交换与路由技术课件 第9章 NAT

第九章NAT01

NAT概述02

NAT的工作原理03

NAT的配置CONTENT目录04项目实验NAT概述01为什么要引入NAT？互联网、物联网的快速发展，IPV4地址空间已经无法满足人们对IPV4地址日益增长的需求，2019年11月26日下午，负责英国、欧洲、中东和部分中亚地区互联网资源分配的欧洲网络协调中心(RIPENCC)宣布，全球所有43亿个IPv4地址已全部分配完毕，IPv4地址彻底耗尽。网络地址转换（NetworkAddressTranslation，NAT）技术于1994年被提出，用来缓解IPv4地址空间即将耗尽的问题。它是IETF(InternetEngineeringTaskForce,Internet工程任务组)的一个标准，允许一个机构以一个公用IP地址出现在Internet上。9.1.1

NAT的概念NAT是一种把内部私有网络地址（IP地址）翻译成合法公网IP地址的技术，以便在外部公共网络中传输数据流；NAT可以让那些使用私有地址的内部网络连接到Internet或其它IP网络上。NAT网关设备（如路由器、防火墙等）在将内部网络的数据包发送到公用网络时，在IP包的报头把私有地址转换成合法的公网IP地址RFC1918（AddressAllocationforPrivat，私有网络地址分配）规定了三块专有的地址，作为私有的内部组网使用：A类：—55/8B类：—55/12C类：—55/169.1.2

NAT转换类型1.静态地址转换（静态NAT）静态NAT是指将内部网络的私有IP地址转换为公网IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公网IP地址。借助于静态NAT，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问。静态NAT主要的目的是为了隐藏企业内部服务器的IP地址，以达到保护服务器的目的。2.动态地址转换（动态NAT）动态NAT是指将内部网络的私有IP地址转换为公网IP地址时，IP地址是不确定的，是随机的，是多对多的关系，所有被授权访问上Internet的私有IP地址可随机转换为任何指定的合法公网IP地址。动态转换可以使用多个合法外部地址集。当ISP提供的合法公网IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。

3.端口地址转换（PAT）端口地址转换PAT（PortAddressTranslation，端口地址转换），也称为端口地址映射、端口多路复用或者NAPT（NetworkAddressPortTranslation，网络地址端口转换）。PAT在动态NAT上又进了一步，简单地说，其工作模式就是多对一，可以将多个内部网络的私有IP地址对应到一个公网IP地址。具体来说，就是内网地址+端口号与公网地址+端口号进行对应。使用PAT，内部网络的多个主机均可共享一个合法外部IP地址实现对Internet的访问，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。9.1.3

NAT的作用与功能1.NAT的作用节省了IP地址空间：通过使用NAT，内部主机可以使用同一个合法IP地址来与外部网络通信；这样只需要较少的公共地址就可以支持众多的内部主机，从而节省了IP地址。避免了重新编址：通过使用NAT，网络管理员不必给需要访问外部网络的内部主机重新分配IP地址，从而节省了时间和费用，减轻了工作负担。提高了网络安全性：NAT对外部只通告合法的IP地址，屏蔽了内部网络的拓扑结构和IP地址，内部网的主机对外部网来说是不可见的，从而提高了内部网络的安全性。2.NAT的功能NAT就是把局域网内部地址转换成可在外部公共网络或Internet上路由的全局地址。NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共IP地址紧缺的问题。通过这种方法，您可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。NAT的工作原理029.2.1静态NAT的工作原理静态NAT使用私有地址和公有地址的一对一映射，这些映射由网络管理员进行配置，并保持不变。静态NAT转换示意图9.2.2动态NAT的工作原理静态NAT严格地进行一对一地址映射，这就导致即使内网主机长期离线或者不发送数据，也会长期占用与之对应的公网IP地址。为了避免公网地址的浪费，动态NAT引入了地址池的概念：所有可用的公网地址组成了地址池。动态NAT转换示意图9.2.3PAT的工作原理动态NAT选择地址池中的地址进行地址转换时不会转换端口号，即No-PAT（No-PortAddressTranslation，非端口地址转换），公有地址与私有地址还是一对一的映射关系，无法提高公有地址的利用率。因此，引入了PAT即NAPT（NetworkAddressandPortTranslation，网络地址端口转换）的概念。PAT是把多个内部地址映射为一个公有IP地址，但以不同的协议端口号（端口地址）与不同的内部私有地址相对应，即“内部私有IP地址+内部端口”与“外部公有IP地址+外部端口”之间的转换。PAT也称为“多对一”的NAT，或者叫NPAT（NetworkPortAddressTranslation，网络端口地址转换）、地址复用（AddressOverloading）。PAT与动态NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT设备选定的TCP或UDP端口号，通过转换TCP或UDP端口号以及地址来提供并发性。从而实现公有地址与私有地址的一对多的映射，可以有效提高公有地址的利用率，基本解决了动态NAT地址池地址不足的问题。PAT转换的应用场景PAT转换示意图9.2.4EasyIP的工作原理EasyIP实现原理和NAPT相同，同时转换IP地址、传输层端口，区别在于EasyIP没有地址池的概念，使用接口地址作为NAT转换的公有地址。EasyIP适用于用户只有一个固定的公网IP地址，或者不具备固定公网IP地址的场景。如通过DHCP、PPPoE拨号获取地址的私有网络出口，可以直接使用接口获取到的动态地址进行转换。例如小型网络，如网吧和家庭网络等。EasyIP转换示意图9.2.5NATServer的工作原理私网中有一些服务器需要向公网用户提供服务，比如私网中部署的一些Web服务器、FTP服务器等，NAT支持这样的应用，此时可以配置NATServer来实现公网用户对私网服务器的访问。在NAT路由器上配置NATServer，固定“公网IP地址＋端口号”与“私网IP地址＋端口号”间的映射关系，实现公网主机通过该映射关系访问私网服务器的功能。NATServer转换示意图NAT的配置039.3.1静态NAT配置—配置步骤配置静态地址映射分以下两种方式：方式一：在接口视图下配置静态映射：（1）进入接口视图执行命令system-view，进入系统视图；执行命令interfaceinterface-typeinterface-number，进入接口视图。（2）根据地址之间的一对一映射执行下述命令：natstaticglobalglobal-addressinsidehost-address其中：global-address代表外部公有地址；host-address代表内部私有地址。

方式二：在系统视图下配置静态映射：（1）进入系统视图，配置地址映射关系执行命令system-view，进入系统视图；根据地址之间的一对一映射执行下述命令：natstaticglobalglobal-addressinsidehost-address（2）执行命令interfaceinterface-typeinterface-number，进入接口视图。（3）执行命令natstaticenable，在接口下开启静态nat功能。

【说明】（1）配置静态NAT时，其中的global-address和host-address必须保证和设备现有地址没有重复，包括设备接口地址，用户地址池地址，以避免冲突。（2）在设备上执行undonatstatic命令，设备上的静态映射表项不会立刻消失，如果需要立刻清除静态NAT映射表项，请手动执行resetnatsession命令来清除静态映射表项信息。（3）多个接口使用同一条natstatic映射的情况下，建议使用第二种方法。9.3.2动态NAT配置—配置步骤配置动态NAT，具体步骤如下：（1）在系统视图下，执行下述命令创建地址池：nataddress-groupgroup-indexstart-addressend-address其中：group-index代表地址池组号；start-address代表地址池开始地址；end-address代表地址池结束地址。（2）使用编号创建一个ACL，并进入ACL视图：aclacl-number其中：acl-number为ACL的编号。【说明】用于配置地址转换的ACL只能是2000～2999的基本ACL或3000～3999的高级ACL。

（3）定义ACL规则，允许通行的地址或地址段：rule[rule-id］permitsourcesource-addresssource-wildcard其中：rule-id为规则序号；source-address为源IP地址；source-wildcard为子网掩码的反码。（4）在端口上应用ACL到nat上：执行命令interfaceinterface-typeinterface-number，进入接口视图；执行下述命令实现ACL到nat上的应用：natoutboundacl-numberaddress-groupgroup-indexno-pat9.3.3PAT配置—配置步骤配置PAT，具体步骤如下：（1）在系统视图下，执行下述命令创建地址池：nataddress-groupgroup-indexstart-addressend-address（2）使用编号创建一个ACL，并进入ACL视图：aclacl-number【说明】用于配置地址转换的ACL只能是2000～2999的基本ACL或3000～3999的高级ACL。

（3）定义ACL规则，允许通行的地址或地址段：

rule[rule-id］permitsourcesource-addresssource-wildcard（4）在端口上应用ACL到nat上：执行命令interfaceinterface-typeinterface-number，进入接口视图；执行下述命令实现ACL到nat上的应用：natoutboundacl-numberaddress-groupgroup-index【注意】PAT与动态NAT配置中唯一的不同是上述命令中少了“no-pat”参数。9.3.4EasyIP配置—配置步骤配置EasyIP，具体步骤如下：（1）在系统视图下，使用编号创建一个ACL，并进入ACL视图：aclacl-number【说明】用于配置地址转换的ACL只能是2000～2999的基本ACL或3000～3999的高级ACL。（2）定义ACL规则，允许通行的地址或地址段：

rule[rule-id］permitsourcesource-addresssource-wildcard（3）在端口上应用ACL到nat上：执行命令interfaceinterface-typeinterface-number，进入接口视图；执行下述命令实现ACL到nat上的应用：natoutboundacl-number9.3.5NATServer配置—配置步骤配置NATServer，具体步骤如下：（1）进入接口视图执行命令system-view，进入系统视图；执行命令interfaceinterface-typeinterface-number，进入接口视图。（2）配置静态NATServer一对一映射关系。根据地址之间的一对一映射执行下述命令：natserverprotocol{tcp|udp}globalglobal-address[global-port]insidehost-address[host-port]【说明】外网主动访问内网时，NATServer和NATStatic无差别。内网主动访问外网时，NATServer仅作地址替换；NATStatic会同时替换地址和端口号。项目实验049.4.1静态NAT配置实验项目背景：现在某集团公司内部使用