NP_12网络地址转换NAT

hhy980344@163.com智能与网络化控制技术研究室第十二章网络地址转换（NAT）交换今日汗水，路由明朝辉煌hhy980344@163.com智能与网络化控制技术研究室教学目标•掌握网络地址转换（NAT）的概念•掌握NAT的类型及应用场合•掌握NAT工作原理及配置方法hhy980344@163.com智能与网络化控制技术研究室本章内容•NAT概述•NAT配置与调试•NAT的功能hhy980344@163.com智能与网络化控制技术研究室课程议题NAT概述hhy980344@163.com智能与网络化控制技术研究室NAT概念•地址空间不足带来的问题•注册IP地址空间将要耗尽，而Internet的规模仍在持续增长•随着Internet的增长，骨干互联网路由选择表中的IP路由条目也在增加，这引发了路由选择算法的扩展问题hhy980344@163.com智能与网络化控制技术研究室NAT概念•网络地址转换NAT（NetworkAddressTranslation）•NAT是一种大型网络中节约注册IP地址数量，并简化IP寻址管理任务的机制。NAT已经标准化并在RFC1613中描述•它是一个IETF(InternetEngineeringTaskForce,Internet工程任务组)标准，允许一个整体机构以一个公用IP地址出现在Internet上•它是一种把内部私有网络地址翻译成合法公网IP地址的技术hhy980344@163.com智能与网络化控制技术研究室什么时候使用NAT•局域网与Internet互联时，需要使用NAT技术hhy980344@163.com智能与网络化控制技术研究室常见实现方式•代理服务器•proxy、ISA、ICS、wingate、sysgate等•NAT/NAPT(网络地址转换/网络地址端口转换)•路由器、防火墙、核心交换机、服务器hhy980344@163.com智能与网络化控制技术研究室NAT/NAPT带来的好处•解决地址空间不足的问题；•IPv4的空间已经严重不足•私有IP地址网络与公网互联；•10.0.0.0/8，172.16.0.0/12，192.168.0.0/16•非注册IP地址网络与公网互联；•建网时分配了全局IP地址－但没注册•网络改造中，避免更改地址带来的风险hhy980344@163.com智能与网络化控制技术研究室什么是NAT/NAPT•概念：•NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为•NAT的类型•NAT（NetworkAddressTranslation）转换后，一个本地IP地址对应一个全局IP地址•NAPT（NetworkAddressPortTranslation）转换后，多个本地地址对应一个全局IP地址hhy980344@163.com智能与网络化控制技术研究室NAT/NAPT的术语•Inside：表示内部网络，这些网络的地址需要被转换。在内部网络，每台主机都分配一个内部IP地址，但与外部网络通讯时，又表现为另外一个地址。每台主机的前一个地址又称为本地地址，后一个地址又称为全局地址。•Outside：指内部网络需要连接的网络，一般指互联网，也可以是另外一个机构的网络。外部的地址也可以被转换，外部主机也同时具有内部地址和外部地址。互联网OutsideInside企业内部网外部网hhy980344@163.com智能与网络化控制技术研究室NAT/NAPT的术语•内部本地地址（InsideLocalAddress）分配给内部网络主机的IP地址，可能是非法的未向相关机构注册的IP地址，也可能是合法的私有网络地址。•内部全局地址（InsideGlobalAddress）合法的全局可路由地址，在外部网络代表着一个或多个内部本地地址。•外部本地地址（OutsideLocalAddress）外部网络的主机在内部网络中表现的IP地址，该地址是内部可路由地址，往往是一个公网地址。•外部全局地址（OutsideGlobalAddress）外部网络分配给外部主机的IP地址，可能是一个私网地址hhy980344@163.com智能与网络化控制技术研究室课程议题NAT配置与调试hhy980344@163.com智能与网络化控制技术研究室NAT分类•根据NAT的映射方式可分为：•静态NAT：手动建立一个内部IP地址到一个外部IP地址的映射关系•该方式经常用于企业网的内部设备需要能够被外部网络访问到的场合•动态NAT：将一个内部IP地址转换为一组外部IP地址（地址池）中的一个IP地址•常用于整个公司共用多个公网IP地址访问Internet时hhy980344@163.com智能与网络化控制技术研究室NAT分类•超载（Overloading）NAT：动态NAT的一种特殊形式，利用不同端口号将多个内部IP地址转换为一个外部IP地址，也称为PAT、NAPT或端口复用NAT。用于整个公司共用1个公网IP地址访问Internet时•重叠（Overlapping）NAT：当在内部网络中使用的IP地址是其他网络中已经使用的ip时，NAT路由器就需要维护一张查找表，以便用唯一的IP地址来替换这些重复的IP地址。NAT路由器不但要将这些内部IP地址转换为一个唯一的地址，而且将外部地址转换为外部一个唯一的地址。hhy980344@163.com智能与网络化控制技术研究室静态与动态NAT•静态NAT•需要向外网络提供信息服务的主机•永久的一对一IP地址映射关系•动态NAT•只访问外网服务，不提供信息服务的主机•内部主机数可以大于全局IP地址数•最多访问外网主机数决定于全局IP地址数•临时的一对一IP地址映射关系hhy980344@163.com智能与网络化控制技术研究室NAT示例内部本地地址内部全局地址192.168.12.2200.168.12.2192.168.12.0/24192.168.12.2192.168.12.1168.168.12.1InsideOutside源地址：192.168.12.2目的地址：168.168.12.1源地址：200.168.12.2目的地址：168.168.12.1源地址：168.168.12.1目的地址：200.168.12.2源地址：168.168.12.1目的地址：192.168.12.2hhy980344@163.com智能与网络化控制技术研究室配置静态NAT•建立静态的映射关系Router(config)#ipnatinsidesourcestaticlocal-addressglobal-address•定义内网接口和外网接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinsideRouter(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatoutsidehhy980344@163.com智能与网络化控制技术研究室示例192.168.12.2F1/0192.168.12.1InsideOutsideS1/2200.168.12.1内部本地地址内部全局地址192.168.12.2200.168.12.2Router(config)#ipnatinsidesourcestatic192.168.12.2200.168.12.2Router(config)#interfacefastEthernet1/0Router(config-if)#ipnatinsideRouter(config)#interfaceserial1/2Router(config-if)#ipnatoutsidehhy980344@163.com智能与网络化控制技术研究室配置动态NAT•定义内网接口和外网接口Router(config-if)#ipnatoutsideRouter(config-if)#ipnatinside•定义内部本地地址范围，只有匹配该列表才转换Router(config)#access-listaccess-list-numberpermitip-addresswildcard•定义内部全局地址池Red-Giant(config)#ipnatpooladdress-poolstart-addressend-address{netmaskmask|prefix-lengthprefix-length}•建立映射关系Router(config)#ipnatinsidesourcelistaccess-list-numberpooladdress-poolhhy980344@163.com智能与网络化控制技术研究室示例interfaceFastEthernet1/0ipaddress192.168.12.1255.255.255.0ipnatinside!interfaceSerial1/2ipaddress200.168.12.1255.255.255.0encapsulationpppipnatoutside!ipnatpoolnet200200.168.12.2200.168.12.100netmask255.255.255.0ipnatinsidesourcelist1poolnet200access-list1permit192.168.12.00.0.0.255hhy980344@163.com智能与网络化控制技术研究室NAPT配置•传统的NAT一般是指一对一的地址映射，不能同时满足所有的内部网络主机与外部网络通讯的需要。•使用NAPT，可以将多个内部本地地址映射到一个内部全局地址，路由器用“内部全局地址+TCP/UDP端口号”来对应“一个内部主机地址+TCP/UDP端口号”。•当进行NAPT转换时，路由器需要维护足够的信息（比如IP地址、TCP/UDP端口号）才能将全局地址转换回内部本地地址，目前RGNOS的NAT缺省就是支持NAPT转换的。hhy980344@163.com智能与网络化控制技术研究室静态与动态NAPT•静态NAPT•需要向外网络提供信息服务的主机•永久的一对一“IP地址+端口”映射关系•动态NAPT•只访问外网服务，不提供信息服务的主机•临时的一对一“IP地址+端口”映射关系hhy980344@163.com智能与网络化控制技术研究室NAPT工作原理源IP:192.168.1.7:1024目的IP:63.5.8.1:80内部本地地址：端口内部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:200.8.7.3:1024200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7Web服务源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:192.168.1.7:1024源IP:63.5.8.1:80目的IP:192.168.1.7:1024hhy980344@163.com智能与网络化控制技术研究室配置静态NAPT•定义全局IP地址池Router(config)#ipnatinsidesourcestatic{UDP|TCP}local-addressportglobal-addressport•定义内网接口和外网接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ipnatinsideRouter(config)#interfaceinterface-typeinterface-numberR