NAT工作原理及其配置方法.ppt
《NAT工作原理及其配置方法.ppt》由会员分享,可在线阅读,更多相关《NAT工作原理及其配置方法.ppt(32页珍藏版)》请在冰豆网上搜索。
第十九章网络地址翻译NAT,NAT网络地址翻译,随着Internet的飞速发展,网上丰富的资源产生着巨大的吸引力接入Internet成为当今信息业最为迫切的需求但这受到IP地址的许多限制首先,许多局域网在未联入Internet之前,就已经运行许多年了,局域网上有了许多现成的资源和应用程序,但它的IP地址分配不符合Internet的国际标准,因而需要重新分配局域网的IP地址,这无疑是劳神费时的工作其二,随着Internet的膨胀式发展,其可用的IP地址越来越少,要想在ISP处申请一个新的IP地址已不是很容易的事了,NAT(网络地址翻译)能解决不少令人头疼的问题它解决问题的办法是:
在内部网络中使用内部地址,通过NAT把内部地址翻译成合法的IP地址,在Internet上使用其具体的做法是把IP包内的地址池(内部本地)用合法的IP地址段(内部全局)来替换,ChapterActivities,Windows95PC,Modem,Branchoffice,ISDN/analog,Smalloffice,Centralsite,FrameRelay,PRI,BRI,BRI,FrameRelay,Async,AAAserver,Async,SA10.1.1.1,166.1.1.1,SA,InsideLocal,IPAddress,10.1.1.1,InsideGlobalIP,Address,166.1.1.1,NATtable,PAT,NAT术语NAT功能NAT三种类型,NAT术语,Internet,Inside,10.1.1.1,InsideLocalIP,Address,10.1.1.1,SimpleNATtable,InsideGlobal,IPAddress,166.1.1.1,10.1.1.2,HostB,172.20.7.3,A,C,B,A,B,D,SA10.1.1.1,DA10.1.1.1,SA166.1.1.1,DA166.1.1.1,D,C,内部本地地址:
私有IP,不能直接用于互连网。
内部全局地址:
用来代替内部本地IP地址的,对外,或在互联网上是合法的的IP地址。
NAT功能,InsideLocal,IPAddress,10.1.1.1,10.1.1.2,NATtable,InsideGlobal,IPAddress,196.168.2.2,196.168.2.3,NAT功能:
内部网络地址转换复用内部的全局地址TCP负载均衡解决网络地址重叠,Internet,Inside,10.1.1.1,10.1.1.2,复用内部的全局地址,将一个内部全局地址用于同时代表多个内部局部地址。
主要用IP地址和端口号的组合来唯一区分各个内部主机。
目前在公司内普遍应用。
复用内部的全局地址,10.1.1.2:
1723,10.1.1.1:
1024,NATtable,196.168.2.2:
1723,196.168.2.2:
1024,TCP,TCP,10.1.1.3:
1492,196.168.2.2:
1492,TCP,Internet,Inside,10.1.1.1,HostB,179.20.7.3,1,3,SA10.1.1.1,DA10.1.1.1,SA196.168.2.2,DA196.168.2.2,10.1.1.2,10.1.1.3,4,5,2,HostC,179.21.7.3,DA196.168.2.2,4,InsideGlobalIP,Address:
Port,Protocol,InsideLocalIP,Address:
Port,10.1.1.1,NAT三种类型,NAT有三种类型:
静态NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。
其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,多用于服务器。
而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配的方法映射到内部网络,多用于网络中的工作站。
PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
静态NAT(staticNAT)语法,第一步,设置外部端口。
interfaceserial0ipaddress61.159.62.129255.255.255.248ipnatoutside第二步,设置内部端口。
interfaceethernet0ipaddress192.168.0.1255.255.255.0ipnatinside,静态NAT(staticNAT)语法,第三步,在内部本地与外部合法地址之间建立静态地址转换。
ipnatinsidesourcestatic内部本地地址内部合法地址。
示例:
ipnatinsidesourcestatic192.168.0.261.159.62.130/将内部网络地址192.168.0.2转换为合法IP地址61.159.62.130ipnatinsidesourcestatic192.168.0.361.159.62.131/将内部网络地址192.168.0.3转换为合法IP地址61.159.62.131ipnatinsidesourcestatic192.168.0.461.159.62.132/将内部网络地址192.168.0.4转换为合法IP地址61.159.62.132至此,静态地址转换配置完毕。
NAT静态映射实例,interfaceEthernet0ipaddress172.16.1.1255.255.255.0ipnatinside(指定内部接口)!
interfaceSerial0ipaddress200.1.1.1255.255.255.0ipnatoutside(指定外部接口)!
ipnatinsidesourcestatic172.16.1.3200.1.1.1(建立两个IP地址之间的静态映射)ipclasslessiproute0.0.0.00.0.0.0200.1.1.2,注意:
从外网到内网建立静态映射后,外网能PING通内部全局地址(200.1.1.1),如果使用真实地址,则访问失败,这是因为从外网没有到达内网的路由存在!
Ping172.16.1.3Ping200.1.1.5!
动态NAT(pooledNAT)语法,第一步,设置外部端口。
设置外部端口命令的语法如下:
ipnatoutside示例:
interfaceserial0/进入串行端口serial0ipaddress61.159.62.129255.255.255.192/将其IP地址指定为61.159.62.129,子网掩码为255.255.255.192ipnatoutside/将串行口serial0设置为外网端口注意,可以定义多个外部端口。
动态NAT(pooledNAT)语法,第二步,设置内部端口。
设置内部接口命令的语法如下:
ipnatinside示例:
interfaceethernet0/进入以太网端口Ethernet0ipaddress172.16.100.1255.255.255.0/将其IP地址指定为172.16.100.1,子网掩码为255.255.255.0ipnatinside/将Ethernet0设置为内网端口。
注意,可以定义多个内部端口。
动态NAT(pooledNAT)语法,第三步,定义合法IP地址池。
定义合法IP地址池命令的语法如下:
ipnatpool地址池名称起始IP地址终止IP地址子网掩码示例:
ipnatpoolchinanet61.159.62.13061.159.62.190netmask255.255.255.192/指明地址缓冲池的名称为chinanet,IP地址范围为61.159.62.13061.159.62.190,子网掩码为255.255.255.192。
需要注意的是,即使掩码为255.255.255.0,也会由起始IP地址和终止IP地址对IP地址池进行限制。
或ipnatpooltest61.159.62.13061.159.62.190prefix-length26,动态NAT(pooledNAT)语法,第四步,定义内部网络中允许访问Internet的访问列表。
定义内部访问列表命令的语法如下:
access-list标号permit源地址通配符(其中,标号为1-99之间的整数)示例:
access-list1permit172.16.100.00.0.0.255/允许访问Internet的网段为172.16.100.0172.16.100.255,反掩码为0.0.0.255。
需要注意的是,在这里采用的是反掩码,而非子网掩码。
反掩码与子网掩码的关系为:
反掩码+子网掩码=255.255.255.255。
例如,子网掩码为255.255.0.0,则反掩码为0.0.255.255;子网掩码为255.255.255.192,则反掩码为0.0.0.63。
动态NAT(pooledNAT)语法,第五步,实现网络地址转换。
在全局设置模式下将由access-list指定的内部本地地址与指定的内部合法地址池进行地址转换。
命令语法如下:
ipnatinsidesourcelist访问列表标号pool内部合法地址池名字示例:
ipnatinsidesourcelist1poolchinanet至此,动态地址转换设置完毕。
ipnatpooldyn-nat192.16.2.1192.16.2.254netmask255.255.255.0ipnatinsidesourcelist1pooldyn-nat!
interfaceEthernet0ipaddress10.1.1.1255.255.255.0ipnatinside!
interfaceSerial0ipaddress192.16.2.1255.255.255.0ipnatoutside!
access-list1permit10.1.1.00.0.0.255!
动态NAT的配置,Translatebetweeninsidehostsaddressedfrom10.1.1.0/24tothegloballyunique192.16.2.0/24network.,Thisinterfaceconnectedtotheoutsideworld.,Thisinterfaceconnectedtotheinsidenetwork.,端口复用动态地址转换(PAT)语法,第一步,设置外部端口。
interfaceserial0ipaddress202.99.160.1255.255.255.252ipnatoutside,端口复用动态地址转换(PAT)语法,第二步,设置内部端口。
interfaceethernet0ipaddress10.100.100.1255.255.255.0ipnatinside,端口复用动态地址转换(PAT)语法,第三步,定义合法IP地址池。
ipnatpoolonlyone202.99.160.2202.99.160.2netmask255.255.255.252/指明地址缓冲池的名称为onlyone,IP地址范围为202.99.160.2,子网掩码为255.255.255.252。
由于本例只有一个IP地址可用,所以,起始IP地址与终止IP地址均为202.99.160.2。
如果有多个IP地址,则应当分别键入起止的IP地址。
端口复用动态地