NAT地址轉(zhuǎn)換技術(shù)(計(jì)算機(jī)網(wǎng)絡(luò)實(shí)踐—基于GNS3網(wǎng)絡(luò)模擬器(CISCO技術(shù))課件)

1、ISBN 978-7-115-36692-4第十三章-NAT地址轉(zhuǎn)換技術(shù)(計(jì)算機(jī)網(wǎng)絡(luò)實(shí)踐基于GNS3網(wǎng)絡(luò)模擬器(CISCO技術(shù))課件)ISBN 978-7-115-36692-4本章目標(biāo)本章目標(biāo)通過(guò)本章的學(xué)習(xí)，您應(yīng)該掌握以下內(nèi)容通過(guò)本章的學(xué)習(xí)，您應(yīng)該掌握以下內(nèi)容:lNAT的工作原理及的工作原理及PAT的概念的概念.l靜態(tài)靜態(tài)NAT和動(dòng)態(tài)和動(dòng)態(tài)NAT.lNAT的配置的配置.ISBN 978-7-115-36692-4NAT網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)地址翻譯 隨著隨著Internet的飛速發(fā)展，網(wǎng)上豐富的資源產(chǎn)生著巨大的吸的飛速發(fā)展，網(wǎng)上豐富的資源產(chǎn)生著巨大的吸引力接入引力接入Internet成為當(dāng)今信息業(yè)

2、最為迫切的需求。成為當(dāng)今信息業(yè)最為迫切的需求。但這受到但這受到IP地址的許多限制地址的許多限制 首先，許多局域網(wǎng)在未聯(lián)入首先，許多局域網(wǎng)在未聯(lián)入Internet之前，就已經(jīng)運(yùn)行許多之前，就已經(jīng)運(yùn)行許多年了，局域網(wǎng)上有了許多現(xiàn)成的資源和應(yīng)用程序，但它的年了，局域網(wǎng)上有了許多現(xiàn)成的資源和應(yīng)用程序，但它的IP地址地址分配不符合分配不符合Internet的國(guó)際標(biāo)準(zhǔn)，因而需要重新分配局域網(wǎng)的的國(guó)際標(biāo)準(zhǔn)，因而需要重新分配局域網(wǎng)的IP地址，這無(wú)疑是勞神費(fèi)時(shí)的工作。地址，這無(wú)疑是勞神費(fèi)時(shí)的工作。 其二，隨著其二，隨著Internet的膨脹式發(fā)展，其可用的的膨脹式發(fā)展，其可用的IP地址越來(lái)越地址越來(lái)越少，要想在

3、少，要想在ISP處申請(qǐng)一個(gè)新的處申請(qǐng)一個(gè)新的IP地址已不是很容易的事了。地址已不是很容易的事了。ISBN 978-7-115-36692-4NAT網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)地址翻譯 NAT（網(wǎng)絡(luò)地址翻譯）能解決不少令人頭疼的問(wèn)題（網(wǎng)絡(luò)地址翻譯）能解決不少令人頭疼的問(wèn)題它解決問(wèn)題的辦法是：它解決問(wèn)題的辦法是： 在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過(guò)NAT把內(nèi)部地址翻譯把內(nèi)部地址翻譯成合法的成合法的IP地址，在地址，在Internet上使用其具體的做法是把上使用其具體的做法是把IP包包內(nèi)的地址池（內(nèi)部本地）用合法的內(nèi)的地址池（內(nèi)部本地）用合法的IP地址段（內(nèi)部全局）來(lái)地址段（內(nèi)部全局）

4、來(lái)替換替換ISBN 978-7-115-36692-4NAT 術(shù)語(yǔ)術(shù)語(yǔ)內(nèi)部本地地址內(nèi)部本地地址: : 私有私有IPIP，不能直接用于互連網(wǎng)。，不能直接用于互連網(wǎng)。內(nèi)部全局內(nèi)部全局地址地址：用來(lái)代替內(nèi)部本地：用來(lái)代替內(nèi)部本地IP地址的，對(duì)外，或在互聯(lián)地址的，對(duì)外，或在互聯(lián)網(wǎng)上是合法的的網(wǎng)上是合法的的IP地址。地址。ISBN 978-7-115-36692-4NAT工作原理工作原理 ISBN 978-7-115-36692-4NAT工作原理工作原理ISBN 978-7-115-36692-4Port Address TranslationISBN 978-7-115-36692-4復(fù)用內(nèi)部的全局地

5、址復(fù)用內(nèi)部的全局地址將一個(gè)內(nèi)部全局地址用于同時(shí)代表多個(gè)內(nèi)部局部地址。將一個(gè)內(nèi)部全局地址用于同時(shí)代表多個(gè)內(nèi)部局部地址。主要用主要用IP地址和端口號(hào)的組合來(lái)唯一區(qū)分各個(gè)內(nèi)部主機(jī)。地址和端口號(hào)的組合來(lái)唯一區(qū)分各個(gè)內(nèi)部主機(jī)。ISBN 978-7-115-36692-4TCP 負(fù)載均衡負(fù)載均衡10.1.1.2:8010.1.1.1:80NAT table196.168.2.2:80196.168.2.2:80TCPTCP10.1.1.3:80196.168.2.2:80TCPInternetInside10.1.1.1Host B179.20.7.313SA10.1.1.1DA10.1.1.1SA196

6、.168.2.2DA196.168.2.210.1.1.210.1.1.3452Host C179.21.7.3DA196.168.2.24Inside Global IP Address: PortProtocolInside Local IP Address: Port10.1.1.1ISBN 978-7-115-36692-4TCP 負(fù)載均衡負(fù)載均衡 TCP 負(fù)載均衡：用于將一臺(tái)虛擬的主機(jī)映射到幾臺(tái)真負(fù)載均衡：用于將一臺(tái)虛擬的主機(jī)映射到幾臺(tái)真實(shí)的主機(jī)上。實(shí)的主機(jī)上。ISBN 978-7-115-36692-4NAT NAT 二種類型二種類型NATNAT有二種類型：靜態(tài)有二種類型：靜態(tài)NA

7、TNAT、動(dòng)態(tài)、動(dòng)態(tài)NATNAT。 其中靜態(tài)其中靜態(tài)NATNAT設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永設(shè)置起來(lái)最為簡(jiǎn)單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址久映射成外部網(wǎng)絡(luò)中的某個(gè)合法的地址, ,多用于服務(wù)器。多用于服務(wù)器。 而動(dòng)態(tài)而動(dòng)態(tài)NATNAT則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò), ,多用于網(wǎng)絡(luò)中的工作站。多用于網(wǎng)絡(luò)中的工作站。 PAT PAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IPIP地址的不同端口上地址的不同端口上。

8、ISBN 978-7-115-36692-4靜態(tài)靜態(tài)NAT配置命令配置命令 Establishes static translation between an inside local address and an inside global addressRouterX(config)# ip nat inside source static local-ip global-ip Marks the interface as connected to the insideRouterX(config-if)# ip nat inside Marks the interface as conn

9、ected to the outsideRouterX(config-if)# ip nat outside Displays active translations RouterX# show ip nat translationsISBN 978-7-115-36692-4靜態(tài)靜態(tài)NAT配置配置RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global - 192.168.1.2 10.1.1.2 - -interface s0ip address 192.168

10、.1.1 255.255.255.0ip nat outside!interface e0ip address 10.1.1.1 255.255.255.0ip nat inside!ip nat inside source static 10.1.1.2 192.168.1.2ISBN 978-7-115-36692-4動(dòng)態(tài)動(dòng)態(tài)NAT的配置命令的配置命令 Establishes dynamic source translation, specifying the ACL that was defined in the previous stepRouterX(config)# ip nat

11、inside source listaccess-list-number pool name Defines a pool of global addresses to be allocated as neededRouterX(config)# ip nat pool name start-ip end-ipnetmask netmask | prefix-length prefix-length Defines a standard IP ACL permitting those inside local addresses that are to be translatedRouterX

12、(config)# access-list access-list-number permitsource source-wildcard Displays active translationsRouterX# show ip nat translationsISBN 978-7-115-36692-4動(dòng)態(tài)動(dòng)態(tài)NAT的配置的配置RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global - 171.69.233.209 192.168.1.100 - - - 171

13、.69.233.210 192.168.1.101 - -ISBN 978-7-115-36692-4復(fù)用內(nèi)部全局地址的配置復(fù)用內(nèi)部全局地址的配置RouterX# show ip nat translations Pro Inside global Inside local Outside local Outside global TCP 172.17.38.1:1050 192.168.3.7:1050 10.1.1.1:23 10.1.1.1:23 TCP 172.17.38.1:1776 192.168.4.12:1776 10.2.2.2:25 10.2.2.2:25hostname

14、RouterX!interface Ethernet0 ip address 192.168.3.1 255.255.255.0 ip nat inside!interface Ethernet1 ip address 192.168.4.1 255.255.255.0 ip nat inside!interface Serial0 description To ISP ip address 172.17.38.1 255.255.255.0 ip nat outside!ip nat inside source list 1 interface Serial0 overload!ip rou

15、te 0.0.0.0 0.0.0.0 Serial0!access-list 1 permit 192.168.3.0 0.0.0.255access-list 1 permit 192.168.4.0 0.0.0.255!ISBN 978-7-115-36692-4NAT調(diào)試調(diào)試Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.2.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.2.2.1:10

16、67 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23A translation for a Telnet is still active. Two different inside hosts appear on the outside with a single IP address.Basic IP address translation Unique TCP port numbers are used to distinguishbetween hosts. Router#show ip nat transPro Inside globalInside

17、 localOutside local Outside global-192.2.2.110.1.1.1- - -192.2.2.210.1.1.2- -IP address translation with overloadingISBN 978-7-115-36692-4Clearing NAT Translation EntriesAll entries are cleared.192.16.2.2 is cleared.Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp

18、 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.16.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23router#clear ip nat trans *router#router#show ip nat trans router#show ip nat transPro Inside global Inside local Outside localOutside globaludp 192.16.2.2:1220 10.1.1.2:1120 171.

19、69.2.132:53 171.69.2.132:53 tcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.16.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23router#clear ip nat trans udp inside 192.16.2.2 10.1.1.2 1220171.69.2.132 53 171.69.2.132 53 router#show ip nat transPro Inside global Inside local Outside localOutside globaltcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.16.2.1:1067 10.1.1.3:1067 172.16.2.3:23 172.16.2.3:23ISBN 978-7-115-36692-4NAT調(diào)試調(diào)試Router#debug ip natNAT: s=10.1.1.1-192.16.2.1, d=172.