收藏 分销(赏)

网络地址转换(NATPPT.ppt

上传人:精*** 文档编号:11421649 上传时间:2025-07-23 格式:PPT 页数:42 大小:2.53MB 下载积分:12 金币
下载 相关 举报
网络地址转换(NATPPT.ppt_第1页
第1页 / 共42页
网络地址转换(NATPPT.ppt_第2页
第2页 / 共42页


点击查看更多>>
资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络地址转换,(NAT),第,25,章,1,本章目标,了解地址转换(,NAT,)的作用和工作原理,了解各种,NAT,术语,理解,NAT,的各种应用:,转换内部,LAN,地址、复用内部地址、负载均衡,和处理地址交叉,掌握,NAT,的配置和排错,2,网络地址转换(,Network Address Translation,,,NAT,)通过将内部网络的私有,IP,地址翻译成全球唯一的公网,IP,地址,使内部网络可以连接到互联网等外部网络上。,NAT,的原理,改变,IP,包头,使目的地址、源地址或两个地址在包头中被不同地址替换,网络地址转换概述,4-1,3,网络地址转换概述,4-2,地址转换的提出背景,合法的,IP,地址资源日益短缺,一个局域网内部有很多台主机,但不是每台主机都有合法的,IP,地址,为了使所有内部主机都可以连接因特网,需要使用地址转换,地址转换技术可以有效地隐藏内部局域网中的主机,具有一定的网络安全保护作用,地址转换可以在局域网内部提供给外部,FTP,、,WWW,、,Telnet,服务,4,局域网,PC2,PC1,Internet,网络地址转换概述,4-3,IP:202.0.0.1,Port:3010,地址转换,IP:202.0.0.1,Port:3000,IP,数据包,IP:192.168.0.1,Port:3000,IP:192.168.0.2,Port:3010,5,网络地址转换概述,4-4,NAT,的,3,种实现方式,静态转换(,Static Translation,),动态转换(,Dynamic Translation,),端口多路复用(,Port Address Translation,PAT,),静态转换就是将内部网络的私有,IP,地址转换为公有合法的,IP,地址时,,IP,地址的对应关系是一对一的,是不变的,即某个私有,IP,地址只转为某个固定的公有,IP,地址。,动态转换是指将内部网络的私有地址转换为公有地址时,,IP,地址对应关系是不确定的、随机的,所有被授权访问因特网的私有地址可随机转换为任何指定的合法地址。,端口多路复用是改变外出数据包的源,IP,地址和源端口并进行端口转换,即端口地址转换采用端口多路复用方式。内部网络的所有主机均可共享一个合法外部,IP,地址实现因特网的访问,从而可以最大限度地节约,IP,地址资源。同时,又可以隐藏网络内部的所有主机,以有效地避免来自因特网的攻击。,6,NAT,的术语,内部局部,IP,地址(,Inside Local IP address,),在内部网络中分配给主机的私有,IP,地址。该地址时从,RFC1918,所定义的私有地址空间中分配的。,内部全局,IP,地址(,Inside global IP address,),一个合法的,IP,地址(由,NIC,或者,ISP,分配)。它对外代表一个或多个内部局部,IP,地址。该地址通常是从全球统一可寻址的地址空间分配的。,外部全局地址(,outside global IP address,),由其所有者给外部网络上的主机分配的,IP,地址。该地址通常是从全球统一可寻址的地址空间分配的。,外部局部,IP,地址(,outside local IP address,),外部主机表现在内部网络的,IP,地址。这一地址是从内部可寻址的地址空间中分配的。,7,NAT,的术语,简单转换条目(,simple translation entry,),将一个,IP,地址映射到另一个,IP,地址的转换条目。,扩展转换条目(,extended translation entry,),映射,IP,地址和端口到另一对,IP,地址和端口的条目。,8,使用双向,NAT,可以处理地址交叉的情况,使用两个方向上的动态,NAT,会用到,4,种类型的地址,NAT,的术语,2-1,公司合并,可能导致地址交叉,9,NAT,的术语,2-2,10.1.1.1,外部主机,B,10.1.1.2,外部主机,C,internet,10.1.1.1,NAT,主机,A,1,2,3,4,SA=10.1.1.1,DA,193.3.3.1,1,内部局部地址,外部局部地址,主机,A,发出的包,SA=192.2.2.1,DA=10.1.1.1,经过路由器转换的包,2,内部全局地址,外部全局地址,经过路由器转换的包,SA=193.3.3.1,DA=10.1.1.1,4,外部局部地址,内部局部地址,SA=10.1.1.1,DA=192.2.2.1,外部主机,B,返回的包,3,外部全局地址,内部全局地址,10,NAT,的优缺点,NAT,的优点,节省公有合法,IP,地址,处理地址交叉,增强灵活性,安全性,NAT,的缺点,延迟增大,配置和维护的复杂性,不支持某些应用,11,SA,192.168.2.2,DA,192.168.2.2,10.1.1.3,10.1.1.2,10.1.1.1,SA,10.1.1.1,1,DA,10.1.1.1,5,2,NAT,转换表,4,3,协议,内部用局部,IP,地址,内部用全局,IP,地址,外部用全局,IP,地址,TCP,10.1.1.1,192.168.2.2,172.20.7.3:23,172.20.7.3,外部主机,B,172.21.7.3,外部主机,C,转换,LAN,内部地址,In,ternet,12,协议,内部用局部,IP,地址,内部用全局,IP,地址,外部用全局,IP,地址,TCP,10.1.1.3:1492,192.168.2.2:1492,172.21.7.3:23,TCP,10.1.1.2:1723,192.168.2.2:1723,172.21.7.3:23,TCP,10.1.1.1:1024,192.168.2.2:1024,172.20.7.3:23,复用,LAN,的内部地址,SA,192.168.2.2,DA,192.168.2.2,SA,10.1.1.1,1,DA,10.1.1.1,5,2,NAT,转换表,4,3,172.20.7.3,外部主机,B,172.21.7.3,外部主机,C,In,ternet,10.1.1.3,10.1.1.2,10.1.1.1,13,虚拟主机,Internet,SA,10.1.1.1,SA,10.1.1.127,DA,10.1.1.127,DA,10.1.1.1,10.1.1.3,10.1.1.2,10.1.1.1,4,3,2,NAT,转换表,1,5,172.20.7.3,外部主机,B,172.21.7.3,外部主机,C,10.1.1.127,协议,内部用局部,IP,地址:端口号,内部用全局,IP,地址:端口号,外部用全局,IP,地址:端口号,TCP,10.1.1.1:80,10.1.1.127:80,172.20.7.3:3058,TCP,10.1.1.2:80,10.1.1.127:80,172.21.7.3:4371,TCP,10.1.1.3:80,10.1.1.127:80,172.20.7.3:3062,TCP,负载均衡,14,NAT,配置,NAT,配置步骤,1,、接口,IP,地址配置,2,、使用访问控制列表定义,哪些,内部主机能做,NAT,3,、决定采用什么公有地址,静态或地址池,4,、指定地址转换映射,5,、在内部和外部端口上启用,NAT,15,静态,NAT,配置,3-1,Internet,NAT,外部端口,NAT,内部端口,内部网络,192.168.100.2-192.168.100.6/24,61.159.62.129,192.168.100.1,将内部网络地址,192.168.100.2-192.168.100.6,转换为合法的外部地址,61.159.62.130-61.159.62.134,16,第一步:设置外部端口,第二步:设置内部端口,第三步:在内部本地和内部合法地址之间建立静态地址转换,第四步:在内部和外部端口上启用,NAT,Router,(,config,),#ip nat inside source static,local-ip global-ip,Router(config)#ip nat inside source static 192.168.100.2 61.159.62.130,#,将内部局部地址,192.168.100.2,转换为内部全局地址,60.159.62.130,Router(config)#ip nat inside source static 192.168.100.3 61.159.62.131,Router(config)#interface serial 0/0,Router(config-if)#ip address 61.159.62.129 255.255.255.248,Router(config)#interface FastEthernet 0/0,Router(config-if)#ip address 192.168.100.1 255.255.255.0,Router(config)#interface serial 0/0,Router(config-if)#ip nat outside,Router(config)#interface fastethernet 0/0,Router(config-if)#ip nat inside,静态,NAT,配置,3-2,17,静态,NAT,配置,3-3,Internet,SA,192.168.100.2,1,DA,192.168.100.2,5,2,NAT,转换,DA,61.159.62.,130,4,SA,61.159.62.130,3,192.168.100.1,61.159.62.129,NAT,转换表,192.168.100.6,192.168.100.3,192.168.100.2,协议,内部用局部,IP,地址,内部用全局,IP,地址,外部用全局,IP,地址,TCP,192.168.100.2,61.159.62.130,155.34.2.3,TCP,192.168.100.3,61.159.62.131,210.3.4.5,TCP,192.168.100.6,61.159.62.134,210.3.4.5,155.34.2.3,外部主机,210.3.4.5,外部主机,18,Internet,NAT,外部端口,NAT,内部端口,内部网络,172.168.100.2-172.168.100.6/24,61.159.62.129,172.168.100.1,将内部网络地址,172.168.100.1-172.168.100.254,转换为合法的外部地址,61.159.62.130-61.159.62.190,动态,NAT,配置,4-1,Internet,19,动态,NAT,配置,4-2,第一步:设置外部端口,IP,地址,第二步:设置内部端口,IP,地址,第三步:定义内部网络中允许访问外部的访问控制列表,Router(config)#interface serial 0/0,Router(config-if)#ip address 61.159.62.129 255.255.255.192,Router(config)#interface FastEthernet 0/0,Router(config-if)#ip address 172.168.100.1 255.255.255.0,Router(config)#access-list 1 permit 172.168.100.0 0.0.0.255,#,使用标准的访问控制列表,允许,172.168.100.0,网段访问外部网络,20,动态,NAT,配置,4-3,第四步:定义合法,IP,地址池,第五步:指定网络地址转换映射,第六步:在内部和外部端口上启用,NAT,Router(config)#ip nat inside source list 1 pool kejidaxue,#Router(config)#ip nat pool,pool-name star-ip end-ip,netmask,netmask|prefix-length prefix-length type rotary,#Pool-name:,地址池的名称。,Star-ip/end-ip:,地址池内开始和终止,IP,。,Netmask:,子网掩码,,4,短,3,点的十进制,#Prefix-length:,掩码中,1,的数量表示,两种表示方式等价。,Type rotary,(可选),:,地址池中的地址循使用,Router(config)#ip nat pool kejidaxue 61.159.62.130 61.159.62.190 netmask 255.255.255.192,Router(config)#Interface serial 0/0,Router(config-if)#Ip nat outside,Router(config)#Interface fastethernet 0/0,Router(config-if)#Ip nat inside,21,Internet,172.168.100.2,SA,172.168.100.2,1,DA,172.168.100.2,5,2,NAT,转换,DA,61.159.62.,130,4,SA,61.159.62.130,3,155.34.2.3,外部主机,210.3.4.5,外部主机,172.168.100.3,172.168.100.6,172.168.100.1,61.159.62.129,协议,内部用局部,IP,地址,内部用全局,IP,地址:端口号,外部用全局,IP,地址,TCP,172.168.100.2,61.159.62.130,155.34.2.3,TCP,172.168.100.3,61.159.62.131,210.3.4.5,TCP,172.168.100.6,61.159.62.134,210.3.4.5,NAT,转换表,动态,NAT,配置,4-4,22,Internet,NAT,外部端口,NAT,内部端口,内部网络,10.1.1.2-10.1.1.254/24,61.159.62.129,10.1.1.1,将内部网络地址,10.1.1.1-10.1.1.254,,转换为合法的外部地址,61.159.62.130,PAT,配置,9-1,23,第一步:设置外部端口,IP,地址,第二步:设置内部端口,IP,地址,第三步:定义内部网络中允许访问外部的访问控制列表,Router(config)#interface serial 0/0,Router(config-if)#ip address 61.159.62.129 255.255.255.192,Router(config)#interface FastEthernet 0/0,Router(config-if)#ip address 10.1.1.1 255.255.255.0,Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255,PAT,配置,9-2,24,第四步:定义合法,IP,地址池,第五步:指定网络地址转换映射,第六步:在内部和外部端口上启用,NAT,#,在全局模式,设置在内部局部地址与内部全局地址,IP,地址之间建立动态地址转换,#Router(config)#ip nat inside source list,access-list-number,pool,pool-name,overload,Router(config)#ip nat inside source list 1 pool kejidaxue overload,Router(config)#ip nat pool kejidaxue 61.159.62.130 61.159.62.130 netmask 255.255.255.248,#,在这里,合法地址池的名字是,kejidaxue,,合法地址范围是,65.159.62.130,,掩码是,255.255.255.248.,由于只有一个地址,所以起始地址和终止地址相同,Router(config)#interface serial 0/0,Router(config-if)#ip nat outside,Router(config)#interface fastethernet 0/0,Router(config-if)#ip nat inside,PAT,配置,9-3,25,PAT,配置,9-4,Internet,SA,10.1.1.2,1,DA,10.1.1.2,5,2,NAT,转换,DA,61.159.62.,130,4,SA,61.159.62.130,3,155.34.2.3,外部主机,210.3.4.5,外部主机,10.1.1.1,61.159.62.129,协议,内部用局部,IP,地址,内部用全局,IP,地址:端口号,外部用全局,IP,地址,TCP,10.1.1.2:1026,61.159.62.130,:,1026,155.34.2.3,TCP,10.1.1.3:11212,61.159.62.130,:,11212,210.3.4.5,TCP,10.1.1.254:1027,61.159.62.130,:,1027,210.3.4.5,NAT,转换表,10.1.1.2,10.1.1.3,10.1.1.254,26,地址转换过程中,也直接使用接口的,IP,地址作为转换后的源地址,Internet,局域网,192.168.1.2-254/24,PC2,PC1,S0:207.35.14.82,PC1,和,PC2,可以直接使用,S0,接口的,IP,地址作为地址转换后的公用,IP,地址,PAT,配置,9-5,27,Internet,NAT,外部端口,NAT,内部端口,内部网络,10.1.1.2-10.1.1.254/24,61.159.62.129,10.1.1.1,将内部网络地址,10.1.1.1-10.1.1.254,,转换为路由器的接口地址,61.159.62.129,PAT,配置,9-6,28,第一步:设置外部端口,第二步:设置内部端口,第三步:定义内部网络中允许访问外部的访问控制列表,Router(config)#interface serial 0/0,Router(config-if)#ip address61.159.62.129 255.255.255.252,Router(config)#interface FastEthernet 0/0,Router(config-if)#ip address 10.1.1.1 255.255.255.0,Router(config)#access-list 1 permit 10.1.1.0 0.0.0.255,PAT,配置,9-7,29,第四步:定义合法,IP,地址池,直接使用路由器的接口地址,不用定义地址池,第五步:指定网络地址转换映射,第六步:在内部和外部端口上启用,NAT,#,在全局模式中,设置在内部的本地地址与内部合法地址,IP,地址之间建立动态地址转换,Router(config)#ip nat inside source list 1 interface serial0/0 overload,#,上述命令表示已端口复用方式,将访问控制列表,1,中的私有地址转换为路由器外部接口的合法,IP,地址,Router(config)#interface serial 0/0,Router(config-if)#ip nat outside,Router(config)#interface fastethernet 0/0,Router(config-if)#ip nat inside,PAT,配置,9-8,30,PAT,配置,9-9,Internet,SA,10.1.1.2,1,DA,10.1.1.2,5,2,NAT,转换,DA,61.159.62.,129,4,SA,61.159.62.129,3,155.34.2.3,外部主机,210.3.4.5,外部主机,10.1.1.1,61.159.62.129,协议,内部用局部,IP,地址,内部用全局,IP,地址:端口号,外部用全局,IP,地址,TCP,10.1.1.2:1026,61.159.62.129:1026,155.34.2.3,TCP,10.1.1.3:11212,61.159.62.129:11212,210.3.4.5,TCP,10.1.1.254:1027,61.159.62.129:1027,210.3.4.5,NAT,转换表,10.1.1.2,10.1.1.3,10.1.1.254,31,假定有,3,个服务器,10.1.1.1,、,10.1.1.2,、,10.1.1.3,,使用一个虚拟主机,10.1.1.127,来代表这个服务器。,第一步:设置外部端口,第二步:设置内部端口,第三步:为虚拟主机定义一个标准的,IP,访问控制列表,Router(config)#interface serial0/0,Router(config-if)#ip address 172.20.7.1 255.255.255.224,Router(config)#interface fastethernet0/0,Router(config-if)#ip address 10.1.1.254 255.255.255.0,Router(config)#access-list 2 permit 10.1.1.127,负载均衡配置,3-1,32,负载均衡配置,3-2,第四步:给真实主机定义一个,NAT,地址集,第五步:设置访问控制列表和,NAT,地址集之间的映射,第六步:在内部和外部端口上启用,NAT,Router(config)#ip nat inside destination list 2 pool real-host,#,给真实主机定义一个,NAT,地址集,Router(config)#ip nat pool real-host 10.1.1.1 10.1.1.3 prefix-length 24 type rotary,#,此命令表示真实主机地址为,10.1.1.1,10.1.1.3,,掩码长度,24,位,该地址集为循环(,rotary,)型,Router(config)#interface serial 0/0,Router(config-if)#ip nat outside,Router(config)#interface fastethernet 0/0,Router(config-if)#ip nat inside,33,负载均衡配置,3-3,Internet,SA,10.1.1.1,4,SA,10.1.1.127,5,DA,10.1.1.127,1,DA,10.1.1.1,3,协议,内部用局部,IP,地址,内部用全局,IP,地址:端口号,外部用全局,IP,地址,TCP,10.1.1.1:80,10.1.1.127:80,172.21.7.3:3085,TCP,10.1.1.2:80,10.1.1.127:80,172.21.7.3:4371,TCP,10.1.1.3:80,10.1.1.127:80,172.21.7.3:3062,2,NAT,转换表,10.1.1.3,10.1.1.2,10.1.1.1,10.1.1.127,虚拟主机,172.20.7.3,外部主机,172.21.7.3,外部主机,34,NAT,检查与排错,3-1,常见问题,动态地址池中是否有正确的范围的地址,动态地址池中是否有重复的地址,静态映射的地址与动态地址池中的地址之间是否有重复,访问列表是否指明了要转换的正确地址,是否漏掉一些地址,是否包括了一些不该包括的地址,是否指明了正确的内部和外部接口,不对称路由问题,35,NAT,检查与排错,3-2,测试联通性验证,NAT,配置,命令,show ip nat translations,show ip nat statistics,Router#show ip nat translations,Pro inside global inside local outside local outside global,Tcp 61.159.62.130,192.168.100.2 -,Tcp 61.159.62.131,192.168.100.3 -,36,NAT,检查与排错,3-3,s,10.1.1.1,表示源地址是,10.1.1.1,d,172.16.2.2,表示目的地址是,172.16.2.2,10.1.1.1-192.168.2.1,表示将地址,10.1.1.1,转换为,192.168.2.1,Router,debug ip nat,Nat:s=10.1.1.1-192.168.2.1,d=172.16.2.2 0,Nat:s=172.16.2.2,d=192.168.2.1-10.1.1.1 0,Nat:s=10.1.1.1-192.168.2.1,d=172.16.2.2 1,NAT,的,debug,调试,37,清除,NAT,表的条目,命令,作用,clear ip nat translation*,清除,NAT,转换表中的所有条目,clear ip nat translation inside local-ip global-ip,清除包含内部转换的简单转换条目,clear ip nat translation outside local-ip global-ip,清除包含外部转换的简单转换条目,38,验证和监控,PAT,测试网络联通性,命令,show ip nat translations,show ip nat statistics,Router,show ip nat translations,Pro inside global inside local outside local outside global,Tcp 207.35.14.82:6003 192.168.1.1:6003 207.35.14.83:1765 207.35.14.83:1765,Tcp 207.35.14.82:1067 192.168.1.2:1067 207.35.14.83:1766 207.35.14.83:1766,39,实验,实验背景,samsung,公司对因特网的访问需求逐步提升,新申请了一段合法,IP,地址用于连接互联网。作为网络管理员,需要对路由器上的,NAT,配置进行重新规划设置,使用实验拓扑图进行,samsung,网络环境的模拟,,10.1.1.0,和,172.16.1.0,子网分别作为内部子网,通过地址翻译访问对方的网络,40,实验拓扑,10.1.1.2/24,10.1.1.3/24,路由器,A,172.16.1.2/24,172.16.1.3/24,路由器,B,10.1.1.1/24,192.168.1.1/24,192.168.1.2/24,172.16.1.1/24,41,实验任务,任务,1,静态,NAT,的配置,任务,2,动态,NAT,的配置,任务,3 PAT,的配置,完成标准,网络正确联通,内部网络经过,NAT,后,每个小组的内部,PC,能与外部地址通讯,使用,show ip nat translations,可以查看到相应的地址转换,42,
展开阅读全文

开通  VIP会员、SVIP会员  优惠大
下载10份以上建议开通VIP会员
下载20份以上建议开通SVIP会员


开通VIP      成为共赢上传

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服