第13章NAT的基本配置

kkiinnb
1 ℃
2019-12-23

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

网络工程实践教程---实验指南第13章NAT13.1NAT理论指导NAT(NetworkAddressTranslation)地址转换功能，将内部网的私有地址转换成互联网上的合法地址，使得不具有合法IP地址的用户可以通过NAT访问到外部Internet。减少了IP地址注册的费用以及节省了目前越来越缺乏的地址空间（即IPV4）。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。一个企业申请的合法InternetIP地址很少，而内部网络用户很多。可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet进行通信。一个企业不想让外部网络用户知道自己的网络内部结构，可以通过NAT将内部网络与外部Internet隔离开，则外部用户根本不知道通过NAT设置的内部IP地址。NAT包括有静态NAT、动态地址NAT和端口多路复用地址转换三种技术类型。静态地址转换是将内部本地私有地址与公有地址进行一对一的转换，且需要指定和哪个公有地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可以使用这些服务。动态地址转换也是将本地私有地址与公有地址一对一的转换，但是是从一组公有地址中动态地选择一个末使用的地址对内部本地私有地址进行转换。复用动态地址转换（PortAddressTranslation。端口地址转换）首先是一种动态地址转换，但是它可以允许多个内部本地私有地址共用一个合法地址。这样进一步减少了公有地址的使用。注意：当多个用户同时使用一个IP地址，外部网络通过路由器内部利用上层的如TCP或UDP端口号等唯一标识某台计算机私有IP地址私有IP地址是保留地址，仅供私有内部网络使用。带有这些地址的数据包不会通过Internet路由。留用的内部私有地址目前主要有以下几类：●A类：10.0.0.0--10.255.255.2552网络工程实践教程---实验指南●B类：172.16.0.0--172.31.255.255●C类：192.168.0.0--192.168.255.255NAT技术中有四个术语：InsideLocal：局域网内部主机的拥有的一个真实地址，一般来说是一个私有地址InsideGlobal：对于外部网络来说，局域网内部主机所表现的IP地址。OutsideLocal：外部网络主机的真实地址。OutsideGlobalo：对于内部网络来说，外部网络主机所表现的IP地址。静态NAT静态NAT使用本地地址与全局地址的一对一映射，这些映射保持不变。静态NAT对于必须具有一致的地址、可从Internet访问的Web服务器或主机特别有用。输入全局命令noipnatinsidesourcestatic可删除静态源地址转换。静态NAT命令格式：Router(config)#ipnatinsidesourcestaticlocal-ipglobal-ipRouter(config)#interfacetypenumberRouter(config-if)#ipnatinsideRouter(config)#interfacetypenumberRouter(config-if)#ipnatoutside参数说明：local-ip：要进行转换的内部私有网络地址。global-ip：可以用来转换的公有地址。ipnatinside：将该接口标记为与内部连接。ipnatoutside：将该接口标记为与外部连接。例如：在一个路由器上对服务器进行静态NAT配置如下：3网络工程实践教程---实验指南图4-1实验拓扑图Router(config)#ipnatinsidesourcestatic192.168.10.2172.1.10.1Router(config)#interfacef0/1Router(config-if)#ipnatinsideRouter(config)#interfaces0/0/0Router(config-if)#ipnatoutside查看NAT地址转换：Router#showipnattranslationsProInsideglobalInsidelocalOutsidelocalOutsideglobal---172.1.10.1192.168.10.2------Router#在ISP上验证：ISP#ping172.1.10.14网络工程实践教程---实验指南Typeescapesequencetoabort.Sending5,100-byteICMPEchosto172.1.10.1,timeoutis2seconds:!!!!!Successrateis100percent(5/5),round-tripmin/avg/max=62/62/63msISP#通过showipnattranslations命令可以显示地址转换表，在表中多了一条“172.1.10.1192.168.10.2”,“172.1.10.1”是内部全局公有地址，“192.168.10.2”是内部私有地址。动态NAT动态NAT不是创建到单一IP地址的静态映射，而是使用内部全局地址池。要配置动态NAT，需要创建一个ACL以仅允许那些需要转换的地址。输入全局命令noaccess-listaccess-list-number可删除访问列表。输入全局命令noipnatinsidesource可删除动态源地址转换。动态态NAT命令格式：Router(config)#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]Router(config)#ipnatinsidesourcelistaccess-list-numberpoolnameRouter(config)#interfacetypenumberRouter(config-if)#ipnatinsideRouter(config)#interfacetypenumberRouter(config-if)#ipnatoutside参数说明：name：地址池的名字start-ip：地址池中可用的最小的IP地址。end-ip：地址池中可用的最小的IP地址。netmask：网络掩码。prefix-length：地址池的长度。source：允许被转换的私有地址。local-ip：要进行转换的内部私有网络地址。global-ip：可以用来转换的公有地址。5网络工程实践教程---实验指南ipnatinside：将该接口标记为与内部连接。ipnatoutside：将该接口标记为与外部连接。例如：在图4-1的拓扑图的路由器上对内部私有网络进行动态NAT配置如下：Router(config)#ipnatpooldtnp172.1.10.2172.1.10.7netmask255.255.255.248Router(config)#access-list11permit192.168.1.00.0.0.255Router(config)#ipnatinsidesourcelist11pooldtnpRouter(config)#interfacef0/0Router(config-if)#ipnatinsideRouter(config)#interfaces0/0Router(config-if)#ipnatoutside如果你在此时查看地址转换表时，你会发现转换表没有新的内容增加。这是因为你的内部主机暂时还没和外部联系。当我们在PC0上ping172.1.1.2后再看看地址转换表Router#showipnatProInsideglobalInsidelocalOutsidelocalOutsideglobalicmp172.1.10.2:5192.168.1.2:5172.1.1.2:5172.1.1.2:5icmp172.1.10.2:6192.168.1.2:6172.1.1.2:6172.1.1.2:6icmp172.1.10.2:7192.168.1.2:7172.1.1.2:7172.1.1.2:7icmp172.1.10.2:8192.168.1.2:8172.1.1.2:8172.1.1.2:8---172.1.10.1192.168.10.2------这时你会发现在IP地址后增加了一些数字，这些是TCP端口号。前面的Pro表示的是协议。172.1.1.2是外部网络。我们把192.168.1.2转换成172.1.10.2和外部通信了。此时保留了上次的静态NAT转换结果。如果过一段时间192.168.1.2不和172.1.1.2通信。这些条目就会被清除。这是因为：动态nat的ip是大家共用，要定时清理以供大家使用。静态NAT的条目不会被清除。即时重启路由还是会保留。PAT动态NAT不是创建到单一IP地址的静态映射，而是使用内部全局地址池。要配置动态NAT，需要创建一个ACL以仅允许那些需要转换的地址。输入全局命令noaccess-listaccess-list-number可删除访问列表。输入全局命令noipnatinsidesource可删除动态源地址转换。动态态NAT命令格式：Router(config)#ipnatpoolnamestart-ipend-ip{netmasknetmask|prefix-lengthprefix-length}Router(config)#access-listaccess-list-numberpermitsource[source-wildcard]6网络工程实践教程---实验指南Router(config)#ipnatinsidesourcelistacl-numberinterfaceinterfaceoverloadRouter(config)#interfacetypenumberRouter(config-if)#ipnatinsideRouter(config)#interfacetypenumberRouter(config-if)#ipnatoutside参数说明：Name：地址池的名字start-ip：地址池中可用的最小的IP地址。end-ip：地址池中可用的最小的IP地址。netmask：网络掩码。prefix-length：地址池的长度。Source：允许被转换的私有地址。local-ip：要进行转换的内部私有网络地址。global-ip：可以用来转换的公有地址。ipnatinside：将该接口标记为与内部连接。ipnatoutside：将该接口标记为与外部连接。例如：在图4-1的拓扑图的路由器上对内部私有网络进行动态NAT配置如下：Router(config)#ipnatpoolfynp172.1.10.2172.1.10.2netmask255.255.255.255Router(config)#access-list11permit192.168.1.00.0.0.255Router(config)#ipnatinsidesourcelist11poolfynpoverloadRouter(config)#interfacef0/0Router(config-if)#ipnatinsideRouter(config)#interfaces0/0Router(config-if)#ipnatoutside在上个实验的基础上做这个实验一定要先把list删掉或者noipnatinsidesourcelist11pooldtnp再noipnatpooldtnp172.1.10.2172.1.10.7netmask255.255.255.248。否则会出现：%Pooldtnpinuse,canno