网络地址转换NAT配置PPT资料.ppt

1、外网？二、解决二、解决v情况情况1：可以通：可以通过NAT将内部网将内部网络与外部与外部Internet 隔离开，使外部用隔离开，使外部用户根本不知道通根本不知道通过NAT设置的置的内部内部IP地址。地址。v情况情况2：可以通过NAT功能功能实现多个用多个用户同同时公用公用一个合法一个合法IP与外部与外部Internet 进行通信。行通信。NAT网络地址翻译网络地址翻译 v随着随着Internet的飞速发展，网上丰富的资源产生着巨大的的飞速发展，网上丰富的资源产生着巨大的吸引力吸引力v接入接入Internet成为当今信息业最为迫切的需求。成为当今信息业最为迫切的需求。v但这受到但这受到IP地址

2、的许多限制地址的许多限制v首先，许多局域网在未联入首先，许多局域网在未联入Internet之前，就已经运行许之前，就已经运行许多年了，局域网上有了许多现成的资源和应用程序，但它多年了，局域网上有了许多现成的资源和应用程序，但它的的IP地址分配不符合地址分配不符合Internet的国际标准，因而需要重新的国际标准，因而需要重新分配局域网的分配局域网的IP地址，这无疑是劳神费时的工作。地址，这无疑是劳神费时的工作。v其二，随着其二，随着Internet的膨胀式发展，其可用的的膨胀式发展，其可用的IP地址越来地址越来越少，要想在越少，要想在ISP处申请一个新的处申请一个新的IP地址已不是很容易的地址

3、已不是很容易的事了。事了。vNAT（网络地址翻译）能解决不少令人头疼的问（网络地址翻译）能解决不少令人头疼的问题题v它解决问题的办法是：在内部网络中使用内部地它解决问题的办法是：在内部网络中使用内部地址，通过址，通过NAT把内部地址翻译成合法的把内部地址翻译成合法的IP地址，地址，在在Internet上使用。上使用。v其具体的做法是把其具体的做法是把IP包内的地址池（内部本地）包内的地址池（内部本地）用合法的用合法的IP地址段（内部全局）来替换。地址段（内部全局）来替换。私有私有IP地址空地址空间企业边缘的NAT在边界路由器上使用 NAT 能提高安全性。内部私有地址每次会转换为不同的公有地址。

4、这样可以隐藏企业内主机和服务器的实际地址。大多数实施 NAT 的路由器还会阻止来自私有网络外部的数据包（除非这些数据包是内部主机所发出请求的应答数据包）。Page 9/44局域网局域网PC2PC1Internet网网络地址地址转换IP:202.0.0.1Port:3010地址地址地址地址转换转换IP:3000IP 数据包数据包IP:192.168.0.1Port:3000IP:192.168.0.2Port:3010Page 10/44vNAT的的3种种实现方式方式静静态转换动态转换端口多路复用端口多路复用 Page 11/44NAT的的优缺点缺点vNAT的的优点点节省公有合法省公有合法IP地

5、址地址处理地址交叉理地址交叉增增强灵活性灵活性安全性安全性vNAT的缺点的缺点延延迟增大增大配置和配置和维护的复的复杂性性不支持某些不支持某些应用用Page 12/44vNAT配置步骤配置步骤1、IP地址配置地址配置2、使用访问控制列表定义哪些内部主机能做、使用访问控制列表定义哪些内部主机能做NAT3、决定采用什么公有地址，静态或地址池、决定采用什么公有地址，静态或地址池4、指定地址转换映射、指定地址转换映射5、在进出口上启用、在进出口上启用NAT静静态NAT转换v静态转换是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目，内部地址与全局地址一一对应。每当内部

6、节点与外界通信时，内部地址就会转化为对应的全局地址。v当外出的数据包到达边缘网关时，从NAT表中查找相应的静态转换条目，检索出对应的全局地址，并替换数据包中的源地址（内部地址），而当外部的数据包要通过边缘网关的时候，目的地址（全局地址）被替换成相应的内部地址。Page 14/44静静态NAT配置配置InternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络192.168.100.2-192.168.100.6/24 61.159.62.129 192.168.100.1将内部网将内部网将内部网将内部网络络地址地址地址地址192.168.100.2-192.168.100.6,

7、192.168.100.2-192.168.100.6,转换为转换为合法的外部地址合法的外部地址合法的外部地址合法的外部地址61.159.62.130-61.159.62.13461.159.62.130-61.159.62.134Page 15/44v第一步：第一步：设置外部端口置外部端口 v第二步第二步：设置内部端口置内部端口 v第三步：第三步：在内部本地和内部合法地址之在内部本地和内部合法地址之间建立静建立静态地址地址转换 v第四步：在内部和外部端口上启用第四步：在内部和外部端口上启用NATRouter（config）#ip nat inside source static 192.16

8、8.100.2 61.159.62.130Router（config）#ip nat inside source static 192.168.100.3 61.159.62.131Router（config）#interface serial 0/0Router（config-if）#ip address 61.159.62.129 255.255.255.248Router（config）#interface FastEthernet 0/0Router（config-if）#ip address 192.168.100.1 255.255.255.0Router（config）#inte

9、rface serial 0/0Router（config-if）#ip nat outsideRouter（config）#interface fastethernet 0/0Router（config-if）#ip nat insidePage 16/44静静态NAT配置配置InternetSA192.168.100.21DA192.168.100.252 NAT转换转换DA61.159.62.1304SA61.159.62.130 3192.168.100.161.159.62.129 NAT转换表转换表192.168.100.6192.168.100.3192.168.100.2协议内

10、部用局部IP地址内部用全局IP地址外部用全局IP地址TCP192.168.100.261.159.62.130155.34.2.3TCP192.168.100.361.159.62.131210.3.4.5TCP192.168.100.661.159.62.134210.3.4.5155.34.2.3外部主机外部主机210.3.4.5外部主机外部主机动态动态NAT转换转换 动态地址NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址，主要应用于拨号。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。动态转换将可

11、用的全局地址集定义成NAT池（NAT pool）。对于要与外界进行通信的内部节点，如果还没有建立转换映射，边缘路由器或者防火墙将会动态的从NAT池中选择全局地址对内部地址进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会被回收。Page 18/44InternetNAT外部端口外部端口NAT内部端口内部端口内部网络内部网络172.168.100.2-172.168.100.6/24 61.159.62.129 172.168.100.1 将内部网将内部网将内部网将内部网络络地址地址地址地址172.168.100.1-172.168.100.254172.168.100.1-172.1

12、68.100.254转换为转换为合法的外部地址合法的外部地址合法的外部地址合法的外部地址61.159.62.130-61.159.62.190 61.159.62.130-61.159.62.190 动态动态动态动态动态动态NATNATNAT配置配置配置配置配置配置4-14-14-1InternetPage 19/44动态动态NAT配置配置4-2v第一步：设置外部端口置外部端口IP地址地址v第二步：第二步：设置内部端口置内部端口IP地址地址v第三步：定第三步：定义内部网内部网络中允中允许访问外部的外部的访问控制列表控制列表Router（config）#interface serial 0/0R

13、outer（config-if）#ip address 61.159.62.129 255.255.255.192Router（config）#interface FastEthernet 0/0Router（config-if）#ip address 172.168.100.1 255.255.255.0Router（config）#access-list 1 permit 172.168.100.0 0.0.0.255Page 20/44动态动态NAT配置配置4-3v第四步：定第四步：定义合法合法IP地址池地址池 v第五步：指定网第五步：指定网络地址地址转换映射映射v第六步：在内部和外部端

14、口上启用第六步：在内部和外部端口上启用NAT Router（config）#ip nat inside source list 1 pool test0Router（config）#ip nat pool test0 61.159.62.130 61.159.62.190 network 255.255.255.192Router（config）#Interface serial 0/0Router（config-if）#Ip nat outsideRouter（config）#Interface fastethernet 0/0Router（config-if）#Ip nat insideP

15、age 21/44Internet172.168.100.2SA172.168.100.21DA172.168.100.252 NAT转换转换DA61.159.62.1304SA61.159.62.130 3155.34.2.3外部主机外部主机210.3.4.5外部主机外部主机172.168.100.3172.168.100.6172.168.100.161.159.62.129 协议内部用局部IP地址内部用全局IP地址：端口号外部用全局IP地址TCP172.168.100.261.159.62.130155.34.2.3TCP172.168.100.361.159.62.131210.3.4.5TCP172.168.100.661.159.62.134210.3.4.5NAT转换表转换表动态动态NAT配置配置4-4PAT网网络地址端口地址端口转换 网络端口地址转换PAT是动态转换的一种变形。它可以使多个内部节点共享一个全局IP地址。PAT与动态地址NAT不同，它将内部连接映射到外部网络中的一个单独的IP地址上，同时在该地址上加上一个由NAT