务端口号。（2）定义端口类型

Router(config-if)#ipnat{inside|outside}其中：inside表示连接内部网络端口；outside表示连接外部网络端口。

静态NAPT配置显示NAPT配置显示转换记录Router#showipnattranslations工作任务－静态NAPT配置案例背景：公司Web服务器主机地址为，需要将网站私有地址映射成全局合法地址，以便网站对外发布，使外网用户可以访问。NATR1R2F0/0F0/1S0/24/24/24Internet静态NAPT配置Router(config)#ipnatinsidesourcestatictcp80Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#iproutef0/1Router#showipnattranslations动态NAPT工作过程动态NAPT转换（访问过程）

动态NAPT工作过程动态NAPT转换（响应过程）

案例引导背景描述：你是某公司的网络管理员，公司只向ISP申请了一个合法的IP地址。假设你是该公司的网络管理员，现要你在路由器上做适当配置，使内网的计算机都能访问互联网。NATR1R2F0S0S0/24/24NAPT案例

例如：50个内部节点可以用同一个全球地址5来浏览同一个网站（比如服务器63的80端口），但是每个节点都使用不同的源端口号。当Web服务器应答5时，NAT设备用应答数据包中的目的端口来决定它们是去往哪个内部用户，并将该内部主机的IP地址放到包头中。

协议内部本地IP地址：端口内部全局IP地址：端口外部全局IP地址：端口TCPTCPTCP1:13272:11265:12705:13275:11265:127063:8063:802:80NAPT转换过程配置动态NAPT1.定义全局IP地址池，对于NAPT，一般就定义一个IP地址

Router(config)#ipnatpoolpool－namestart-addressend-address{netmask

mask|prefix-length

prefix-length}2.定义编号标准访问列表，只有匹配该列表的地址才转换Routert(config)#access-listaccess-list-numberpermit

ip-addresswildcard

3.

定义内部源地址动态转换关系Router(config)#ipnatinsidesourcelist

access-list-number

pool

pool-nameoverload4.定义该接口连接内部网络Router(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatinside5.定义接口连接外部网络Routert(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatoutside工作任务：动态NAPT的配置背景描述：某公司局域网使用私有地址为/24网段，通过路由器和Internet连接。公司申请公有地址为~，在路由器上进行动态NAPT转换，实现局域网主机访问Internet.NATR1F0/0F0/1F0/0/24/24F0/10/24/24/24工作要求①根据实际情况设计网络拓扑结构②根据客户需求制定配置方案和步骤，并以此为依据对网络设备进行配置和调试。③将配置方案及主要命令记录在工作过程记录单上。④每一配置步骤都要求进行相应的验证以保证当前配置的可靠性，尤其验证NAT地址的转换。⑤讨论：如果要外网的主机访问到内网，路由器还需要配置什么？配置步骤定义地址池定义ACL关联POOL与ACL定义内部端口定义外部端口配置默认路由配置回程路由测试NAT转换结果动态NAPT配置Router(config)#ipnatpoolto_internetnetmaskRouter(config)#access-list10permit