实验八网络地址转换.docx

资源描述

实验八网络地址转换.docx

《实验八网络地址转换.docx》由会员分享，可在线阅读，更多相关《实验八网络地址转换.docx（11页珍藏版）》请在冰豆网上搜索。

实验八网络地址转换.docx

实验八实验八网络地址转换网络地址转换实验八实验八网络地址转换网络地址转换8.1实验目的实验目的1理解静态内部源地址转换/端口地址转换工作原理2掌握静态内部源地址转换/端口地址转换的配置3掌握动态内部源地址转换的配置4理解静态转换、动态转换和端口转换的区别和使用8.2实验原理实验原理目前互联网的一个重要问题是IP地址空间的衰竭，NAT的使用缓解了该问题。

NAT特性的使用，使得一个组织的IP网络呈现给外部网络的IP地址，可以与正在使用的IP地址空间完全不同。

这样一个组织就可以将本来非全局可路由地址通过NAT之后，变为全局可路由地址，实现了原有网络与互联网的连接，而不需要重新给每台主机分配IP地址。

NAT的一些术语内部本地地址（InsideLocalAddress）,是指分配给内部网络主机的IP地址，该地址可能是非法的未向相关机构注册的IP地址，也可能是合法的私有网络地址。

内部全局地址（InsideGlobalAddress），合法的全局可路由地址，在外部网络代表着一个或多个内部本地地址。

外部本地地址（OutsideLocalAddress）,外部网络的主机在内部网络中表现的IP地址，该地址是内部可路由地址，一般不是注册的全局唯一地址。

外部全局地址（OutsideGlobalAddress）,外部网络分配给外部主机的IP地址，该地址为全局可路由地址。

NAT地址转换的三种方式：

（1）静态网络地址转换staticnetworkaddresstranslation

（2）动态转换dynamictranslation（3）端口地址转换portaddresstranslationNAT网络地址转换方法是1994年提出的，现在基本上所有路由器都支持NAT功能。

NAT对应的RFC为RFC3235，3027，3022，2993，2663。

NAT技术使得NAT设备维护了一个地址转换表，用来把私有的IP地址映射到合法的IP地址上去。

每个数据包的地址在NAT设备中都被翻译成了正确的IP地址，这样，解决了IP地址衰竭的问题。

Inner里面的内部网络采用的是专用IP地址，而IPNAT能将专用的IP地址转换为公用的IP地址，从而使得内部的网络能够访问外部的网络。

图7-1NAT的工作原理上图为NAT地址转换的工作过程。

1当内部主机192.168.12.2发起一个到外部主机168.168.12.1的连接。

2当路由器接收到以192.168.12.2为源地址的第一个数据包时，引起路由器检查NAT映射表。

a）该地址有配置静态映射，就执行第三步；b）如果没有静态映射，就进行动态映射，路由器就从内部全局地址池中选择一个有效的地址，并在NAT映射表中创建NAT转换记录。

这种记录叫基本记录。

3路由器用192.168.12.2对应的NAT转换记录中的全局地址，替换数据包源地址，经过转换后，数据包的源地址变为200.168.12.2，然后转发数据包。

4168.168.12.2主机接收到数据包后，将向200.168.12.2发送相应包。

5当路由器接收到内部全局地址的数据包时，将以内部全局地址200.168.12.2为关键字查找NAT记录表，将数据包的目的地址转换成192.168.12.2，并转发给192.168.12.2。

6192.168.12.2接收到应答包，并继续保持会话。

第一步到第五步将一直重复，直到会话结束。

NAT有静态转换NAT、动态转换NAT和端口地址转换NAT三种类型。

静态转换NAT是最简单的方式，它在NAT表中为每个需要转换的内部地址创建了固定的转换条目，映射了唯一的全局地址。

内部地址与全局地址一一对应。

如：

192.168.12.2-200.268.12.2动态转换（亦称NATpool）增加了网络管理的复杂性，但也提供了很大的灵活性。

它将可用的全局地址集定义成NAT池。

对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙会动态地从NAT池中选择全局地址对内部地址进行转换。

每个转换条目在建立连接时动态建立，而连接终止时会被回收。

采用NAT池意味着可以在内部网中定义很多的内部用户，通过动态分配的方法，共享很少的几个内部IP地址。

而静态NAT则只能形成一一对应的固定映射方式。

端口地址转换（NAPT）是动态转换的一种变形。

它可以使多个内部节点共享一个全局IP地址，而使用源和目的节点的TCP/UDP的端口号来区分NAPT表中的转换条目及内部地址。

例如内部节点10.1.1.3，10.1.1.2都用源端口1723向外发送数据包。

NAPT路由器把这两个内部地址都转换为全局地址192.2.1.1，而使用不同的源端口1592，1223。

当接收方收到的源端口为1592，则返回的数据包在边缘网关处，目的地址和端口被转换为10.1.1.3:

1723;而接收到的源端口为1233，目的地址被映射到10.1.1.2：

1723。

以上转换中，只使用IP地址的转换条目被称为简单条目，而包含IP地址和TCP/UDP端口号的转换条目被称为扩展条目。

图7-2NAPT的工作原理图NAT的应用带来了以下限制：

影响网络速度，NAT的应用会使NAT设备变成网络的瓶颈跟某些应用不兼容，如果一些应用在有效载荷中协商下次会话的IP地址和端口号，NAT将无法对内嵌IP地址进行地址转换，造成这些程序不能正常运行地址转换不能处理IP报头加密的报文无法实现对IP端到端的路径跟踪，经过NAT地址转换后，对数据包的路径跟踪变得非常困难。

参考命令格式：

配置静态NAPTRed-Giant（config）#ipnatinsidesourcestaticUDP|TCPlocal-addressportglobal-addressport/定义内部源地址静态转换关系配置动态NAPTRed-Giant（config）#ipnatpooladdress-poolstart-addressend-addressnetmaskmask|prefix-lengthprefix-length/定义全局IP地址池，对于NAPT，一般就定义一个IP地址Red-Giant（config）#ipnatinsidesourcelistaccess-list-numberpooladdress-pool|interfaceinterface-typeinterface-numberoverload配置接口网络Red-Giant（config-if）#ipnatinside/定义接口连接内部网络Red-Giant（config-if）#ipnatoutside/定义接口连接NAPT可以使用地址池的IP地址，也可以直接使用该接口的IP地址。

一般来说，一个地址就可以满足一个网络的地址转换需要，一个地址最多可提供64512个NAT地址转换。

8.3实验内容实验内容8.3.1静态内部源地址转换静态内部源地址转换NAT1.实验背景地址转换是在IPV4地址日益短缺的情况下提出的，如果一个局域网内部有很多台主机，但不能保证每台主机都拥有合法的IP地址，为了使所有内部主机都可以连接Internet网络，可以使用地址转换，地址转换技术可以有效地隐藏内部局域网中的主机，因此同时是有效的网络安全保护技术，地址转换可以根据用户需要，在局域网内部提供给外部FTP、WWW、Telnet服务。

2.实验环境：

图7-3NAT的实验配置图本实验首先分别配置两台路由器R1和R2的相应的端口IP地址，使他们所连接的网段能够互联，然后在R1上配置静态NAT，做地址转换。

3实验步骤：

1）Router1基本配置：

配置串行接口Serial0R2（config-if）#interfaceSerial0R2（config-if）#ipaddress202.116.64.1255.255.255.0R2（config-if）#clockrate64000/Router2为DCE,配置时钟频率3）在Router1上配置静态NAT映射R1（config）#ipnatinsidesourcestatic172.16.1.2202.116.64.2/定义静态映射匹配R1（config）#interfacefastethernet0R1（config）#ipnatinside/定义内部接口R1（config）#interfaceSerial0R1（config）#ipnatoutside/定义外部接口R1（config）#iproute0.0.0.00.0.0.0Serial0验证测试：

RoutershowipnattranslationProInsideglobalInsidelocalOutsidelocalOutsideglobal-202.116.64.2172.16.1.2-4.注意事项1）不要把inside和outside应用的接口弄错；2）要加上能使数据包向外转发的路由，比如默认路由；3）尽量不要用广域网接口地址作为映射的全局地址。

测试：

PC1是否能ping通Route2的S0接口（202.116.64.1）,Route2能ping通PC1。

8.3.2内部源地址转换内部源地址转换NAPT1.实验背景NAPT是在IP地址日益短缺的情况下提出的，如果一个公司内部有很多台主机，但该公司只申请了一个合法的公网IP地址，为了使所有内部主机都可以连接Internet网络，可以使用NAPT，使公司的所有主机在公网IP地址缺乏的情况下都能够访问外网。

2.实验环境：

图7-4NAPT的实验配置图本实验首先分别配置两台路由器R1和R2的端口IP地址如上图所示；然后在Router1上配置NAPT映射。

3实验步骤：

1）Router1基本配置：

R1enableR1#configureterminalR1（config）#interfacefastethernet1R1（config-if）#ipaddress172.16.1.1255.255.255.0R1（config-if）#interfaceSerial0R1（config-if）#ipaddress202.116.64.3255.255.255.02）Router2的基本配置R2（config-if）#interfaceSerial0R2（config-if）#ipaddress202.116.64.1255.255.255.0R2（config-if）#clockrate64000/Router2为DCE,配置时钟频率3）在Router1上配置NAPT映射R1（config）#ipnatpoolto-internet202.116.64.2202.116.64.2netmask255.255.255.0overload/定义地址池R1（config）#access-list1permit192.168.1.00.0.0.255/定义允许转换的地址R1（config）#interfacefastethernet0R1（config）#ipnatinside/定义内部接口R1（config）#interfaceSerial0R1（config）#ipnatoutside/定义外部接口R1（config）#ipnatsourcelist1poolto-internet/为内部本地调用转换池R1（config）#iproute0.0.0.00.0.0.0Serial0验证测试：

R1showipnattranslationProInsideglobalInsidelocalOutsidelocalOutsideglobal-202.116.64.2:

2000172.168.1.2-4.注意事项1）不要把inside和outside应用的接口弄错；2）要加上能使数据包向外转发的路由，比如默认路由；3）尽量不要用广域网接口地址作为映射的全局地址,在本实验中由于设定仅有一个公网IP地址，所以使用广域网接口地址最为映射的全局地址。

8.3.3动态内部源地址转换动态内部源地址转换NAT1实验背景：

对于一些公司，他们可能会一次申请很多个公网IP来为公司各个部门提供上网服务，我们假设某公司申请了100个公网IP，所属网段为50.1.1.1至50.1.1.100；合法的公网IP地址不够每人分配一个，但该公司一般情况下有1/2的人员在外跑业务或做技术支持，在公司的员工也不会一直需要提供网络服务，据此，我们可以通过分时复用多个内部全局IP地址转换技术来解决该公司的需要。

2实验环境：

图7-5动态内部源地址转换实验配置图3实验步骤1）R1的配置：

R1#conftR1（config）#intf1R1（config-if）#ipadd192.1.1.1255.255.255.0R1（config-if）#ipnatoutside/指定f1为NAT外部转换接口R1（config-if）#noshutR1（config-if）#intf0R1（config-if）#ipadd192.168.1.1255.255.255.0R1（config-if）#ipnatinside/指定f1为NAT内部转换接口R1（config-if）#exitR1（config）#ipnatpool100-nat50.1.1.250.1.1.100netmask255.255.255.0/定义用于动态分配的全球地址的地址池，名为100-nat。

R1（config）#access-list1permit192.168.1.00.0.0.255/定义一个标准访问控制列表，IP是可以被转换的内部源地址。

R1（config）#ipnatinsidesourcelist1pool100-natoverload/把访问控制列表和地址池建立动态地址复用，注意overloadR1（config）#iproute0.0.0.00.0.0.0192.1.1.2/到R2的默认路由R1（config）#Z/退出2）R2的配置：

R2（config）#intf1R2（config-if）#ipadd192.1.1.2255.255.255.0R2（config-if）#noshutR2（config）#intf0R2（config-if）#ipadd192.1.2.1255.255.255.0R2（config-if）#noshutR2（config-if）#exitR2（config）#iproute50.1.1.0255.255.255.0192.1.1.1/到50.1.1.0的静态路由实验结果验证NAT路由器通过映射端口号保持不同的会话连接，在PC1上ping192.1.1.2和PC3（192.1.2.2），用showipnattranslation来显示NAPT转换记录，也可用showipnattranslationverbose来显示更详细的NAPT转换记录信息。

R1#showipnattranslationProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp50.1.1.10:

512192.168.1.2:

512192.1.2.1:

512icmp50.1.1.10:

512192.168.1.2:

512192.1.1.2:

512R1#showipnattranslationverboseProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp50.1.1.10:

512192.168.1.2:

512192.1.2.1:

512create00:

00:

45,use00:

00:

42,left00:

00:

17,flags:

extendedicmp50.1.1.10:

512192.168.1.2:

512192.1.1.2:

512create00:

00:

31,use00:

00:

28,left00:

00:

31,flags:

extendedICMP的复用动态转换时限是60秒，60秒后它就关闭相应的端口。

每个会话都有它自己的时限，锐捷R262X系列的缺省情况如下：

dns-timeout定义DNS转换记录的超时时间，缺省60秒finrst-timeout定义TCP连接FIN以及RESET后转换记录的超时时间，缺省60秒icmp-timeout定义ICMP转换记录的超时时间，缺省60秒tcp-timeout定义TCP连接转换记录的超时时间，缺省600秒Timeout定义简单动态NAT转换超时时间，缺省600秒udp-timeout定义UDP连接转换记录的超时时间，缺省300秒在PC1上ping、telnet（登录不了，自动回到dos窗口）和ftp（ftp后，退出ftp程序，键入bye）192.1.1.2。

你的动作要快，因为你只有60秒的时限。

初始化这三个会话后，用showipnattranslation查看，结果与下面的相似，也可用showipnattranslationverbose查看更详细的会话。

R1#showipnattranslationProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp50.1.1.10:

512192.168.1.2:

512192.1.1.2:

512tcp50.1.1.10:

1073192.168.1.2:

1073192.1.1.2:

23192.1.1.2:

23tcp50.1.1.10:

1073192.168.1.2:

1073192.1.1.2:

23192.1.1.2:

23尽管路由器中有六个IP地址，但它连续选择50.1.1.10作为内部地址的转换地址。

因为它会对第一个地址连续复用，直到超过它的最大限制后，才启用第二个IP地址，依次复用下去。

为观察实际的转换过程，可用debugipnat调试。

用PC1pingPC3，R1#debugipnatNATeventsdebuggingisonR1#IPNAT:

entryexpiring50.1.1.10（192.168.1.2）icmp512（512）R1#unallAllpossibledebugginghasbeenturnedoff但在锐捷的路由器上我们只得到一条转换超时的信息。

没有地址转换记录，我们用Sniffer抓了包，给大家看下地址的转换情况，PC1：

PC3：

4问题与提示1）不要把inside和outside应用的接口弄错2）如果有条件，尽量不要用outside接口的全局地址作为内部全局地址，该接口地址的所有者是互联网服务提供商（ISP）。

当线路变更时地址就会改变，就学要更改DNS记录了，如果是直接通过IP提供服务，那就更麻烦，而线路的变更是常有的，另外，路由器的outside接口有可能不是可用的地址，而是私有地址等。

展开阅读全文

实验八 网络地址转换.docx

实验八网络地址转换.docx