TCPIP路由交換技術(shù)-私有局域網(wǎng)與Internet的互聯(lián)

私有局域網(wǎng)與Internet的互聯(lián)課程議題通過本次內(nèi)容的學(xué)習(xí)，希望您能夠： 掌握NAT概念及其特點 掌握NAT工作原理 掌握NAT工作原方式 學(xué)會靜態(tài)NAT配置、動態(tài)NAT配置和PAT配置學(xué)習(xí)目標(biāo)１４.1

NAT概念和特點問題提出隨著Internet技術(shù)的飛速發(fā)展，起來越多的用戶加入到Internet，無論在辦公室、賓館、學(xué)校、公司及家庭，人們都需要接入Internet進(jìn)行辦公、娛樂等，互聯(lián)網(wǎng)中任何兩臺主機間通信需要全球唯一的IP地址。目前，Internet的一個重要問題是IP地址需求急劇膨脹，IP地址空間已近衰竭，而NAT的使用恰好緩解了這個問題。解決辦法還可以通過其它的一些技術(shù)來節(jié)省IP地址的使用如：1.可變長子網(wǎng)掩碼（VLSM）2.無類域間路由（CIDR）3.網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）4.IPv6：為解決IP地址耗盡問題，IPv6應(yīng)該是最終的解決手段，但是由于現(xiàn)有網(wǎng)絡(luò)都使用IPv4，絕大多數(shù)都不支持IPv6，要升級設(shè)備需要大量的資金，是一個長期且浩大的工程。5什么是NATNAT（NetworkAddressTranslation）就是將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換到另外一個地址空間的行為。它使得一個使用私有地址的網(wǎng)絡(luò)中的主機以合法地址出現(xiàn)在Internet上。Internet/24/24為什么需要NAT?IP地址危機

IPv4地址空間不足在為企業(yè)內(nèi)部網(wǎng)絡(luò)、測試實驗室或家庭進(jìn)行網(wǎng)絡(luò)編址時，可以使用私有地址，而不必每臺設(shè)備都花錢從ISP或注冊中心哪里獲得全球唯一的地址。

—55（/8）

—55（/12）

—55（/16）

但是這些地址在Internet上是不可被路由的。為什么使用NAT？OutsideInsideInternetNAT

border

routerSASA

內(nèi)網(wǎng)對Internet的訪問網(wǎng)絡(luò)安全保護(hù)技術(shù)節(jié)省IP地址在內(nèi)部局域網(wǎng)提供外部網(wǎng)絡(luò)服務(wù)使用NAT的優(yōu)缺點優(yōu)點缺點節(jié)省合法地址引入延遲減少地址沖突的機會喪失端到端的IP跟蹤能力靈活連接Internet一些特定應(yīng)用可能無法正常工作，如IPSEC，GRE，L2TP等維持局域網(wǎng)的私密性，因為內(nèi)部IP地址是不公開的NAT的種類NAT功能通常被集成到路由器、防火墻或單獨的NAT設(shè)備中。NAT路由器被置于內(nèi)部網(wǎng)和外網(wǎng)的邊界上，在數(shù)據(jù)包發(fā)送到外部網(wǎng)絡(luò)之前將數(shù)據(jù)包的內(nèi)部私有IP地址轉(zhuǎn)換為Internet上的合法地址。NAT也可以應(yīng)用到防火墻技術(shù)里，把個別IP地址隱藏起來不被外界發(fā)現(xiàn)，使外界無法直接訪問內(nèi)部網(wǎng)絡(luò)，從而對內(nèi)部網(wǎng)絡(luò)起到保護(hù)作用。NAT的類型NAT（NetworkAddressTranslation）：轉(zhuǎn)換后，一個內(nèi)部本地IP地址對應(yīng)一個全局IP地址。

NAT又分為：靜態(tài)NAT和動態(tài)NAT。NAPT（NetworkAddressPortTranslation或NPAT）：轉(zhuǎn)換后，多個內(nèi)部本地地址對應(yīng)一個全局IP地址。NAT基本原理NAT:NetworkAddressTranslation網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是一種地址映射技術(shù)，將主機的私有IP地址映射為一個外部唯一可識別的公用IP地址

Router(NAT)LAN(inside)WAN(outside)1源=目的=234源=目的=源=目的=源=目的=HOSTSERVER上行流下行流

內(nèi)網(wǎng)外網(wǎng)私有IP地址公用IP地址私有地址和公有地址私有地址是指內(nèi)部網(wǎng)絡(luò)(局域網(wǎng)內(nèi)部)的主機地址，而公有地址是局域網(wǎng)的外部地址(在因特網(wǎng)上的全球唯一的IP地址)。因特網(wǎng)地址分配組織規(guī)定以下的三個網(wǎng)絡(luò)地址保留用做私有地址：

-55-55-55NAT工作原理Internet內(nèi)網(wǎng)內(nèi)部本地地址網(wǎng)絡(luò)地址轉(zhuǎn)換表（簡化）內(nèi)部全局地址HostBAASADDABBSACDANAT/NAPT的術(shù)語內(nèi)部本地地址－InsideLocalAddress

指分配給內(nèi)部網(wǎng)絡(luò)主機的IP地址，該地址可能是非法的未向相關(guān)機構(gòu)注冊的IP地址，也可能是合法的私有網(wǎng)絡(luò)地址。內(nèi)部全局地址－InsideGlobalAddress

合法的全局可路由地址，由網(wǎng)絡(luò)信息中心(NIC)或服務(wù)提供商提供的可在互聯(lián)網(wǎng)上傳輸?shù)牡刂?在外部網(wǎng)絡(luò)代表著一個或多個內(nèi)部本地地址。外部本地地址－OutsideLocalAddress

外部網(wǎng)絡(luò)的主機在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)的IP地址,該地址不一定是合法的地址,也可能是內(nèi)部可路由地址。外部全局地址－OutsideGlobalAddress

外部網(wǎng)絡(luò)分配給外部主機的IP地址，該地址是合法的全局可路由地址。16

內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)Packet1源地址：00目標(biāo)地址:0Packet1源地址：目標(biāo)地址:0Packet2源地址：0目標(biāo)地址:00Packet2源地址：0目標(biāo)地址:00/240/24NAT路由器NAT/NAPT的術(shù)語內(nèi)部本地地址內(nèi)部全局地址PC1PC2雙向NATPC1外部網(wǎng)絡(luò)Packet1源地址：00目標(biāo)地址:Packet1源地址：目標(biāo)地址:0Packet2源地址：目標(biāo)地址:00Packet2源地址：0目標(biāo)地址:00/240/24NAT路由器內(nèi)部全局地址外部全局地址內(nèi)部本地地址外部本地地址PC2１４.２靜態(tài)ＮＡＴ配置課程議題靜態(tài)NAT靜態(tài)NAT:

建立內(nèi)部本地地址和內(nèi)部全局地址的一對一的永久映射.永久的一對一IP地址映射關(guān)系需要向外部網(wǎng)絡(luò)提供信息服務(wù)的主機的IP地址必采用靜態(tài)NAT.NAT轉(zhuǎn)換的過程可以是動態(tài)或靜態(tài)NAT配置靜態(tài)NAT1.定義內(nèi)部源地址與全局地址的靜態(tài)轉(zhuǎn)換關(guān)系

Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address說明：local-address:內(nèi)部私有地址;global-address:內(nèi)部全局地址2.定義連接內(nèi)部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside3.定義連接外部網(wǎng)絡(luò)的接口Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ipnatoutside工作任務(wù)1：靜態(tài)NAT配置背景描述：你是某公司的網(wǎng)絡(luò)管理員，內(nèi)部網(wǎng)絡(luò)有FTP服務(wù)器可以為外部用戶提供服務(wù)，服務(wù)器的IP地址必須采用靜態(tài)地址轉(zhuǎn)換，以便外部用戶可以使用這些服務(wù)。NAT/24R1R2F0/0F0/1F0/0/24/24內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)問題：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？/24/24/24F0/1PC1/24工作要求①根據(jù)實際情況設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對網(wǎng)絡(luò)設(shè)備進(jìn)行配置和調(diào)試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進(jìn)行相應(yīng)的驗證以保證當(dāng)前配置的可靠性，尤其驗證NAT地址的轉(zhuǎn)換。⑤討論：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義NAT轉(zhuǎn)換關(guān)系指定內(nèi)部網(wǎng)絡(luò)接口指定外部網(wǎng)絡(luò)接口配置默認(rèn)路由配置回程路由測試NAT轉(zhuǎn)換結(jié)果NAT的監(jiān)視和維護(hù)命令顯示命令showipnatstatistics

：顯示轉(zhuǎn)換的統(tǒng)計信息showipnattranslations：顯示激活的轉(zhuǎn)換清除狀態(tài)命令clearipnattranslation*

：從NAT轉(zhuǎn)換表中清除所有的動態(tài)地址轉(zhuǎn)換條目總結(jié)：項目完成注意事項不要把inside和outside應(yīng)用的接口弄錯。要加上能使數(shù)據(jù)包向外轉(zhuǎn)發(fā)的路由，比如默認(rèn)路由。１４.３動態(tài)ＮＡＴ配置課程議題配置步驟定義NAT轉(zhuǎn)換關(guān)系指定內(nèi)部網(wǎng)絡(luò)接口指定外部網(wǎng)絡(luò)接口配置默認(rèn)路由案例分析某公司有員工60人，其中，市場部10人，產(chǎn)品銷售部20人，技術(shù)部20人，其他部門10人。一些員工因工作需要經(jīng)常出差，平均每天在公司辦公人員30人。公司網(wǎng)絡(luò)使用/24地址組網(wǎng)，為了訪問Intenet，申請了30個公有IP地址，請你合理配置公司網(wǎng)絡(luò)，確保公司計算機能夠訪問Internet。相關(guān)知識

動態(tài)NAT簡介動態(tài)NAT在路由器中建立一個地址池，放置可用的內(nèi)部全局地址。當(dāng)有內(nèi)部本地地址需要轉(zhuǎn)換時，查詢地址池，取出內(nèi)部全局地址，實現(xiàn)地址轉(zhuǎn)換。當(dāng)使用完畢后，這個內(nèi)部全局地址返回地址池，供其他用戶使用。

動態(tài)NAT動態(tài)NAT:建立內(nèi)部本地地址和內(nèi)部全局地址池的臨時映射.臨時的一對一IP地址映射關(guān)系適用于只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機內(nèi)部主機數(shù)可以大于全局IP地址數(shù)動態(tài)NAT工作過程動態(tài)NAT轉(zhuǎn)換（訪問過程）動態(tài)NAT轉(zhuǎn)換（響應(yīng)過程）動態(tài)NAT工作過程配置動態(tài)NAT（1）定義一個可以根據(jù)需要進(jìn)行分配的全局IP地址池1.Router(config)#ipnatpoolpool-namestart-addressend-address{netmask

mask}說明：

address-pool：地址池的名稱（可任意設(shè)定）

start-address：在地址池中定義地址范圍的起始IP地址

end-address：在地址池中定義地址范圍的結(jié)束IP地址

netmaskmask：定義網(wǎng)絡(luò)掩碼

例：定義一個NAT地址池。Router(config)#ipnatpoolmynatpool00netmask配置動態(tài)NAT（2）定義一個標(biāo)準(zhǔn)訪問列表，只有匹配該列表的地址才可以進(jìn)行動態(tài)地址轉(zhuǎn)換Router(config)#access-list<1-99>

permitIP地址反掩碼定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系：將由access-list指定的內(nèi)部本地地址與指定的內(nèi)部合法地址池進(jìn)行地址轉(zhuǎn)換Router(config)#ipnatinsidesourcelist標(biāo)準(zhǔn)ACL號pool地址池的名稱例如：將訪問控制列表用于NAT地址池。Router(config)#access-list20permit55Router(config)#ipnatinsidesourcelist20

pool

mynatpool配置動態(tài)NAT（3）定義該接口連接內(nèi)部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinside定義接口連接外部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutside例如：Router(config)#interfaces0/1/0Router(config-if)#ipnatoutsideRouter(config)#interfacef0/0Router(config-if)#ipnatinside工作任務(wù)1：動態(tài)NAT配置背景描述：某公司局域網(wǎng)使用私有地址/24網(wǎng)段，通過路由器與Internet連接。公司申請公有地址為－0，在路由器上進(jìn)行動態(tài)NAT轉(zhuǎn)換，實現(xiàn)局域網(wǎng)主機訪問Internet.NAT/24R1R2F0/0F0/1F0/0/24/24內(nèi)部網(wǎng)絡(luò)外部網(wǎng)絡(luò)問題：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，外部路由器還需要配置什么？/24/24F0/1/24/24工作要求①根據(jù)實際情況設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對網(wǎng)絡(luò)設(shè)備進(jìn)行配置和調(diào)試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進(jìn)行相應(yīng)的驗證以保證當(dāng)前配置的可靠性，尤其驗證NAT地址的轉(zhuǎn)換。⑤討論：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義地址池定義ACL關(guān)聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認(rèn)路由配置回程路由測試NAT轉(zhuǎn)換結(jié)果總結(jié)：項目完成注意事項除了與靜態(tài)NAT配置相同的注意事項外，大家在配置ACL時，要注意網(wǎng)絡(luò)通配符是反掩碼１４.４NAPT的配置課程議題配置步驟定義地址池定義ACL關(guān)聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認(rèn)路由NAT與NAPT的區(qū)別是什么NAT（NetworkAddressTranslation）：轉(zhuǎn)換后，一個內(nèi)部本地IP地址對應(yīng)一個全局IP地址。不能同時滿足所有的內(nèi)部網(wǎng)絡(luò)主機與外部網(wǎng)絡(luò)通信的需要。NAPT（NetworkAddressPortTranslation或NPAT）：轉(zhuǎn)換后，多個內(nèi)部本地地址對應(yīng)一個全局IP地址。NAPTNAPT只需要一個內(nèi)部全局地址就可以映射多個內(nèi)部本地地址，通過端口號來區(qū)分不同主機。

NAPT分為靜態(tài)NAPT及動態(tài)NAPT。常見的端口號FTP TCP 20，21Telnet TCP 23HTTP TCP 80DNS TCP,UDP53TFTP UDP 69Well-known端口：0-1023注冊端口：1024-49151動態(tài)或私有端口：49152-65535主機A102823…源端口目的端口主機B應(yīng)用客戶端使用的源端口號一般為系統(tǒng)中未使用的且大于1023目的端口號為所進(jìn)行的操作。如telnet為23。源/目的端口號102823SP.DP.102Seq.302Ack.102823DP.101Seq.301Ack.102823SP.DP.102Seq.301Ack.102823SP.DP.103Seq.302Ack.SP.TCP的工作過程hostAhostB靜態(tài)與動態(tài)NAPT靜態(tài)NAPT適用于需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機永久的一對一“IP地址+端口”映射關(guān)系動態(tài)NAPT只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機臨時的一對一“IP地址＋端口”映射關(guān)系靜態(tài)NAPT工作過程內(nèi)網(wǎng)中有一臺Web服務(wù)器和一臺FTP服務(wù)器，使用靜態(tài)NAPT可以將兩臺服務(wù)器都映射到一個公有地址（）上，并使用不同的端口號進(jìn)行區(qū)分。靜態(tài)NAPT工作過程靜態(tài)NAPT配置（1）定義靜態(tài)轉(zhuǎn)換關(guān)系

Router(config)#ipnatinsidesourcestaticprotocollocal-ip

local-port

global-ipglobal-port

其中：protocol為TCP或UDP；local-ip為本地地址；global-ip為全局地址；local-port為本地地址的服務(wù)端口號；global-port為全局地址的服務(wù)端口號。（2）定義端口類型

Router(config-if)#ipnat{inside|outside}其中：inside表示連接內(nèi)部網(wǎng)絡(luò)端口；outside表示連接外部網(wǎng)絡(luò)端口。

靜態(tài)NAPT配置顯示NAPT配置顯示轉(zhuǎn)換記錄Router#showipnattranslations工作任務(wù)－靜態(tài)NAPT配置案例背景：公司W(wǎng)eb服務(wù)器主機地址為，需要將網(wǎng)站私有地址映射成全局合法地址，以便網(wǎng)站對外發(fā)布，使外網(wǎng)用戶可以訪問。NATR1R2F0/0F0/1S0/24/24/24Internet靜態(tài)NAPT配置Router(config)#ipnatinsidesourcestatictcp80Router(config)#interfaceFastEthernet0/0Router(config-if)#ipaddressRouter(config-if)#ipnatinsideRouter(config-if)#exitRouter(config)#interfaceFastEthernet0/1Router(config-if)#ipaddressRouter(config-if)#ipnatoutsideRouter(config-if)#exitRouter(config)#iproutef0/1Router#showipnattranslations動態(tài)NAPT工作過程動態(tài)NAPT轉(zhuǎn)換（訪問過程）

動態(tài)NAPT工作過程動態(tài)NAPT轉(zhuǎn)換（響應(yīng)過程）

案例引導(dǎo)背景描述：你是某公司的網(wǎng)絡(luò)管理員，公司只向ISP申請了一個合法的IP地址。假設(shè)你是該公司的網(wǎng)絡(luò)管理員，現(xiàn)要你在路由器上做適當(dāng)配置，使內(nèi)網(wǎng)的計算機都能訪問互聯(lián)網(wǎng)。NATR1R2F0S0S0/24/24NAPT案例

例如：50個內(nèi)部節(jié)點可以用同一個全球地址5來瀏覽同一個網(wǎng)站（比如服務(wù)器63的80端口），但是每個節(jié)點都使用不同的源端口號。當(dāng)Web服務(wù)器應(yīng)答5時，NAT設(shè)備用應(yīng)答數(shù)據(jù)包中的目的端口來決定它們是去往哪個內(nèi)部用戶，并將該內(nèi)部主機的IP地址放到包頭中。

協(xié)議內(nèi)部本地IP地址：端口內(nèi)部全局IP地址：端口外部全局IP地址：端口TCPTCPTCP1:13272:11265:12705:13275:11265:127063:8063:802:80NAPT轉(zhuǎn)換過程配置動態(tài)NAPT1.定義全局IP地址池，對于NAPT，一般就定義一個IP地址

Router(config)#ipnatpoolpool－namestart-addressend-address{netmask

mask|prefix-length

prefix-length}2.定義編號標(biāo)準(zhǔn)訪問列表，只有匹配該列表的地址才轉(zhuǎn)換Routert(config)#access-listaccess-list-numberpermit

ip-addresswildcard

3.

定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系Router(config)#ipnatinsidesourcelist

access-list-number

pool

pool-nameoverload4.定義該接口連接內(nèi)部網(wǎng)絡(luò)Router(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatinside5.定義接口連接外部網(wǎng)絡(luò)Routert(config)#interfaceinterface-typeinterface-number

Routert(config-if)#ipnatoutside工作任務(wù)：動態(tài)NAPT的配置背景描述：某公司局域網(wǎng)使用私有地址為/24網(wǎng)段，通過路由器和Internet連接。公司申請公有地址為~，在路由器上進(jìn)行動態(tài)NAPT轉(zhuǎn)換，實現(xiàn)局域網(wǎng)主機訪問Internet.NATR1F0/0F0/1F0/0/24/24F0/10/24/24/24工作要求①根據(jù)實際情況設(shè)計網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)②根據(jù)客戶需求制定配置方案和步驟，并以此為依據(jù)對網(wǎng)絡(luò)設(shè)備進(jìn)行配置和調(diào)試。③將配置方案及主要命令記錄在工作過程記錄單上。④每一配置步驟都要求進(jìn)行相應(yīng)的驗證以保證當(dāng)前配置的可靠性，尤其驗證NAT地址的轉(zhuǎn)換。⑤討論：如果要外網(wǎng)的主機訪問到內(nèi)網(wǎng)，路由器還需要配置什么？配置步驟定義地址池定義ACL關(guān)聯(lián)POOL與ACL定義內(nèi)部端口定義外部端口配置默認(rèn)路由配置回程路由測試NAT轉(zhuǎn)換結(jié)果動態(tài)NAPT配置Router(config)#ipnatpoolto_internetnetmaskRouter(config)#access-list10permit