nat 原理与应用
DESCRIPTION
NAT 原理与应用. 技术培训中心. 修订记录. 学习目标. 了解 NAT 的作用及基本原理 掌握 NAT 常见应用场景及配置. 课程内容. 第一章 NAT 作用及工作原理 第二章 NAT 应用及配置. NAT 概述. NAT Network Address Translation 主要用于解决企业网使用私有地址上公网的问题 在边界由 NAT 设备转换数据包中的 IP 地址. 私有地址与公有地址. 公有地址 需要申请,在全球范围内唯一 私有地址 RFC 1918 10.0.0.0/8 172.16.0.0---172.31.0.0/16 - PowerPoint PPT PresentationTRANSCRIPT
NAT原理与应用
技术培训中心
修订记录
2
修订日期 修订版本 修订描述 作者2009-06 V1.0 初稿完成。 胡韬
学习目标
了解 NAT 的作用及基本原理
掌握 NAT 常见应用场景及配置
课程内容
第一章 NAT 作用及工作原理
第二章 NAT 应用及配置
4
NAT概述
NAT Network Address Translation
主要用于解决企业网使用私有地址上公网的问题
在边界由 NAT 设备转换数据包中的 IP 地址
私有地址与公有地址
公有地址 需要申请,在全球范围内唯一
私有地址 RFC 1918
• 10.0.0.0/8
• 172.16.0.0---172.31.0.0/16
• 192.168.0.0---192.168.255.0/24
6
NAT优缺点
优点 节省公有地址
对外隐藏地址,提供安全性
缺点 转换延迟和设备压力
无法执行端到端跟踪
影响特定的应用
NAT术语
8
内部 /外部:主机相对于 NAT 设备的物理位置。
本地 /全局:用户相对于 NAT 设备的位置或视角。。
NAT术语
9
参数参数 描述描述
内部本地地址 内部本地地址 InsideInside locallocal
分配给内部网络中主机的地址,通常是私有地址。 分配给内部网络中主机的地址,通常是私有地址。
内部全局地址 内部全局地址 InsideInside globalglobal
对外代表一个或多个内部本地地址,通常是公有地址对外代表一个或多个内部本地地址,通常是公有地址
外部全局地址 外部全局地址 OutsideOutside globalglobal
外部网络中的主机的真实地址。 外部网络中的主机的真实地址。
外部本地地址 外部本地地址 InsideInside locallocal
在内部网络中看到的外部主机的地址。 在内部网络中看到的外部主机的地址。
NAT术语
10
Inside Outside
PCA PCB
SA Inside Local
DA Outside Local
SA Inside global
DA Outside global
DA Inside Local
SA Outside Local
DA Inside global
SA Outside global
工作原理
192.168.1.10
200.10.20.30
⑴
⑵
⑶⑷
IP包S=192.168.1.10D=200.10.20.30
IP包S=100.1.10.12
D=200.10.20.30
IP包S=200.10.20.30 D=100.1.10.12
IP包S=200.10.20.30 D=192.168.1.10
inside outside
PCA
PCB
NAT转换表
NPE50-20#show ip nat translations
Pro Inside global Inside local Outside local Outside global
TCP 100.1.10.12:6004 192.168.1.10:6004 200.10.20.30:80 200.10.20.30:80
Tcp 61.186.178.5:4010 192.168.1.20:4010 221.238.198.149:80 221.238.198.149:80
Udp 61.186.178.9:1496 192.168.1.50:1496 117.78.198.58:14108 117.78.198.58:14108
课程内容
第一章 NAT 作用及工作原理
第二章 NAT 应用及配置
13
NAT实现方式
根据转换地址的对应关系
NAT 方式 只转换 IP 报文头中的 IP 地址,在地址之间建立一对一映射
实现简单
PAT 方式 Port Address Translation
采用“ IP 地址+端口”的映射方式进行地址转换 , 利用 TCP/UDP 协议的端口号区分不同的主机,建立多对多的映射关系。
NAT的实现方式
动态 NAT
建立地址之间的临时映射关系,过一段时间没有用就会删除映射关系
静态 NAT
建立地址之间的永久映射关系。
对外提供服务
NAT配置步骤 配置接口及路由 定义 NAT 设备的内外口
Router ( config-if ) #ip nat inside/outside
定义 NAT 地址池 Router ( config ) #ip nat pool pool-name start-ip end-ip netmask 子网掩码 | prefix-
lenth 前缀长度
定义转换方法及转换关联关系 Router ( config ) # ip nat inside source list ACL 号 pool pool-name
定义内部源地址动态 nat
Router ( config ) # ip nat inside source static local-address port global-address port
定义静态 nat
Router ( config ) #access-list acl 号 permit ****
利用 ACL 或者路由图定义允许转换的用户列表
Ip nat inside source 转换内部主机的源 ip
Ip nat inside destination 转换内部主机的目标 ip
Ip nat outside source 转换外部主机的源 ip
R2
R1
PC
server
172.16.10.0/24
10.1.1.0/30
202.100.99.0/24
Pool 2202.112.192.1-10/24
202.112.193.0/30
SW
电信
校园网
NAT案例 1
172.16.10.100/24
G0/1
G0/0
实现以下需求1 、内部主机能访问外网2 、内部服务器配置了私有 ip ,对外提供www telnet 服务。
配置步骤
配置接口及路由,解决连通性。 配置动态 NAT 访问外网
− Int gig0/0
− Ip nat inside ----- 定义内口
− Int gig 0/1
− Ip nat outside------- 定义外口
− Ip nat inside source list 1 pool test---- 定义动态转换内部源地址
− Ip nat pool test 202.112.192.1 202.112.192.9 netmask 255.255.255.0
− --------- 定义地址池
− Access-list 1 permit 172.16.10.0 0.0.0.255
− --------- 定义允许转换的内部主机
配置步骤
配置静态 nat 对外提供服务
− Ip nat inside source static 172.16.10.100 80 202.112.192.10 80
− Ip nat inside source static 172.16.10.100 23 202.112.192.10 23
R2 R3
R1
PC
server
172.16.10.0/24
10.1.1.0/30
59.64.248.0/24202.100.99.0/24
POOL 1211.103.220.0/24
Pool 2202.112.192.0/24
202.112.193.0/24
SW
电信Cernet
校园网
案例 2
1 2
需求
需求− 1 、走电信链路使用 PooL1
− 2 、走 Cernet 链路使用 PooL2
− 3 、服务器配置了公用地址,对外提供服务
23
谢 谢www.ruijie.com.cn