第 13 讲  NAT   网络地址转换
NAT—— 网络地址翻译  <ul><li>随着 Internet 的飞速发展,网上丰富的资源产生着巨大的吸引力 , 接入 Internet 成为当今信息业最为迫切的需求 , 但这受到 IP 地址的许多限制 </li></ul><ul><li>...
<ul><li>NAT (网络地址翻译)能解决不少令人头疼的问题 </li></ul><ul><li>它解决问题的办法是:在内部网络中使用内部私有地址,通过 NAT 把内部私有地址翻译成合法的 IP 地址,在 Internet 上使用 </li...
Windows 98 PC Modem Branch office ISDN/analog Small office Central site Frame Relay PRI BRI BRI Frame Relay Async AAA serv...
NAT 的优缺点 <ul><li>NAT 的优点 </li></ul><ul><ul><li>节约合法的 IP 地址 </li></ul></ul><ul><ul><li>增加了连接公网的灵活性 </li></ul></ul><ul><ul><...
<ul><li>NAT  术语 </li></ul><ul><li>NAT  功能 </li></ul><ul><li>NAT  三种类型 </li></ul>
NAT  术语 Internet Inside 10.1.1.1 Inside Local IP  Address 10.1.1.1 Simple NAT table Inside Global  IP Address 166.1.1.1 10...
<ul><li>内部本地地址 : 私有 IP ,不能直接用于互连网。 </li></ul><ul><li>内部全局地址:用来代替内部本地 IP 地址的,对外,或在互联网上是合法的的 IP 地址。 </li></ul><ul><li>外部本地地址...
NAT  功能 <ul><li>NAT  功能 : </li></ul><ul><ul><li>内部网络地址转换 </li></ul></ul><ul><ul><li>复用内部的全局地址 </li></ul></ul>Inside Local ...
复用内部的全局地址 <ul><li>将一个内部全局地址用于同时代表多个内部本地地址。 </li></ul><ul><li>主要用 IP 地址和端口号的组合来唯一区分各个内部主机。 </li></ul><ul><li>目前在公司内普遍应用。(如下...
复用内部的全局地址 10.1.1.2:1723 10.1.1.1:1024 NAT table 196.168.2.2:1723 196.168.2.2:1024 TCP TCP 10.1.1.3:1492 196.168.2.2:1492 T...
NAT 三种类型 <ul><li>NAT 有三种类型: </li></ul><ul><li>静态 NAT ( staticNAT )、 NAT 池( pooledNAT )和端口 NAT ( </li></ul><ul><li>PAT )。 <...
NAT 表 10.1.1.10 10.1.1.2 Internet <ul><ul><li>静态 NAT </li></ul></ul>10.1.1.10 179.9.1.50 179.9.1.50 10.1.1.10 全球 IP 本地 IP
NAT 表 10.0.0.3 10.0.0.2 Internet <ul><ul><li>动态 NAT </li></ul></ul>10.0.0.2 179.9.8.80 179.9.8.81 10.0.0.3 179.9.8.80 10.0...
NAT 表 10.1.1.10 10.0.0.2 Internet <ul><ul><li>超载 NAT(PAT) </li></ul></ul>10.0.0.3 179.9.8.80:1555 10.0.0.3:1555 179.9.8.80...
NAT 静态映射实例 <ul><li>interface Ethernet0 </li></ul><ul><li>ip address 172.16.1.1 255.255.255.0 </li></ul><ul><li>ip nat insi...
<ul><li>注意: </li></ul><ul><li>从外网到内网建立静态映射后,外网能 PING 通内部全局地址( 200.1.1.1 ) , 如果使用真实地址,则访问失败,这是因为从外网没有到达内网的路由存在! </li></ul><...
动态 NAT 的配置 ip nat pool dyn-nat 192.16.2.1 192.16.2.254   netmask 255.255.255.0 ip nat inside source list 1 pool dyn-nat ! ...
PAT 的配置 ( 一 ) ip nat pool ovrld-nat 192.16.2.1 192.16.2.2 netmask 255.255.255.0 ip nat inside source list 1 pool ovrld-nat...
<ul><li>还可以复用路由器某个端口的地址 </li></ul><ul><li>ip nat inside source list  access-list  interface  type number   overload </li><...
PAT 的配置 ( 二 ) ip nat inside source list 1 int s0 overload ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat...
Verifying NAT Router#sh ip nat trans Pro Inside global  Inside local  Outside local  Outside global tcp 192.2.2.1:11003  1...
Troubleshooting NAT Router# debug ip nat NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [0] NAT*: s=172.166.2.2, d=192.16.2.1-...
<ul><li>clear ip nat trans * </li></ul><ul><li>删除所有的动态的转换条目 </li></ul><ul><li>clear ip nat trans inside  global-ip local -...
<ul><li>clear ip nat trans protocol inside   global-ip global-port local-ip local-port [outside local-ip local-port global...
Clearing NAT Translation Entries All entries are cleared. 192.16.2.2 is cleared. Router#sh ip nat trans Pro Inside global ...
Upcoming SlideShare
Loading in …5
×

第13讲 Nat网络地址转换

2,497 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
2,497
On SlideShare
0
From Embeds
0
Number of Embeds
35
Actions
Shares
0
Downloads
70
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • 第13讲 Nat网络地址转换

    1. 1. 第 13 讲 NAT 网络地址转换
    2. 2. NAT—— 网络地址翻译 <ul><li>随着 Internet 的飞速发展,网上丰富的资源产生着巨大的吸引力 , 接入 Internet 成为当今信息业最为迫切的需求 , 但这受到 IP 地址的许多限制 </li></ul><ul><li>首先,许多局域网在未联入 Internet 之前,就已经运行许多年了,局域网上有了许多现成的资源和应用程序,但它的 IP 地址分配不符合 Internet 的国际标准,因而需要重新分配局域网的 IP 地址,这无疑是劳神费时的工作 </li></ul><ul><li>其二,随着 Internet 的膨胀式发展,其可用的 IP 地址越来越少,要想在 ISP 处申请一个新的 IP 地址已不是很容易的事了 </li></ul>
    3. 3. <ul><li>NAT (网络地址翻译)能解决不少令人头疼的问题 </li></ul><ul><li>它解决问题的办法是:在内部网络中使用内部私有地址,通过 NAT 把内部私有地址翻译成合法的 IP 地址,在 Internet 上使用 </li></ul><ul><li>其具体的做法是把 IP 包内的地址(内部本地)用合法的 IP 地址段(内部全局)来替换 </li></ul>
    4. 4. Windows 98 PC Modem Branch office ISDN/analog Small office Central site Frame Relay PRI BRI BRI Frame Relay Async AAA server Async SA 10.1.1.1 166.1.1.1 SA Inside Local IP Address 10.1.1.1 Inside Global IP Address 166.1.1.1 NAT table PAT Frame Relay service
    5. 5. NAT 的优缺点 <ul><li>NAT 的优点 </li></ul><ul><ul><li>节约合法的 IP 地址 </li></ul></ul><ul><ul><li>增加了连接公网的灵活性 </li></ul></ul><ul><ul><li>保护网络安全 </li></ul></ul><ul><li>NAT 缺点 </li></ul><ul><ul><li>NAT 增加了延迟 </li></ul></ul><ul><ul><li>丧失了端到端的 IP 追踪能力 </li></ul></ul><ul><ul><li>限制一些 IP 寻址方案的应用 </li></ul></ul>
    6. 6. <ul><li>NAT 术语 </li></ul><ul><li>NAT 功能 </li></ul><ul><li>NAT 三种类型 </li></ul>
    7. 7. NAT 术语 Internet Inside 10.1.1.1 Inside Local IP Address 10.1.1.1 Simple NAT table Inside Global IP Address 166.1.1.1 10.1.1.2 Host B 172.20.7.3 A C B A B D SA 10.1.1.1 DA 10.1.1.1 SA 166.1.1.1 DA 166.1.1.1 D C
    8. 8. <ul><li>内部本地地址 : 私有 IP ,不能直接用于互连网。 </li></ul><ul><li>内部全局地址:用来代替内部本地 IP 地址的,对外,或在互联网上是合法的的 IP 地址。 </li></ul><ul><li>外部本地地址 : 外部主机使用的私有的地址 , 内部主机不可见 . </li></ul><ul><li>外部全局地址 : 外部主机使用的合法的地址 . </li></ul>
    9. 9. NAT 功能 <ul><li>NAT 功能 : </li></ul><ul><ul><li>内部网络地址转换 </li></ul></ul><ul><ul><li>复用内部的全局地址 </li></ul></ul>Inside Local IP Address 10.1.1.1 10.1.1.2 NAT table Inside Global IP Address 196.168.2.2 196.168.2.3 Internet Inside 10.1.1.1 10.1.1.2
    10. 10. 复用内部的全局地址 <ul><li>将一个内部全局地址用于同时代表多个内部本地地址。 </li></ul><ul><li>主要用 IP 地址和端口号的组合来唯一区分各个内部主机。 </li></ul><ul><li>目前在公司内普遍应用。(如下图) </li></ul>
    11. 11. 复用内部的全局地址 10.1.1.2:1723 10.1.1.1:1024 NAT table 196.168.2.2:1723 196.168.2.2:1024 TCP TCP 10.1.1.3:1492 196.168.2.2:1492 TCP Internet Inside 10.1.1.1 Host B 179.20.7.3 1 3 SA 10.1.1.1 DA 10.1.1.1 SA 196.168.2.2 DA 196.168.2.2 10.1.1.2 10.1.1.3 4 5 2 Host C 179.21.7.3 DA 196.168.2.2 4 Inside Global IP Address: Port Protocol Inside Local IP Address: Port 10.1.1.1
    12. 12. NAT 三种类型 <ul><li>NAT 有三种类型: </li></ul><ul><li>静态 NAT ( staticNAT )、 NAT 池( pooledNAT )和端口 NAT ( </li></ul><ul><li>PAT )。 </li></ul><ul><li>其中静态 NAT 设置起来最为简单,内部网络中的每个主机都被 </li></ul><ul><li>永久映射成外部网络中的某个合法的地址 , 多用于服务器。 </li></ul><ul><li>而 NAT 池则是在外部网络中定义了一系列的合法地址,采用动 </li></ul><ul><li>态分配的方法映射到内部网络 , 多用于网络中的工作站。 </li></ul><ul><li>PAT 则是把内部地址映射到外部网络的一个 IP 地址的不同端口 </li></ul><ul><li>上。 </li></ul>
    13. 13. NAT 表 10.1.1.10 10.1.1.2 Internet <ul><ul><li>静态 NAT </li></ul></ul>10.1.1.10 179.9.1.50 179.9.1.50 10.1.1.10 全球 IP 本地 IP
    14. 14. NAT 表 10.0.0.3 10.0.0.2 Internet <ul><ul><li>动态 NAT </li></ul></ul>10.0.0.2 179.9.8.80 179.9.8.81 10.0.0.3 179.9.8.80 10.0.0.2 全球 IP 本地 IP
    15. 15. NAT 表 10.1.1.10 10.0.0.2 Internet <ul><ul><li>超载 NAT(PAT) </li></ul></ul>10.0.0.3 179.9.8.80:1555 10.0.0.3:1555 179.9.8.80:1555 10.0.0.3:1555 179.9.8.80:1444 10.0.0.2:1444 全球 IP 本地 IP
    16. 16. NAT 静态映射实例 <ul><li>interface Ethernet0 </li></ul><ul><li>ip address 172.16.1.1 255.255.255.0 </li></ul><ul><li>ip nat inside (指定内部接口) </li></ul><ul><li>! </li></ul><ul><li>interface Serial0 </li></ul><ul><li>ip address 200.1.1.1 255.255.255.0 </li></ul><ul><li>ip nat outside (指定外部接口) </li></ul><ul><li>! </li></ul><ul><li>ip nat inside source static 172.16.1.3 200.1.1.1 </li></ul><ul><li>( 建立两个 IP 地址之间的静态映射 ) </li></ul><ul><li>ip classless </li></ul><ul><li>ip route 0.0.0.0 0.0.0.0 200.1.1.2 </li></ul>
    17. 17. <ul><li>注意: </li></ul><ul><li>从外网到内网建立静态映射后,外网能 PING 通内部全局地址( 200.1.1.1 ) , 如果使用真实地址,则访问失败,这是因为从外网没有到达内网的路由存在! </li></ul><ul><li>Ping 172.16.1.3 …… </li></ul><ul><li>Ping 200.1.1.1 !!!!! </li></ul>
    18. 18. 动态 NAT 的配置 ip nat pool dyn-nat 192.16.2.1 192.16.2.254 netmask 255.255.255.0 ip nat inside source list 1 pool dyn-nat ! interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0 ip address 192.16.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255 ! Translate between inside hosts addressed from 10.1.1.0/24 to the globally unique 192.16.2.0/24 network. This interface connected to the outside world. This interface connected to the inside network.
    19. 19. PAT 的配置 ( 一 ) ip nat pool ovrld-nat 192.16.2.1 192.16.2.2 netmask 255.255.255.0 ip nat inside source list 1 pool ovrld-nat overload ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0/0 ip address 192.16.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255
    20. 20. <ul><li>还可以复用路由器某个端口的地址 </li></ul><ul><li>ip nat inside source list access-list interface type number overload </li></ul>
    21. 21. PAT 的配置 ( 二 ) ip nat inside source list 1 int s0 overload ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ip nat inside ! interface Serial0/0 ip address 192.16.2.1 255.255.255.0 ip nat outside ! access-list 1 permit 10.1.1.0 0.0.0.255
    22. 22. Verifying NAT Router#sh ip nat trans Pro Inside global Inside local Outside local Outside global tcp 192.2.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23 tcp 192.2.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23 A translation for a Telnet is still active. Two different inside hosts appear on the outside with a single IP address. Basic IP address translation Unique TCP port numbers are used to distinguish between hosts. Router# show ip nat trans Pro Inside global Inside local Outside local Outside global --- 192.2.2.1 10.1.1.1 --- --- --- 192.2.2.2 10.1.1.2 --- --- IP address translation with overloading
    23. 23. Troubleshooting NAT Router# debug ip nat NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [0] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [0] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [1] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [2] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [3] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [1] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [4] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [5] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [6] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [2] An example address translation inside-to-outside. A reply to the packet sent. An example TCP conversation, inside-to-outside. * Indicates translation was in the fast path.
    24. 24. <ul><li>clear ip nat trans * </li></ul><ul><li>删除所有的动态的转换条目 </li></ul><ul><li>clear ip nat trans inside global-ip local - ip[outside local-ip global-ip] </li></ul><ul><li>删除一个进行内部转换或内部和外部转换的简单转换条目 </li></ul>
    25. 25. <ul><li>clear ip nat trans protocol inside global-ip global-port local-ip local-port [outside local-ip local-port global-ip global-port] </li></ul><ul><li>删除一个扩展转换条目 </li></ul>
    26. 26. Clearing NAT Translation Entries All entries are cleared. 192.16.2.2 is cleared. Router#sh ip nat trans Pro Inside global Inside local Outside local Outside global tcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23 tcp 192.16.2.1:1067 10.1.1.2:1067 172.16.2.3:23 172.16.2.3:23 router# clear ip nat trans * router# router#show ip nat trans router# show ip nat trans Pro Inside global Inside local Outside local Outside global udp 192.16.2.2:1220 10.1.1.2:1120 171.69.2.132:53 171.69.2.132:53 tcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23 tcp 192.16.2.1:1067 10.1.1.1:1067 172.16.2.3:23 172.16.2.3:23 router#clear ip nat trans udp inside 192.16.2.2 10.1.1.2 1220 171.69.2.132 53 171.69.2.132 53 router#show ip nat trans Pro Inside global Inside local Outside local Outside global tcp 192.16.2.1:11003 10.1.1.1:11003 172.16.2.2:23 172.16.2.2:23 tcp 192.16.2.1:1067 10.1.1.3:1067 172.16.2.3:23 172.16.2.3:23

    ×