NAT工作原理及其配置方法_第1頁
NAT工作原理及其配置方法_第2頁
NAT工作原理及其配置方法_第3頁
NAT工作原理及其配置方法_第4頁
NAT工作原理及其配置方法_第5頁
已閱讀5頁,還剩27頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、第十九章網(wǎng)絡(luò)地址翻譯 NATNAT網(wǎng)絡(luò)地址翻譯 n隨著Internet的飛速發(fā)展,網(wǎng)上豐富的資源產(chǎn)生著巨大的吸引力n接入Internet成為當(dāng)今信息業(yè)最為迫切的需求n但這受到IP地址的許多限制n首先,許多局域網(wǎng)在未聯(lián)入Internet之前,就已經(jīng)運行許多年了,局 域網(wǎng)上有了許多現(xiàn)成的資源和應(yīng)用程序,但它的IP地址分配不符合 Internet的國際標(biāo)準(zhǔn),因而需要重新分配局域網(wǎng)的IP地址,這無疑是 勞神費時的工作n其二,隨著Internet的膨脹式發(fā)展,其可用的IP地址越來越少,要想 在ISP處申請一個新的IP地址已不是很容易的事了nNAT(網(wǎng)絡(luò)地址翻譯)能解決不少令人頭疼的問題n它解決問題的辦法

2、是:在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址,通過NAT把內(nèi)部地址翻譯成合法的IP地址,在Internet上使用n其具體的做法是把IP包內(nèi)的地址池(內(nèi)部本地)用合法的IP地址段(內(nèi)部全局)來替換Chapter ActivitiesWindows 95 PCModemBranch officeISDN/analogSmall officeCentral siteFrame RelayFrame RelayservicePRIBRIBRIFrame RelayAsyncAAA serverAsyncSA10.1.1.1166.1.1.1SAInside Local IP Address10.1.1.1Inside

3、 Global IP Address166.1.1.1NAT table PATnNAT 術(shù)語nNAT 功能nNAT 三種類型NAT 術(shù)語InternetInside10.1.1.1Inside Local IP Address10.1.1.1Simple NAT tableInside Global IP Address166.1.1.110.1.1.2Host B172.20.7.3ACBABDSA10.1.1.1DA10.1.1.1SA166.1.1.1DA166.1.1.1DCn內(nèi)部本地地址:私有IP,不能直接用于互連網(wǎng)。n內(nèi)部全局地址:用來代替內(nèi)部本地IP地址的,對外,或在互聯(lián)網(wǎng)上是

4、合法的的IP地址。NAT 功能Inside Local IP Address10.1.1.110.1.1.2NAT tableInside Global IP Address196.168.2.2196.168.2.3nNAT 功能:q內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換q復(fù)用內(nèi)部的全局地址qTCP 負(fù)載均衡q解決網(wǎng)絡(luò)地址重疊InternetInside10.1.1.110.1.1.2復(fù)用內(nèi)部的全局地址n將一個內(nèi)部全局地址用于同時代表多個內(nèi)部局部地址。n主要用IP地址和端口號的組合來唯一區(qū)分各個內(nèi)部主機。n目前在公司內(nèi)普遍應(yīng)用。復(fù)用內(nèi)部的全局地址10.1.1.2:172310.1.1.1:1024NAT tabl

5、e196.168.2.2:1723196.168.2.2:1024TCPTCP10.1.1.3:1492196.168.2.2:1492TCPInternetInside10.1.1.1Host B179.20.7.313SA10.1.1.1DA10.1.1.1SA196.168.2.2DA196.168.2.210.1.1.210.1.1.3452Host C179.21.7.3DA196.168.2.24Inside Global IP Address: PortProtocolInside Local IP Address: Port10.1.1.1NAT三種類型nNAT有三種類型:靜態(tài)

6、NAT(staticNAT)、NAT池(pooledNAT)和端口NAT(PAT)。n其中靜態(tài)NAT設(shè)置起來最為簡單,內(nèi)部網(wǎng)絡(luò)中的每個主機都被永久映 射成 外部網(wǎng)絡(luò)中的某個合法的地址,多用于服務(wù)器。n而NAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址,采用動態(tài)分配 的方法映射到內(nèi)部網(wǎng)絡(luò),多用于網(wǎng)絡(luò)中的工作站。nPAT則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個IP地址的不同端口上。靜態(tài)NAT(staticNAT)語法n第一步,設(shè)置外部端口。 ninterface serial 0 nip address 61.159.62.129 255.255.255.248 nip nat outsiden第二步,設(shè)

7、置內(nèi)部端口。 ninterface ethernet 0 nip address 192.168.0.1 255.255.255.0 nip nat inside靜態(tài)NAT(staticNAT)語法n第三步,在內(nèi)部本地與外部合法地址之間建立靜態(tài)地址轉(zhuǎn)換。 nip nat inside source static 內(nèi)部本地地址內(nèi)部合法地址。 n示例: nip nat inside source static 192.168.0.2 61.159.62.130 n/將內(nèi)部網(wǎng)絡(luò)地址192.168.0.2轉(zhuǎn)換為合法IP地址61.159.62.130 nip nat inside source stat

8、ic 192.168.0.3 61.159.62.131 n/將內(nèi)部網(wǎng)絡(luò)地址192.168.0.3轉(zhuǎn)換為合法IP地址61.159.62.131 nip nat inside source static 192.168.0.4 61.159.62.132 n/將內(nèi)部網(wǎng)絡(luò)地址192.168.0.4轉(zhuǎn)換為合法IP地址61.159.62.132 n至此,靜態(tài)地址轉(zhuǎn)換配置完畢。NAT靜態(tài)映射實例ninterface Ethernet0nip address 172.16.1.1 255.255.255.0nip nat inside(指定內(nèi)部接口)n!ninterface Serial0n ip add

9、ress 200.1.1.1 255.255.255.0n ip nat outside (指定外部接口)n!nip nat inside source static 172.16.1.3 200.1.1.1n(建立兩個IP地址之間的靜態(tài)映射)nip classlessnip route 0.0.0.0 0.0.0.0 200.1.1.2n注意:n從外網(wǎng)到內(nèi)網(wǎng)建立靜態(tài)映射后,外網(wǎng)能PING通內(nèi)部全局地址(200.1.1.1),如果使用真實地址,則訪問失敗,這是因為從外網(wǎng)沒有到達(dá)內(nèi)網(wǎng)的路由存在!nPing 172.16.1.3 nPing 200.1.1.5 !動態(tài)NAT (pooledNAT)

10、語法n第一步,設(shè)置外部端口。 n設(shè)置外部端口命令的語法如下: nip nat outside n示例: ninterface serial 0 /進(jìn)入串行端口serial 0 nip address 61.159.62.129 255.255.255.192/將其IP地址指定為61.159.62.129,子網(wǎng)掩碼為255.255.255.192 nip nat outside /將串行口serial 0設(shè)置為外網(wǎng)端口 n注意,可以定義多個外部端口。 動態(tài)NAT (pooledNAT)語法n第二步,設(shè)置內(nèi)部端口。 n設(shè)置內(nèi)部接口命令的語法如下: nip nat inside n示例: ninte

11、rface ethernet 0 /進(jìn)入以太網(wǎng)端口Ethernet 0 nip address 172.16.100.1 255.255.255.0 / 將其IP地址指定為172.16.100.1,子網(wǎng)掩碼為255.255.255.0 nip nat inside /將Ethernet 0 設(shè)置為內(nèi)網(wǎng)端口。 n注意,可以定義多個內(nèi)部端口。 動態(tài)NAT (pooledNAT)語法n第三步,定義合法IP地址池。 n定義合法IP地址池命令的語法如下: nip nat pool 地址池名稱 起始IP地址 終止IP地址 子網(wǎng)掩碼 n示例: nip nat pool chinanet 61.159.62.

12、130 61.159.62.190 netmask 255.255.255.192 n/指明地址緩沖池的名稱為chinanet,IP地址范圍為61.159.62.13061.159.62.190,子網(wǎng)掩碼為255.255.255.192。需要注意的是,即使掩碼為255.255.255.0,也會由起始IP地址和終止IP地址對IP地址池進(jìn)行限制。 n或nip nat pool test 61.159.62.130 61.159.62.190 prefix-length 26動態(tài)NAT (pooledNAT)語法n第四步,定義內(nèi)部網(wǎng)絡(luò)中允許訪問Internet的訪問列表。 n定義內(nèi)部訪問列表命令的語

13、法如下: naccess-list 標(biāo)號 permit 源地址通配符(其中,標(biāo)號為1-99之間的整數(shù))n示例: naccess-list 1 permit 172.16.100.0 0.0.0.255 /允許訪問Internet的網(wǎng)段為172.16.100.0172.16.100.255,反掩碼為0.0.0.255。n需要注意的是,在這里采用的是反掩碼,而非子網(wǎng)掩碼。反掩碼與子網(wǎng)掩碼的關(guān)系為:反掩碼+子網(wǎng)掩碼=255.255.255.255。例如,子網(wǎng)掩碼為255.255.0.0,則反掩碼為0.0.255.255;子網(wǎng)掩碼為255.255.255.192,則反掩碼為0.0.0.63。 動態(tài)NA

14、T (pooledNAT)語法n第五步,實現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換。 n在全局設(shè)置模式下將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換。n命令語法如下: nip nat inside source list 訪問列表標(biāo)號 pool 內(nèi)部合法地址池名字 n示例: nip nat inside source list 1 pool chinanet n至此,動態(tài)地址轉(zhuǎn)換設(shè)置完畢。 ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0ip nat inside source list 1 pool d

15、yn-nat!interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface Serial0 ip address 192.16.2.1 255.255.255.0 ip nat outside! access-list 1 permit 10.1.1.0 0.0.0.255!動態(tài)NAT的配置Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network. Thi

16、s interface connected to the outside world. This interface connected to the inside network. 端口復(fù)用動態(tài)地址轉(zhuǎn)換(PAT)語法n第一步,設(shè)置外部端口。 ninterface serial 0 nip address 202.99.160.1 255.255.255.252 nip nat outside 端口復(fù)用動態(tài)地址轉(zhuǎn)換(PAT)語法n第二步,設(shè)置內(nèi)部端口。 ninterface ethernet 0 nip address 10.100.100.1 255.255.255.0 nip nat in

17、side 端口復(fù)用動態(tài)地址轉(zhuǎn)換(PAT)語法n第三步,定義合法IP地址池。 nip nat pool onlyone 202.99.160.2 202.99.160.2 netmask 255.255.255.252 n/ 指明地址緩沖池的名稱為onlyone,IP地址范圍為202.99.160.2,子網(wǎng)掩碼為255.255.255.252。由于本例只有一個IP地址可用,所以,起始IP地址與終止IP地址均為202.99.160.2。如果有多個IP地址,則應(yīng)當(dāng)分別鍵入起止的IP地址。端口復(fù)用動態(tài)地址轉(zhuǎn)換(PAT)語法n第四步,定義內(nèi)部訪問列。 naccess-list 1 permit 10.1

18、00.100.0 0.0.0.255 n允許訪問Internetr的網(wǎng)段為10.100.100.010.100.100.255,子網(wǎng)掩碼為255.255.255.0。需要注意的是,在這里子網(wǎng)掩碼的順序跟平常所寫的順序相反,即0.0.0.255。 端口復(fù)用動態(tài)地址轉(zhuǎn)換(PAT)語法n第五步,設(shè)置復(fù)用動態(tài)地址轉(zhuǎn)換。 n在全局設(shè)置模式下,設(shè)置在內(nèi)部的本地地址與內(nèi)部合法IP地址間建立復(fù)用動態(tài)地址轉(zhuǎn)換。n命令語法如下: nip nat inside source list訪問列表號 pool 內(nèi)部合法地址池名字 overload n示例: nip nat inside source list1 pool

19、 onlyone overload n/以端口復(fù)用方式,將訪問列表1中的私有IP地址轉(zhuǎn)換為onlyone IP地址池中定義的合法IP地址。 n注意:overload是復(fù)用動態(tài)地址轉(zhuǎn)換的關(guān)鍵詞。 PAT的配置ip nat pool ovrld-nat 192.16.2.1 192.16.2.2 netmask 255.255.255.0ip nat inside source list 1 pool ovrld-nat overload!interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface

20、Serial0/0 ip address 192.16.2.1 255.255.255.0 ip nat outside!access-list 1 permit 10.1.1.0 0.0.0.255Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.2.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.2.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3

21、:23Verifying NATA translation for a Telnet is still active. Two different inside hosts appear on the outside with a single IP address.Basic IP address translation Unique TCP port numbers are used to distinguishbetween hosts. Router#show ip nat transPro Inside globalInside localOutside local Outside

22、global-192.2.2.110.1.1.1- - -192.2.2.210.1.1.2- -IP address translation with overloadingRouter#debug ip natNAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 0NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 0NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 1NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 2NAT: s=10.1.1.1-192.

23、16.2.1, d=172.166.2.2 3NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 1NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 4NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 5NAT: s=10.1.1.1-192.16.2.1, d=172.166.2.2 6NAT*: s=172.166.2.2, d=192.16.2.1-10.1.1.1 2Troubleshooting NATAn example address translation inside-to-

24、outside.A reply to the packet sent.An example TCP conversation, inside-to-outside.* Indicates translation was in the fast path.Clearing NAT Translation EntriesAll entries are cleared.192.16.2.2 is cleared.Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23tcp 192.16.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23router#clear ip nat trans *router#router#show ip nat trans router#show ip nat transPro Inside global Inside local Outside localOutside globaludp 192.16.2.2:1220 10.1.1.

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論