局域网与 Internet 互联第 10章

教学目标

• 通过本章学习使学员能够：１、了解局域网和 Internet 互联常用技术；２、掌握 NAT 技术工作原理；3 、掌握利用 NAT/NAPT 实现局域网访问互联网的方法。

本章内容

• 局域网与 Internet 互联概述

• NAT 的工作原理

• NAT/NAPT 的配置

• NAT 的监视和维护

课程议题

局域网与 Internet

互联概述

什么时候使用 NAT

局域网与局域网与 InternetInternet 互联时，需要使用互联时，需要使用 NATNAT 技术技术

• 代理服务器

• proxy 、 ISA 、 ICS 、

• wingate 、 sysgate 等

• NAT/NAPT( 网络地址转换 /网络地址端口转换 )

• 路由器、防火墙、核心交换机、服务器

常见实现方式

NAT/NAPT 带来的好处

• 解决地址空间不足的问题；

• IPv4 的空间已经严重不足

• 私有 IP 地址网络与公网互联；

• 10.0.0.0/8 ， 172.16.0.0/12 ， 192.168.0.0/16

• 非注册 IP 地址网络与公网互联；

• 建网时分配了全局 IP 地址－但没注册

• 网络改造中，避免更改地址带来的风险

课程议题

NAT 工作原理

什么是 NAT/NAPT

• 概念：

• NAT 就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为

• NAT 的类型

• NAT （ Network Address Translation ）

• 转换后，一个本地 IP 地址对应一个全局 IP 地址

• NAPT （ Network Address Port Translation ）

• 转换后，多个本地地址对应一个全局 IP 地址

NAT/NAPT 的术语• NAT 中用到的接口类型：

• 内部网络 － Inside

• 外部网络 － Outside

• NAT 中常见的术语：

• 内部本地地址－ Inside Local Address

• 内部全局地址－ Inside Global Address

• 外部本地地址－ Outside Local Address

• 外部全局地址－ Outside Global Address

互联网OutsideInside

企业内部网 外部网

NAT 工作原理 200.8.7.3/24

200.8.7.4/2463.5.8.1

192.168.1.5

192.168.1.7

内部本地地址 内部全局地址192.168.1.7 200.8.7.3

192.168.1.5 200.8.7.4

源 IP:192.168.1.7

目的 IP:63.5.8.1

源 IP:200.8.7.3

目的 IP:63.5.8.1

源 IP:63.5.8.1

目的 IP:200.8.7.3

源 IP:63.5.8.1

目的 IP:192.168.1.7

源 IP:200.8.7.3

目的 IP:63.5.8.1

源 IP:63.5.8.1

目的 IP:192.168.1.7

NAPT 工作原理200.8.7.3/24

63.5.8.1

192.168.1.5

192.168.1.7

源 IP:192.168.1.7:1024

目的 IP:63.5.8.1:80

内部本地地址：端口 内部全局地址 : 端口 外部全局地址 : 端口

192.168.1.7:1024 200.8.7.3:1024 63.5.8.1 ： 80

192.168.1.5:1136 200.8.7.3:1136 63.5.8.1 ： 80

源 IP:200.8.7.3:1024

目的 IP:63.5.8.1:80

源 IP:63.5.8.1:80

目的 IP:200.8.7.3:1024

源 IP:63.5.8.1 :80

目的 IP:192.168.1.7:1024

Web 服务

源 IP:200.8.7.3:1024

目的 IP:63.5.8.1:80

源 IP:63.5.8.1 :80

目的 IP:192.168.1.7:1024

使用 NAPT 的情况

• 在以下几种情况下，需要使用 NAPT 技术：

• 缺乏全局 IP 地址 , 甚至没有专门申请的全局 IP 地址，只有一个连接 ISP 的全局 IP 地址

• 内部网要求上网的主机数很多

• 提高内网的安全性

课程议题

NAT/NAPT 的配置

NAT/NAPT 的配置

• NAT/NAPT 的配置有两种

• 静态 NAT/NAPT

• 动态 NAT/NAPT

• 静态 NAT/NAPT

• 需要向外网络提供信息服务的主机

• 永久的一对一 IP 地址映射关系

• 动态 NAT/NAPT

• 只访问外网服务，不提供信息服务的主机

• 内部主机数可以大于全局 IP 地址数

• 最多访问外网主机数决定于全局 IP 地址数

• 临时的一对一 IP 地址映射关系

静态 NAT

• 配置步骤

• 1 、定义内网接口和外网接口

• Router(config)#interface fastethernet 1/0

• Router(config-if)#ip nat outside

• Router(config)#interface fastethernet 1/1

• Router(config-if)#ip nat inside

• 2 、建立静态的映射关系

• Router(config)#ip nat inside source static 192.168.1.7 200.

8.7.3

静态 NAPT• 1 、定义内网接口和外网接口

• Router(config)#interface fastethernet 0

• Router(config-if)#ip nat outside

• Router(config)#interface fastethernet 1

• Router(config-if)#ip nat inside

• 2 、建立静态的映射关系

• Router(config)#ip nat inside source static tcp

• 192.168.1.7 1024 200.8.7.3 1024

• Router(config)#ip nat inside source static udp

• 192.168.1.7 1024 200.8.7.3 1024

动态 NAT 配置• 1 、定义内网接口和外网接口

• Router(config-if)#ip nat outside

• Router(config-if)#ip nat inside

• 2 、定义内部本地地址范围

• Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255

• 3 、定义内部全局地址池

• Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask

255.255.255.0

• 4 、建立映射关系

• Router(config)#ip nat inside source list 10 pool abc

动态 NAPT 配置• 1 、定义内网接口和外网接口

• Router(config-if)#ip nat outside

• Router(config-if)#ip nat inside

• 2 、定义内部本地地址范围

• Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255

• 3 、定义内部全局地址池

• Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.

255.255.0

• 4 、建立映射关系

• Router(config)#ip nat inside source list 10 pool abc overload

课程议题

NAT 的监视和维护

NAT/NAPT 的监视和维护命令

• 显示命令– show ip nat statistics

• 显示翻译统计– show ip nat translations [verbose]

• 显示活动翻译

• 清除状态命令– clear ip nat translation *

• 从 NAT 转换表中清除所有动态地址转换项

NAT/NAPT 带来的限制• 限制

– 影响网络性能– 不能处理 IP 报头加密的报文；– 无法实现端到端的路径跟踪（ traceroute)– 某些应用可能支持不了：内嵌 IP 地址

• 内嵌 IP 地址的应用有：– FTP– DNS– NetMeeting– H.323,VoIP– 其它自编应用

• NAT 与应用的兼容性问题，详见 RFC 3027

课程回顾

• 局域网与 Internet 互联概述

• NAT 的工作原理

• NAT/NAPT 的配置

• NAT 的监视和维护

The End