擴(kuò)展實(shí)驗(yàn)6 網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)

1、擴(kuò)展實(shí)驗(yàn)擴(kuò)展實(shí)驗(yàn)6 6：網(wǎng)絡(luò)地址轉(zhuǎn)換：網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)(NAT)主講:劉斌Hnkd_擴(kuò)展實(shí)驗(yàn)六擴(kuò)展實(shí)驗(yàn)六 網(wǎng)絡(luò)地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（3學(xué)時(shí)）學(xué)時(shí)）目的要求目的要求 1.了解了解NAT的作用的作用2.理解理解NAT的優(yōu)點(diǎn)和確定的優(yōu)點(diǎn)和確定3.理解理解NAT的種類的種類4.掌握掌握NAT的配置的配置基本內(nèi)容基本內(nèi)容1. 靜態(tài)靜態(tài)NAT；2. 動(dòng)態(tài)動(dòng)態(tài)NAT；3. PAT；n地址轉(zhuǎn)換的提出背景地址轉(zhuǎn)換的提出背景n合法的合法的IP地址資源日益短缺地址資源日益短缺n一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，但不是每臺(tái)主機(jī)都一個(gè)局域網(wǎng)內(nèi)部有很多臺(tái)主機(jī)，但不是每臺(tái)主機(jī)都有合法的有合法的IP地址，為了使所有內(nèi)部

2、主機(jī)都可以連接地址，為了使所有內(nèi)部主機(jī)都可以連接因特網(wǎng)，需要使用地址轉(zhuǎn)換因特網(wǎng)，需要使用地址轉(zhuǎn)換n地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主機(jī)，地址轉(zhuǎn)換技術(shù)可以有效地隱藏內(nèi)部局域網(wǎng)中的主機(jī)，具有一定的網(wǎng)絡(luò)安全保護(hù)作用具有一定的網(wǎng)絡(luò)安全保護(hù)作用n地址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部地址轉(zhuǎn)換可以在局域網(wǎng)內(nèi)部提供給外部FTP、WWW、Telnet服務(wù)服務(wù)網(wǎng)絡(luò)地址轉(zhuǎn)換概述網(wǎng)絡(luò)地址轉(zhuǎn)換概述 局域網(wǎng)局域網(wǎng)PC2PC1InternetIP:Port:3010IP:Port:3000IP 數(shù)據(jù)包數(shù)據(jù)包IP:Port:3000IP:P

3、ort:3010nNAT的原理的原理n改變改變IP包頭，使目的地址、源地址或兩個(gè)地址在包頭中包頭，使目的地址、源地址或兩個(gè)地址在包頭中被不同地址替換被不同地址替換nNAT的優(yōu)點(diǎn)n節(jié)省公有合法IP地址n處理地址交叉n增強(qiáng)靈活性n安全性nNAT的缺點(diǎn)n延遲增大n配置和維護(hù)的復(fù)雜性n不支持某些應(yīng)用nNAT的3種實(shí)現(xiàn)方式n靜態(tài)轉(zhuǎn)換 使用場合：內(nèi)部私有IP的服務(wù)器對(duì)內(nèi)網(wǎng)和外網(wǎng)提供WEB、FTP等服務(wù)n動(dòng)態(tài)轉(zhuǎn)換n 內(nèi)部主機(jī)（私有IP）通過NAT轉(zhuǎn)換使用公用地址池訪問INTERNETn端口轉(zhuǎn)換 內(nèi)部主機(jī)（私有IP）通過NAT轉(zhuǎn)換使用同1個(gè)公用地址訪問INTERNET內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)

4、-/24 29 S0/1f0/0S0/2 網(wǎng)絡(luò)地址轉(zhuǎn)換實(shí)驗(yàn)項(xiàng)目拓?fù)鋱DnNAT配置步驟n1、接口IP地址配置n2、使用訪問控制列表定義哪些內(nèi)部主機(jī)能做NATn3、決定采用什么公有地址，靜態(tài)或地址池n4、指定地址轉(zhuǎn)換映射n5、在內(nèi)部和外部端口上啟用NATInternetNAT外部端口外部端口NAT內(nèi)部端口內(nèi)部端口內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)-/24 29 192.168

5、.100.1外部合法外部合法網(wǎng)絡(luò)地址網(wǎng)絡(luò)地址30303313232S0/1f0/0子項(xiàng)目子項(xiàng)目1：靜態(tài)：靜態(tài)NAT配置配置 n第一步：第一步： 設(shè)置外部端口設(shè)置外部端口nRouter_configRouter_config# # interface interface FastEthernetFastEthe

6、rnet 0/0 0/0nRouter_config_f0/0# Router_config_f0/0# ipip address address nRouter_configRouter_config# # interface serial 0/1interface serial 0/1nRouter_config_s0/1# Router_config_s0/1# ipip address 29 address 61.159.62.

7、129 n第二步第二步 ：設(shè)置內(nèi)部端口：設(shè)置內(nèi)部端口n第三步：第三步： 在內(nèi)部本地和內(nèi)部合法地址之間建立靜在內(nèi)部本地和內(nèi)部合法地址之間建立靜態(tài)地址轉(zhuǎn)換態(tài)地址轉(zhuǎn)換nRouter_configRouter_config# # interface serial 0/1interface serial 0/1nRouter_config_s0/1# Router_config_s0/1# ipip natnat outside outsidenRouter_configRouter_config# # interface interface FastethernetFaste

8、thernet 0/0 0/0nRouter_config_f0/0# Router_config_f0/0# ipip natnat inside insidenRouter_configRouter_config# # ipip natnat inside source static inside source static 3030nRouter_configRouter_config# # ipip natnat inside source static in

9、side source static 331nRouter_configRouter_config# # ipip natnat inside source static inside source static 3232n第四步：在內(nèi)部和外部端口上啟用第四步：在內(nèi)部和外部端口上啟用NATInternetNAT外部端口外部端口NAT內(nèi)部端口內(nèi)部端口內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)-54/

10、24 29 子項(xiàng)目子項(xiàng)目2：動(dòng)態(tài)：動(dòng)態(tài)NAT配置配置 InternetS0/1f0/0n第一步：第一步： 設(shè)置外部端口設(shè)置外部端口IP地址地址nRouter_configRouter_config# # interface interface FastEthernetFastEthernet 0/0 0/0nRouter_config_f0/0# Router_config_f0/0# ipip address address nRout

11、er_configRouter_config# # interface serial 0/1interface serial 0/1nRouter_config_s0/1# Router_config_s0/1# ipip address 29 address 29 n第二步：第二步： 設(shè)置內(nèi)部端口設(shè)置內(nèi)部端口IP地址地址n第三步：定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問第三步：定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控制列表控制列表nRouter_configRouter_config# # ipip acce

12、ss-list standard 1 access-list standard 1 n # # permit permit n第四步：定義合法第四步：定義合法IP地址池地址池nRouter_configRouter_config# # ipip natnat inside source list 1 pool test0 inside source list 1 pool test0nRouter_configRouter_config# # ipip natnat pool test0

13、 31 50 pool test0 31 50 n第五步：指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射第五步：指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射n第六步：在內(nèi)部和外部端口上啟用第六步：在內(nèi)部和外部端口上啟用NATnRouter_configRouter_config# # Interface serial 0/1Interface serial 0/1nRouter_config_s0/1# Router_config_s0/1# ipip natnat outside outsidenRou

14、ter_configRouter_config# # Interface Interface FastEthernetFastEthernet 0/0 0/0nRouter_config_f0/0# Router_config_f0/0# ipip natnat inside inside子項(xiàng)目子項(xiàng)目3：端口轉(zhuǎn)換配置（：端口轉(zhuǎn)換配置（PAT） n地址轉(zhuǎn)換過程中，也直接使用接口的IP地址作為轉(zhuǎn)換后的源地址Internet局域網(wǎng)局域網(wǎng) -254/24PC2PC1S0/1:2 PC1 和 PC2 可以直接使用 S0/1接口的IP 地址作為地址轉(zhuǎn)換后的公用I

15、P地址InternetNAT外部端口外部端口NAT內(nèi)部端口內(nèi)部端口內(nèi)部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)-54/24 29 192.168.100 .1 S0/1f0/0n第一步：第一步： 設(shè)置外部端口設(shè)置外部端口nRouter_configRouter_config# # interface interface FastEthernetFastEthernet 0/0 0/0nRouter_config_f0/0# Router_config_f0/0# ipip address ad

16、dress nRouter_configRouter_config# # interface serial 0/1interface serial 0/1nRouter_config_s0/1# Router_config_s0/1# ipip address 29 address 29 n第二步第二步 ：設(shè)置內(nèi)部端口：設(shè)置內(nèi)部端口n第三步第三步 ：定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控：定義內(nèi)部網(wǎng)絡(luò)中允許訪問外部的訪問控制列表制列表nRouter

17、_configRouter_config# # ipip access-list standard 1 access-list standard 1 n # # permit permit n第四步：定義合法第四步：定義合法IP地址池地址池nRouter_configRouter_config# # ipip natnat inside source list 1 interface inside source list 1 interface serial0/1serial0/1直接使

18、用路由器的接口地址，不用定義地址池n第五步：指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射第五步：指定網(wǎng)絡(luò)地址轉(zhuǎn)換映射n第六步：第六步： 在內(nèi)部和外部端口上啟用在內(nèi)部和外部端口上啟用NATnRouter_configRouter_config# # interface serial 0/1interface serial 0/1nRouter_config_s0/1# Router_config_s0/1# ipip natnat outside outsidenRouter_configRouter_config# # interface interface FastethernetFastethernet 0/0

19、0/0nRouter_config_f0/0# Router_config_f0/0# ipip natnat inside insideNAT檢查與排錯(cuò)檢查與排錯(cuò) nshow ip nat translationsn查看地址轉(zhuǎn)換列表nshow ip nat statisticsn查看靜態(tài)地址轉(zhuǎn)換列表Router# show ip nat translations Pro inside global inside local outside local outside global Tcp 30 - - Tcp 31 - -nRouterdebug ip nat detailnNAT的debug調(diào)試 nRouterdebug ip nat detailnNat:s=-,d= 0nNat:s=, d=-