網(wǎng)絡地址轉(zhuǎn)換NAT

湖北工業(yè)大學計算機學院李紅計算機網(wǎng)絡—

網(wǎng)絡地址轉(zhuǎn)換NAT

（NetworkAddressTranslation）概述1、每臺接入Internet的計算機都應有一個全球唯一的IP地址。問題：現(xiàn)實生活中IP地址有多少個？能滿足給接入到Internet上的每一臺主機分配一個IP地址嗎？知識回顧IP地址身份證號碼唯一的標識一臺網(wǎng)絡中的合法主機唯一的標識一個合法公民2、一個IP地址不能分配給多臺主機，否則，會導致地址沖突。？湖北工業(yè)大學計算機學院李紅地址共享的起因1969年ARPAnet，美國，4個節(jié)點1983年TCP/IP協(xié)議，Internet誕生，100個節(jié)點今天全球上網(wǎng)人數(shù)超過12億，每天都在增加！IP地址應該設置多長？32位

共有個地址=4,294,967,296問題：IP地址嚴重短缺！網(wǎng)絡規(guī)模與IP地址洛杉磯大學斯坦福研究所圣巴巴拉大學猶他州立大學2009.6中國IP地址：2.05億個網(wǎng)民人數(shù)：3.38億

湖北工業(yè)大學計算機學院李紅網(wǎng)絡地址共享技術(shù)：讓多臺主機共享一個IP地址。要求使用唯一地址相互矛盾主題：網(wǎng)絡地址轉(zhuǎn)換（NAT)問題的解決NAT設備專用網(wǎng)絡(內(nèi)網(wǎng)，私網(wǎng))因特網(wǎng)公有地址（公網(wǎng)地址）/8/12/16公有地址

轉(zhuǎn)換OutsideInside湖北工業(yè)大學計算機學院李紅NAT的三種形式NAT池pooledNAT

2靜態(tài)NATStaticNAT1VS結(jié)構(gòu)拓撲工作原理實際應用端口NATPortNAT1VS湖北工業(yè)大學計算機學院李紅一、靜態(tài)NATNAT設備專用網(wǎng)絡PC1:因特網(wǎng)Ser1:1、PC1Ser1（發(fā)出請求）源端地址：192.168.10.1NAT要重寫源地址源端地址：目的地址：目的地址：源端地址：NAT要重寫目的地址源端地址：目的地址：目的地址：192.168.10.1—重寫IP地址2、Ser1PC1（回應請求）工作原理：內(nèi)部網(wǎng)絡中的每個主機都被永久映射成外部網(wǎng)絡中的某個合法的地址

湖北工業(yè)大學計算機學院李紅地址轉(zhuǎn)換表方向域舊的值新的值出去IP源地址進入IP目的地址192.168.10.1NAT——地址轉(zhuǎn)換表應當注意的兩個問題：1、地址轉(zhuǎn)換表可由系統(tǒng)管理員人工配置，或由NAT自動完成。2、通過NAT路由器的通信必須由專用網(wǎng)內(nèi)的主機發(fā)起。湖北工業(yè)大學計算機學院李紅NAT設備專用網(wǎng)絡(內(nèi)網(wǎng)，私網(wǎng))PC1:PC2:

PC3:

因特網(wǎng)Ser1:？方向域舊的值新的值出去IP源地址出去IP源地址進入IP目的地址192.168.10.1192.168.10.2問題：靜態(tài)NAT不能實現(xiàn)多個私網(wǎng)IP同時共享一個公網(wǎng)IP上網(wǎng)，并不能解決IP地址不夠用的情況！靜態(tài)NAT轉(zhuǎn)換——存在的問題“一對一”湖北工業(yè)大學計算機學院李紅帶來的好處&應用1、使用靜態(tài)NAT技術(shù)后，NAT設備如門衛(wèi)一般，把內(nèi)部網(wǎng)絡隱藏起來，具有保護內(nèi)部網(wǎng)絡的作用。2、NAT設備通常還帶有防火墻的功能，防火墻本身的安全策略能對內(nèi)部主機，包括服務器作一些基本的保護，避免受到攻擊。因特網(wǎng)圖一Web服務器:

NAT設備Web服務器:圖二因特網(wǎng)湖北工業(yè)大學計算機學院李紅二、NAT池(動態(tài)NAT)1、能實現(xiàn)基本的地址轉(zhuǎn)換功能私有地址——公有地址2、能實現(xiàn)多個私網(wǎng)IP共享多個公網(wǎng)IP連接到Internet上PC1:PC2:

PC3:

PC100:00私有地址公有地址100個30個NAT設備專用網(wǎng)絡PC1:PC2:

PC3:

因特網(wǎng)Ser1:“多對多”湖北工業(yè)大學計算機學院李紅靜態(tài)與動態(tài)NAT靜態(tài)NAT需要向外網(wǎng)絡提供信息服務的主機永久的一對一IP地址映射關(guān)系動態(tài)NAT只訪問外網(wǎng)服務，不提供信息服務的主機內(nèi)部主機數(shù)可以大于全局IP地址數(shù)最多訪問外網(wǎng)主機數(shù)決定于全局IP地址數(shù)臨時的一對一IP地址映射關(guān)系NAT兩種形式比較湖北工業(yè)大學計算機學院李紅配置靜態(tài)NATRed-Giant(config)#ip

natinsidesourcestaticlocal-addressglobal-address定義內(nèi)部源地址靜態(tài)轉(zhuǎn)換關(guān)系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ip

natinside定義該接口連接內(nèi)部網(wǎng)絡Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ip

natoutside定義接口連接外部網(wǎng)絡配置靜態(tài)NAT湖北工業(yè)大學計算機學院李紅下面的例子是將一臺內(nèi)網(wǎng)的WEB服務器

映射到全局IP地址上，外網(wǎng)用戶可通過訪問登陸內(nèi)網(wǎng)的WEB服務器。靜態(tài)NAT配置實例湖北工業(yè)大學計算機學院李紅（1）配置路由器R1、R2接口IP地址；（使用串口線必須配置時鐘）（2）配置R1、R2靜態(tài)路由；

R1(config)#iprouteR2(config)#iproute用showiproute查看路由表，已有靜態(tài)路由S項。步驟湖北工業(yè)大學計算機學院李紅（3）內(nèi)部源地址靜態(tài)NATR1(config)#interfacefastethernet0/0R1(config-if)#ip

natinside！定義F0/0為內(nèi)部網(wǎng)接口R1(config)#interfaceserial2/0R1(config-if)#ip

natoutside！定義S2/0為外部網(wǎng)接口R1(config)#ipnatinsidesourcestatic!定義內(nèi)部源地址靜態(tài)轉(zhuǎn)換關(guān)系湖北工業(yè)大學計算機學院李紅（1）在服務器上配置Web服務；新建一個index.html的靜態(tài)網(wǎng)頁（2）在遠程客戶機測試訪問的網(wǎng)頁；使用訪問內(nèi)部web服務器地址;（3）在路由器R1上查看NAPT映射關(guān)系；R1r#showip

nattranslations在進行登陸web前，先showip

nattranslations一下，等登陸web后，在執(zhí)行一次showip

nattranslations。對比前后不同之處。。測試湖北工業(yè)大學計算機學院李紅注意事項（1）不要把inside和outside應用的接口弄錯；（2）要加上能使數(shù)據(jù)包向外轉(zhuǎn)發(fā)的路由，比如默認路由；（3）使用ip

natinsidesourcestatic和ip

natinsidesourcestatictcp8080同效。湖北工業(yè)大學計算機學院李紅配置動態(tài)NATRed-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmask

mask|prefix-lengthprefix-length}定義全局IP地址池Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard定義訪問列表，只有匹配該列表的地址才轉(zhuǎn)換Red-Giant(config)#ip

natinsidesourcelistaccess-list-numberpooladdress-pool定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ip

natinside定義該接口連接內(nèi)部網(wǎng)絡Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ip

natoutside定義接口連接外部網(wǎng)絡配置動態(tài)NAT湖北工業(yè)大學計算機學院李紅出口路由器R內(nèi)外/24/24/24申請到的可用公網(wǎng)地址：/24——0S4/0gi0/0“多對多”步驟一：定義外網(wǎng)和內(nèi)網(wǎng)R(config)#interfaceserial4/0R(config)#ip

natinside；進入接口，定義內(nèi)網(wǎng)R(config)#interface

gi0/0R(config)#ip

natoutside；定義外網(wǎng)湖北工業(yè)大學計算機學院李紅出口路由器R內(nèi)外/24/24/24申請到的可用公網(wǎng)地址：/24——0S4/0gi0/0“多對多”步驟二：定義第一個“多”用ACL，一般是標準的ACL，定義內(nèi)部網(wǎng)中哪些網(wǎng)段可訪問公網(wǎng)R(config)#access-list1permit55(反掩碼)R(config)#access-list1permit55R(config)#access-list1permit55湖北工業(yè)大學計算機學院李紅出口路由器R內(nèi)外/24/24/24申請到的可用公網(wǎng)地址：/24——0S4/0gi0/0“多對多”步驟三：定義第二個“多”配置地址池，作用是定義可用的公網(wǎng)地址R(config)#ip

natpoolinternet0netmask

可見，內(nèi)網(wǎng)地址有3*254個，可用的公網(wǎng)地址有8個，這8個地址用于共享。Red-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmask

mask|prefix-lengthprefix-length}定義全局IP地址池的格式湖北工業(yè)大學計算機學院李紅出口路由器R內(nèi)外/24/24/24申請到的可用公網(wǎng)地址：/24——0S4/0gi0/0“多對多”R(config)#ip

natinsidesourcelist1poolinternet步驟三：將二個“多”關(guān)聯(lián)上注意：在上面的語句中，list1是內(nèi)，internet是外，是正向的轉(zhuǎn)換，用關(guān)鍵詞source；如果是反的，也就是用access-list定義外，地址池定義內(nèi)，這是反向的轉(zhuǎn)化，用關(guān)鍵詞destination。湖北工業(yè)大學計算機學院李紅三、NAPT(端口NAT)靜態(tài)NAT/NAT池:IP地址NAPT:IP地址+端口號唯一的標識一臺主機唯一的標識一個連接1122PC1PC3：1500：1501：1501：25：21：44331：21PC2湖北工業(yè)大學計算機學院李紅NAT設備專用網(wǎng)絡(內(nèi)網(wǎng)，私網(wǎng))PC1:：30000PC2:：30000PC3:

因特網(wǎng)Ser1:方向域舊的值新的值出去源IP:源端口:30000:40001出去源IP:源端口:30000:40002進入目的IP

:目的端口:40001192.168.10.1:30000NAPT轉(zhuǎn)換實例進入目的IP

:目的端口:40002192.168.10.2:30000實現(xiàn)“多對一”湖北工業(yè)大學計算機學院李紅什么時候用NAPT缺乏全局IP地址甚至沒有專門申請的全局IP地址，只有一個連接ISP的全局IP地址內(nèi)部網(wǎng)要求上網(wǎng)的主機數(shù)很多提高內(nèi)網(wǎng)的安全性什么時候用NAPT湖北工業(yè)大學計算機學院李紅靜態(tài)與動態(tài)NAPT靜態(tài)NAPT需要向外網(wǎng)絡提供信息服務的主機永久的一對一“IP地址+端口”映射關(guān)系動態(tài)NAPT只訪問外網(wǎng)服務，不提供信息服務的主機臨時的一對一“IP地址＋端口”映射關(guān)系NAPT的兩種形式湖北工業(yè)大學計算機學院李紅配置動態(tài)NAPTRed-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmask

mask|prefix-lengthprefix-length}定義全局IP地址池，對于NAPT，一般就定義一個IP地址

Red-Giant(config)#access-listaccess-list-numberpermitip-addresswildcard定義訪問列表，只有匹配該列表的地址才轉(zhuǎn)換Red-Giant(config)#ip

natinsidesourcelist

access-list-numberpooladdress-pool[interfaceinterface-typeinterface-number]}overload定義內(nèi)部源地址動態(tài)轉(zhuǎn)換關(guān)系Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ip

natinside定義該接口連接內(nèi)部網(wǎng)絡Red-Giant(config)#interfaceinterface-typeinterface-numberRed-Giant(config-if)#ip

natoutside定義接口連接外部網(wǎng)絡配置動態(tài)NAPT湖北工業(yè)大學計算機學院李紅“多對一”步驟一：定義外網(wǎng)和內(nèi)網(wǎng)R(config)#interfaceserial4/0R(config)#ip

natinside，進入接口，定義內(nèi)網(wǎng)R(config)#interface

gi0/0R(config)#ip

natoutside；定義外網(wǎng)出口路由器R內(nèi)外/24/24/24/24S4/0gi0/0湖北工業(yè)大學計算機學院李紅“多對一”步驟二：定義“多”用ACL，一般是標準的ACL，定義內(nèi)部網(wǎng)中哪些網(wǎng)段可訪問公網(wǎng)R(config)#access-list1permit55(反掩碼)R(config)#access-list1permit55R(config)#access-list1permit55出口路由器R內(nèi)外/24/24/24/24S4/0gi0/0湖北工業(yè)大學計算機學院李紅“多對一”步驟三：定義第“一”配置地址池，地址池中只有一個地址R(config)#ip

natpoolinternet

netmask

可見，內(nèi)網(wǎng)地址有3*254個，可用的公網(wǎng)地址有1個，這1個地址用于共享。出口路由器R內(nèi)外/24/24/24/24S4/0gi0/0湖北工業(yè)大學計算機學院李紅出口路由器R內(nèi)外/24/24/24/24S4/0gi0/0“多對一”R(config)#ip

natinsidesourcelist1poolinternetoverload步驟四：將“多”和“一”關(guān)聯(lián)上注意：多了一個關(guān)鍵詞，overload湖北工業(yè)大學計算機學院李紅總結(jié)公有地址共享私網(wǎng)IP-----公網(wǎng)IP映射關(guān)系應用代價使用范圍靜態(tài)NAT不能一對一內(nèi)網(wǎng)服務器小普遍NAT池能多對多內(nèi)網(wǎng)工作站較大普遍端口NAT能多對一內(nèi)網(wǎng)工作站大十分廣泛不管是哪種形式的NAT技術(shù)，最基本的功能都是實現(xiàn)私有地址公有地址轉(zhuǎn)換湖北工業(yè)大學計算機學院李紅NAT的監(jiān)視和維護命令顯示命令showip

natstatistics

showip

nattranslations[verbose]清除狀態(tài)命令clearip

nattranslation*

clearip

nattranslationoutside

local-addressglobal-address

更多的命令用clearip

nat?NAT監(jiān)視與維護命令湖北工業(yè)大學計算機學院李紅應當指出，從層次的角度看，NAPT有一些特殊。1、普通路由器轉(zhuǎn)發(fā)IP數(shù)據(jù)報時，對于源IP地址和目的IP地址都是不改變的。但NAT路由器在轉(zhuǎn)發(fā)IP數(shù)據(jù)報時，一定要更換其IP地址（轉(zhuǎn)換源IP或目的IP）。2、普通路由器轉(zhuǎn)發(fā)IP數(shù)據(jù)報時，是工作在網(wǎng)絡層，但NATP路由器還要查看和轉(zhuǎn)換運輸層的端口號，而這本來是屬于傳輸層的范疇，正是因為這樣，NATP曾經(jīng)收到過批評，認為NATP沒有嚴格按照網(wǎng)絡體系結(jié)構(gòu)層次的關(guān)系。質(zhì)疑與缺陷湖北工業(yè)大學計算機學院李紅質(zhì)疑與缺陷3、NAT不能處理嵌入式IP地址或端口NAT設備不能翻譯那些嵌入到應用數(shù)據(jù)部分的IP地址或端口信息，它只能翻譯那種正常位于IP首部中的地址信息和位于TCP/UDP首部中的端口信息。但如MSNMessenger的部分功能就使用了這種方式來傳遞IP和端口信息（在應用數(shù)據(jù)部分），這樣就導致了NAT設備后的客戶端網(wǎng)絡應用程序出現(xiàn)連接故障。要解決上面的嵌入式地址和端口問題，現(xiàn)在大多數(shù)都是通過特定的NAT編輯器來實現(xiàn)的，比如windows2000就提供了針對FTP、PPTP、ICMP和TCP上NETBIOS各自的NAT編輯器，按照這種方法，每個應用協(xié)議都需要一個獨立的NAT編輯器，但應用協(xié)議如此眾多，顯然這種方法不可能滿足所有需求，所以我們?nèi)孕枰昝赖慕鉀Q方案。湖北工業(yè)大學計算機學院李紅4、不能從公網(wǎng)訪問內(nèi)部網(wǎng)絡服務網(wǎng)絡服務，比如WEB服務，對于這個問題，我們可以采用建立靜態(tài)映射的方法來解決。比如有一條靜態(tài)映射，是把85:80與8:80映射起的，當公網(wǎng)用戶要訪問內(nèi)部WEB服務器時，它就首先連接到85:80，然后NAT設備把請求傳給8:80，8把響應返回NAT設備，再由NAT設備傳給公網(wǎng)訪問用戶。湖北工業(yè)大學計算機學院李紅質(zhì)疑與缺陷5、有一些應用程序雖然是用A端口發(fā)送數(shù)據(jù)的，但卻要用B端口進行接收，不過NAT進行設備轉(zhuǎn)換時卻不知道這一點，它仍然建立一條針對A端口的映射，結(jié)果對方響應的數(shù)據(jù)要傳給B端口時，NAT設備卻找不到相關(guān)映射條目而會丟棄數(shù)據(jù)包。6、如果NAT本身又位于另一個NAT之后，則也會出現(xiàn)一些問題，為了節(jié)約IP資源，現(xiàn)在很多的ISP在它們內(nèi)部架設NAT，然后再把服務提供給用戶。湖北工業(yè)大學計算機學院李紅7、一些P2P應用在NAT后無法進行

對于那些沒有中間服務器的純P2P應用來說，如果大家都位于NAT設備之后，雙方是無法建立連接的。因為沒有中間服務器的中轉(zhuǎn)，NAT設備后的P2P程序在NAT設備上是不會有映射條目的，也就是說對方是不能向你發(fā)起一個連接的。質(zhì)疑與缺陷湖北工業(yè)大學計算機學院李紅思考題NAT設備專用網(wǎng)絡1PC1:PC2: