NAT網(wǎng)絡(luò)地址轉(zhuǎn)換_第1頁
NAT網(wǎng)絡(luò)地址轉(zhuǎn)換_第2頁
NAT網(wǎng)絡(luò)地址轉(zhuǎn)換_第3頁
NAT網(wǎng)絡(luò)地址轉(zhuǎn)換_第4頁
NAT網(wǎng)絡(luò)地址轉(zhuǎn)換_第5頁
已閱讀5頁,還剩37頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換(nat)(nat)(nat)本章目標(biāo)本章目標(biāo)v了解地址轉(zhuǎn)換(了解地址轉(zhuǎn)換(nat)的作用和工作原理)的作用和工作原理v了解各種了解各種nat術(shù)語術(shù)語v理解理解nat的各種應(yīng)用:的各種應(yīng)用:轉(zhuǎn)換內(nèi)部轉(zhuǎn)換內(nèi)部lan地址、復(fù)地址、復(fù)用內(nèi)部地址、負(fù)載均衡用內(nèi)部地址、負(fù)載均衡和處理地址交叉和處理地址交叉v掌握掌握nat的配置和排錯的配置和排錯本章結(jié)構(gòu)本章結(jié)構(gòu)網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換nat/patnat的優(yōu)勢缺點(diǎn)的優(yōu)勢缺點(diǎn)nat的概念的概念nat的術(shù)語的術(shù)語nat概念和術(shù)語概念和術(shù)語nat的配置的配置nat的應(yīng)用的應(yīng)用nat的檢查與

2、排的檢查與排錯錯靜態(tài)靜態(tài)nat的配置的配置動態(tài)動態(tài)nat的配置的配置pat的配置的配置tcp負(fù)載均衡配置負(fù)載均衡配置用用nat解決地址交叉的問題解決地址交叉的問題網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述v地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換的提出背景 合法的合法的ip地址資源日益短缺地址資源日益短缺 一個(gè)局域網(wǎng)內(nèi)部有很多臺主機(jī),但不是每臺主機(jī)都有合一個(gè)局域網(wǎng)內(nèi)部有很多臺主機(jī),但不是每臺主機(jī)都有合法的法的ip地址,為了使所有內(nèi)部主機(jī)都可以連接因特網(wǎng),地址,為了使所有內(nèi)部主機(jī)都可以連接因特網(wǎng),需要使用地址轉(zhuǎn)換需要使用地址轉(zhuǎn)換 地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主機(jī),具地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主

3、機(jī),具有一定的網(wǎng)絡(luò)安全保護(hù)作用有一定的網(wǎng)絡(luò)安全保護(hù)作用 地址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部地址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部ftp、www、telnet服務(wù)服務(wù)vnat的原理的原理 改變改變ip包頭,使目的地址、源地址或兩個(gè)地址在包包頭,使目的地址、源地址或兩個(gè)地址在包頭中被不同地址替換頭中被不同地址替換網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述局域網(wǎng)局域網(wǎng)pc2pc1internet網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述ip:port:3010ip:port:3000ip 數(shù)據(jù)包數(shù)據(jù)包ip:port:3000ip:port:30

4、10網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述vnat的的3種實(shí)現(xiàn)方式種實(shí)現(xiàn)方式 靜態(tài)轉(zhuǎn)換靜態(tài)轉(zhuǎn)換 動態(tài)轉(zhuǎn)換動態(tài)轉(zhuǎn)換 端口多路復(fù)用端口多路復(fù)用 v使用雙向使用雙向nat可以處理地址交叉的情況可以處理地址交叉的情況v使用兩個(gè)方向上的動態(tài)使用兩個(gè)方向上的動態(tài)natv會用到會用到4種類型的地址種類型的地址nat的術(shù)語的術(shù)語公司合并,公司合并,可能導(dǎo)致地可能導(dǎo)致地址交叉址交叉nat的術(shù)語的術(shù)語外部主機(jī)外部主機(jī)b外部主機(jī)外部主機(jī)cinternetnat主機(jī)主機(jī)a1234sa=da1內(nèi)部局部地址內(nèi)部局部地址外部局部地址外部局部地址主機(jī)

5、主機(jī)a發(fā)出的包發(fā)出的包sa=da=經(jīng)過路由器轉(zhuǎn)換的包經(jīng)過路由器轉(zhuǎn)換的包2內(nèi)部全局地址內(nèi)部全局地址外部全局地址外部全局地址經(jīng)過路由器轉(zhuǎn)換的包經(jīng)過路由器轉(zhuǎn)換的包sa=da=4外部局部地址外部局部地址內(nèi)部局部地址內(nèi)部局部地址sa=da=外部主機(jī)外部主機(jī)b返回的包返回的包3外部全局地址外部全局地址內(nèi)部全局地址內(nèi)部全局地址nat的優(yōu)缺點(diǎn)的優(yōu)缺點(diǎn)vnat的優(yōu)點(diǎn)的優(yōu)點(diǎn) 節(jié)省公有合法節(jié)省公有合法ip地址地址 處理地址交叉處理地址交叉 增強(qiáng)靈活性增強(qiáng)靈活性 安全性安全性vnat的缺點(diǎn)的缺點(diǎn) 延遲增大延遲增大 配

6、置和維護(hù)的復(fù)雜性配置和維護(hù)的復(fù)雜性 不支持某些應(yīng)用不支持某些應(yīng)用支持的業(yè)務(wù)類型和支持的業(yè)務(wù)類型和應(yīng)用應(yīng)用支持在數(shù)據(jù)流中有支持在數(shù)據(jù)流中有ip地址的業(yè)務(wù)類型地址的業(yè)務(wù)類型不支持的不支持的業(yè)務(wù)類型業(yè)務(wù)類型任何應(yīng)用數(shù)據(jù)流中不承載任何應(yīng)用數(shù)據(jù)流中不承載源源/目的目的ip地址的地址的tcp/udp業(yè)務(wù)業(yè)務(wù)icmp路由表更新路由表更新httpftp(包括(包括port和和 pasv)dns區(qū)域傳送區(qū)域傳送tftptcp/ip上的上的netbios(數(shù)據(jù)報(bào)、(數(shù)據(jù)報(bào)、名稱和會話服務(wù)名稱和會話服務(wù)bootptelnetdns(a和和ptr查詢)查詢)talk,ntalkntph.323/netmeetings

7、nmpnfsip多播(只轉(zhuǎn)換源地址)多播(只轉(zhuǎn)換源地址)netshownat支持的數(shù)據(jù)流支持的數(shù)據(jù)流sadasada nat轉(zhuǎn)換表轉(zhuǎn)換表協(xié)議協(xié)議 內(nèi)部用局部內(nèi)部用局部ip地址地址內(nèi)部用全局內(nèi)部用全局ip地址地址外部用全局外部用全局ip地址地址tcp:23外部主機(jī)外部主機(jī)b外部主機(jī)外部主機(jī)c轉(zhuǎn)換轉(zhuǎn)換lan內(nèi)部地址內(nèi)部地址internet協(xié)議協(xié)議 內(nèi)部用局部內(nèi)部用局部ip地址地址

8、內(nèi)部用全局內(nèi)部用全局ip地址地址外部用全局外部用全局ip地址地址tcp:1492:1492:23tcp:1723:1723:23tcp:1024:1024:23復(fù)用復(fù)用lan的內(nèi)部地址的內(nèi)部地址sadasada nat轉(zhuǎn)換表轉(zhuǎn)換表外部主機(jī)外部主機(jī)b外部主機(jī)外部主機(jī)cinternet10.1.1

9、.虛擬主機(jī)虛擬主機(jī)internetsasa27da27da nat轉(zhuǎn)換表轉(zhuǎn)換表外部主機(jī)外部主機(jī)b外部主機(jī)外部主機(jī)c27協(xié)議協(xié)議內(nèi)部用局部內(nèi)部用局部ip地地址:端口號址:端口號內(nèi)部用全局內(nèi)部用全局ip地址:地址:端口號端口號外部用全局外部用全局ip地址:地址:端口號端口號tcp:8027:80:3058tcp:8027:80172

10、.21.7.3:4371tcp:8027:80:3062tcp負(fù)載均衡負(fù)載均衡nat配置配置vnat配置步驟配置步驟1、接口、接口ip地址配置地址配置2、使用訪問控制列表定義、使用訪問控制列表定義哪些哪些內(nèi)部主機(jī)能做內(nèi)部主機(jī)能做nat3、決定采用什么公有地址,靜態(tài)或地址池、決定采用什么公有地址,靜態(tài)或地址池4、指定地址轉(zhuǎn)換映射、指定地址轉(zhuǎn)換映射5、在內(nèi)部和外部端口上啟用、在內(nèi)部和外部端口上啟用nat靜態(tài)靜態(tài)nat配置配置internetnat外部端口外部端口nat內(nèi)部端口內(nèi)部端口內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)-192.168.10

11、0.6/24 29 v第一步:第一步: 設(shè)置外部端口設(shè)置外部端口 v第二步第二步 :設(shè)置內(nèi)部端口:設(shè)置內(nèi)部端口 v第三步:第三步: 在內(nèi)部本地和內(nèi)部合法地址之間建立靜態(tài)在內(nèi)部本地和內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換地址轉(zhuǎn)換 v第四步:在內(nèi)部和外部端口上啟用第四步:在內(nèi)部和外部端口上啟用natrouter(config)#ip nat inside source static 30router(config)#ip nat inside source static 61.1

12、59.62.131router(config)#interface serial 0/0router(config-if)#ip address 29 48router(config)#interface fastethernet 0/0router(config-if)#ip address router(config)#interface serial 0/0router(config-if)#ip nat outsiderouter(config)#interface fastether

13、net 0/0router(config-if)#ip nat inside靜態(tài)靜態(tài)nat配置配置靜態(tài)靜態(tài)nat配置配置internetsada nat轉(zhuǎn)換轉(zhuǎn)換da30sa30 29 nat轉(zhuǎn)換表轉(zhuǎn)換表協(xié)議協(xié)議內(nèi)部用局部內(nèi)部用局部ip地址地址內(nèi)部用全局內(nèi)部用全局ip地址地址外部用全局外部用全局ip地址地址tcp30155.34.

14、2.3tcp31tcp34外部主機(jī)外部主機(jī)外部主機(jī)外部主機(jī)internetnat外部端口外部端口nat內(nèi)部端口內(nèi)部端口內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)-/24 29 動態(tài)動態(tài)nat配置配置internet動態(tài)動態(tài)nat配置配置v第一步:第一步: 設(shè)置外部端口設(shè)置外部端口ip地址地址v第二步:第二步: 設(shè)置內(nèi)部端口設(shè)置內(nèi)部端口ip地址地址v第三步

15、:定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪第三步:定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控制列表問控制列表router(config)#interface serial 0/0router(config-if)#ip address 29 92router(config)#interface fastethernet 0/0router(config-if)#ip address router(config)#access-list 1 permit 55動態(tài)動態(tài)na

16、t配置配置v第四步:定義合法第四步:定義合法ip地址池地址池 v第五步:指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射第五步:指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射v第六步:在內(nèi)部和外部端口上啟用第六步:在內(nèi)部和外部端口上啟用nat router(config)#ip nat inside source list 1 pool test0router(config)#ip nat pool test0 30 90 network 92router(config)#interface serial 0/0router(config-if)#ip nat outsider

17、outer(config)#interface fastethernet 0/0router(config-if)#ip nat insideinternetsada nat轉(zhuǎn)換轉(zhuǎn)換da30sa30 外部主機(jī)外部主機(jī)外部主機(jī)外部主機(jī)29 協(xié)議協(xié)議內(nèi)部用局部內(nèi)部用局部ip地址地址內(nèi)部用全局內(nèi)部用全局ip地址:端口號地址:端口號外部用全局外部

18、用全局ip地址地址tcp30tcp31tcp34nat轉(zhuǎn)換表轉(zhuǎn)換表動態(tài)動態(tài)nat配置配置internetnat外部端口外部端口nat內(nèi)部端口內(nèi)部端口內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)-54/24 29 pat配置配置v第一步第一步 :設(shè)置外部端口:設(shè)置外部端口ip地址地址v第二步:第二步: 設(shè)置內(nèi)部端口設(shè)置內(nèi)部端口ip地址地址v第三步第三步 :定

19、義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控:定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控制列表制列表 router(config)#interface serial 0/0router(config-if)#ip address 29 92router(config)#interface fastethernet 0/0router(config-if)#ip address router(config)#access-list 1 permit 55pat配置配置v第三步:定義合法第三步:

20、定義合法ip地址池地址池 v第五步:指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射第五步:指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射v第六步:在內(nèi)部和外部端口上啟用第六步:在內(nèi)部和外部端口上啟用nat router(config)#ip nat inside source list 1 pool onlyone overloadrouter(config)#ip nat pool onlyone 30 30 netmask 48router(config)#interface serial 0/0router(config-if)#ip nat outsiderouter

21、(config)#interface fastethernet 0/0router(config-if)#ip nat insidepat配置配置pat配置配置internetsada nat轉(zhuǎn)換轉(zhuǎn)換da30sa30 外部主機(jī)外部主機(jī)外部主機(jī)外部主機(jī)29 協(xié)議協(xié)議內(nèi)部用局部內(nèi)部用局部ip地址地址內(nèi)部用全局內(nèi)部用全局ip地址:端口號地址:端口號外部用全局外部用全局ip地址地址tcp:102630:102615

22、tcp:1121230:11212tcp54:102730:1027nat轉(zhuǎn)換表轉(zhuǎn)換表54v地址轉(zhuǎn)換過程中,也直接使用接口的地址轉(zhuǎn)換過程中,也直接使用接口的ip地址作為轉(zhuǎn)地址作為轉(zhuǎn)換后的源地址換后的源地址internet局域網(wǎng)局域網(wǎng) -254/24pc2pc1s0:2 pc1 和和 pc2 可以直接使可以直接使用用 s0接口的接口的ip 地址作為地址作為地址轉(zhuǎn)換后的公用地址轉(zhuǎn)換

23、后的公用ip地址地址pat配置配置internetnat外部端口外部端口nat內(nèi)部端口內(nèi)部端口內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)-54/24 29 10.1.1 .1 pat配置配置v第一步:第一步: 設(shè)置外部端口設(shè)置外部端口v第二步第二步 :設(shè)置內(nèi)部端口:設(shè)置內(nèi)部端口v第三步第三步 :定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控:定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控制列表制列表router(config)# interface serial 0/0router(config-if)# ip address29 52rou

24、ter(config)# interface fastethernet 0/0router(config-if)# ip address router(config)# access-list 1 permit 55pat配置配置v第四步:定義合法第四步:定義合法ip地址池地址池 直接使用路由器的接口地址,不用定義地址池直接使用路由器的接口地址,不用定義地址池v第五步:指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射第五步:指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射v第六步:第六步: 在內(nèi)部和外部端口上啟用在內(nèi)部和外部端口上啟用nat router(config)#i

25、p nat inside source list 1 interface serial0/0 overloadrouter(config)#interface serial 0/0router(config-if)#ip nat outsiderouter(config)#interface fastethernet 0/0router(config-if)#ip nat insidepat配置配置pat配置配置internetsada nat轉(zhuǎn)換轉(zhuǎn)換da29sa29外部主機(jī)外部主機(jī)210.3.4.

26、5外部主機(jī)外部主機(jī)29 協(xié)議協(xié)議內(nèi)部用局部內(nèi)部用局部ip地址地址內(nèi)部用全局內(nèi)部用全局ip地址:端口號地址:端口號外部用全局外部用全局ip地地址址tcp:102629:1026tcp:1121229:11212tcp54:102729:1027nat轉(zhuǎn)換表轉(zhuǎn)換表54v第一步:第一步: 設(shè)置外部端口設(shè)置外部端口v第二步:設(shè)置內(nèi)部端口第二步:設(shè)置內(nèi)

27、部端口v第三步:為虛擬主機(jī)定義一個(gè)標(biāo)準(zhǔn)的第三步:為虛擬主機(jī)定義一個(gè)標(biāo)準(zhǔn)的ip訪問控訪問控制列表制列表router(config)#interface serial0/0router(config-if)#ip address 24router(config)#interface fastethernet0/0router(config-if)#ip address 54 router(config)#access-list 2 permit 27負(fù)載均衡配置負(fù)載均衡配置負(fù)載均衡配置負(fù)載均衡

28、配置v第四步:給真實(shí)主機(jī)定義一個(gè)第四步:給真實(shí)主機(jī)定義一個(gè)nat地址集地址集v第五步:設(shè)置訪問控制列表和第五步:設(shè)置訪問控制列表和nat地址集之間地址集之間的映射的映射v第六步:在內(nèi)部和外部端口上啟用第六步:在內(nèi)部和外部端口上啟用natrouter(config)#ip nat inside destination list 2 pool real-hostrouter(config)#ip nat pool real-host prefix-length 24 type rotaryrouter(config)#interface serial 0/0ro

29、uter(config-if)#ip nat outsiderouter(config)#interface fastethernet 0/0router(config-if)#ip nat inside負(fù)載均衡配置負(fù)載均衡配置internetsasa27da27da協(xié)議協(xié)議內(nèi)部用局部內(nèi)部用局部ip地址地址內(nèi)部用全局內(nèi)部用全局ip地址:端口號地址:端口號外部用全局外部用全局ip地址地址tcp:8027:80:3085tcp:8027:80172.2

30、1.7.3:4371tcp:8027:80:3062 nat轉(zhuǎn)換表轉(zhuǎn)換表27虛擬主機(jī)虛擬主機(jī)外部主機(jī)外部主機(jī)外部主機(jī)外部主機(jī)nat檢查與排錯檢查與排錯v常見問題常見問題 動態(tài)地址池中是否有正確的范圍的地址動態(tài)地址池中是否有正確的范圍的地址 動態(tài)地址池中是否有重復(fù)的地址動態(tài)地址池中是否有重復(fù)的地址 靜態(tài)映射的地址與動態(tài)地址池中的地址之間是否有重靜態(tài)映射的地址與動態(tài)地址池中的地址之間是否有重復(fù)復(fù) 訪問列表是否指明了要轉(zhuǎn)換的正確地址,是否漏掉一訪

31、問列表是否指明了要轉(zhuǎn)換的正確地址,是否漏掉一些地址,是否包括了一些不該包括的地址些地址,是否包括了一些不該包括的地址 是否指明了正確的內(nèi)部和外部接口是否指明了正確的內(nèi)部和外部接口 不對稱路由問題不對稱路由問題nat檢查與排錯檢查與排錯v測試聯(lián)通性驗(yàn)證測試聯(lián)通性驗(yàn)證nat配置配置v命令命令 show ip nat translations show ip nat statisticsrouter# show ip nat translations pro inside global inside local outside local outside global tcp

32、30 - - tcp 31 - -nat檢查與排錯檢查與排錯s表示源地址是表示源地址是d表示目的地址是表示目的地址是-表示將地址表示將地址轉(zhuǎn)換為轉(zhuǎn)換為 routerdebug ip natnat:s=-,d= 0nat:s=, d=- 0nat:s=10.1

33、.1.1-, d= 1vnat的的debug調(diào)試調(diào)試清除清除nat表的條目表的條目clear ip nat translation *清除清除natnat轉(zhuǎn)換表中的所有條轉(zhuǎn)換表中的所有條目目clear ip nat translation inside local-ip global-ip 清除包含內(nèi)部轉(zhuǎn)換的簡單清除包含內(nèi)部轉(zhuǎn)換的簡單轉(zhuǎn)換條目轉(zhuǎn)換條目clear ip nat translation outside local-ip global-ip 清除包含外部轉(zhuǎn)換的簡單清除包含外部轉(zhuǎn)換的簡單轉(zhuǎn)換條目轉(zhuǎn)換條目驗(yàn)證和監(jiān)控驗(yàn)證和監(jiān)控patv測試網(wǎng)絡(luò)聯(lián)通性測試網(wǎng)絡(luò)聯(lián)通性v命令命令 show ip nat translations show ip nat statisticsroutershow ip nat translations pro inside global inside loca

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論