CCNA教程-第19章 NAT

第十九章网络地址翻译NAT本资料由-校园大学生创业网-提供在线代理提供部分资料减肥药排行榜提供部分资料2CisxoEducationSolutionNAT——网络地址翻译•随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力•接入Internet成为当今信息业最为迫切的需求•但这受到IP地址的许多限制•首先，许多局域网在未联入Internet之前，就已经运行许多年了，局域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是劳神费时的工作•其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要想在ISP处申请一个新的IP地址已不是很容易的事了3CisxoEducationSolution•NAT（网络地址翻译）能解决不少令人头疼的问题•它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用•其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换4CisxoEducationSolutionChapterActivitiesWindows95PCModemBranchofficeISDN/analogSmallofficeCentralsiteFrameRelayFrameRelayservicePRIBRIBRIFrameRelayAsyncAAAserverAsyncSA10.1.1.1InsideLocalIPAddress10.1.1.1InsideGlobalIPAddress166.1.1.1NATtablePAT5CisxoEducationSolution•NAT术语•NAT功能•NAT三种类型6CisxoEducationSolutionNAT术语InternetInside10.1.1.1InsideLocalIPAddress10.1.1.1SimpleNATtableInsideGlobalIPAddress166.1.1.110.1.1.2HostB172.20.7.3ACBABDSA10.1.1.1DA10.1.1.1SA166.1.1.1DA166.1.1.1DC7CisxoEducationSolution•内部本地地址:私有IP，不能直接用于互连网。•内部全局地址：用来代替内部本地IP地址的，对外，或在互联网上是合法的的IP地址。8CisxoEducationSolutionNAT功能InsideLocalIPAddress10.1.1.110.1.1.2NATtableInsideGlobalIPAddress196.168.2.2196.168.2.3•NAT功能:-内部网络地址转换-复用内部的全局地址-TCP负载均衡-解决网络地址重叠InternetInside10.1.1.110.1.1.29CisxoEducationSolution复用内部的全局地址•将一个内部全局地址用于同时代表多个内部局部地址。•主要用IP地址和端口号的组合来唯一区分各个内部主机。•目前在公司内普遍应用。（如下图）10CisxoEducationSolution复用内部的全局地址10.1.1.2:172310.1.1.1:1024NATtable196.168.2.2:1723196.168.2.2:1024TCPTCP10.1.1.3:1492196.168.2.2:1492TCPInternetInside10.1.1.1HostB179.20.7.313SA10.1.1.1DA10.1.1.1SA196.168.2.2DA196.168.2.210.1.1.210.1.1.3452HostC179.21.7.3DA196.168.2.24InsideGlobalIPAddress:PortProtocolInsideLocalIPAddress:Port10.1.1.111CisxoEducationSolutionTCP负载均衡•TCP负载均衡：用于将一台虚拟的主机映射到几台真实的主机上。(如下图)12CisxoEducationSolutionTCP负载均衡NATtableInsideGlobalIPAddress:Port10.1.1.127:8010.1.1.127:8010.1.1.127:80ProtocolTCPTCPTCPInsideLocalIPAddress:Port10.1.1.1:8010.1.1.2:8010.1.1.3:80InternetInside10.1.1.1HostB176.20.7.345SA10.1.1.1DA10.1.1.1SA10.1.1.127DA10.1.1.12710.1.1.210.1.1.1132HostC176.21.7.310.1.1.12710.1.1.3VirtualhostRealhosts13CisxoEducationSolutionNAT三种类型•NAT有三种类型：静态NAT（staticNAT）、NAT池（pooledNAT）和端口NAT（PAT）。•其中静态NAT设置起来最为简单，内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址,多用于服务器。•而NAT池则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络,多用于网络中的工作站。•PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。14CisxoEducationSolutionNAT静态映射实例•interfaceEthernet0•ipaddress172.16.1.1255.255.255.0•ipnatinside（指定内部接口）•!•interfaceSerial0•ipaddress200.1.1.1255.255.255.0•ipnatoutside（指定外部接口）•!•ipnatinsidesourcestatic172.16.1.3200.1.1.1•(建立两个IP地址之间的静态映射)•ipclassless•iproute0.0.0.00.0.0.0200.1.1.215CisxoEducationSolution•注意：•从外网到内网建立静态映射后，外网能PING通内部全局地址（200.1.1.1）,如果使用真实地址，则访问失败，这是因为从外网没有到达内网的路由存在！•Ping172.16.1.3……•Ping200.1.1.5!!!!!16CisxoEducationSolutionipnatpooldyn-nat192.16.2.1192.16.2.254netmask255.255.255.0ipnatinsidesourcelist1pooldyn-nat!interfaceEthernet0ipaddress10.1.1.1255.255.255.0ipnatinside!interfaceSerial0ipaddress192.16.2.1255.255.255.0ipnatoutside!access-list1permit10.1.1.00.0.0.255!动态NAT的配置Translatebetweeninsidehostsaddressedfrom10.1.1.0/24tothegloballyunique192.16.2.0/24network.Thisinterfaceconnectedtotheoutsideworld.Thisinterfaceconnectedtotheinsidenetwork.17CisxoEducationSolutionPAT的配置ipnatpoolovrld-nat192.16.2.1192.16.2.2netmask255.255.255.0ipnatinsidesourcelist1poolovrld-natoverload!interfaceEthernet0/0ipaddress10.1.1.1255.255.255.0ipnatinside!interfaceSerial0/0ipaddress192.16.2.1255.255.255.0ipnatoutside!access-list1permit10.1.1.00.0.0.25518CisxoEducationSolutionRouter#shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192.2.2.1:1100310.1.1.1:11003172.16.2.2:23172.16.2.2:23tcp192.2.2.1:106710.1.1.2:1067172.16.2.3:23172.16.2.3:23VerifyingNATAtranslationforaTelnetisstillactive.TwodifferentinsidehostsappearontheoutsidewithasingleIPaddress.BasicIPaddresstranslationUniqueTCPportnumbersareusedtodistinguishbetweenhosts.Router#showipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobal---192.2.2.110.1.1.1---------192.2.2.210.1.1.2------IPaddresstranslationwithoverloading19CisxoEducationSolutionRouter#debugipnatNAT:s=10.1.1.1-192.16.2.1,d=172.166.2.2[0]NAT*:s=172.166.2.2,d=192.16.2.1-10.1.1.1[0]NAT:s=10.1.1.1-192.16.2.1,d=172.166.2.2[1]NAT:s=10.1.1.1-192.16.2.1,d=172.166.2.2[2]NAT:s=10.1.1.1-192.16.2.1,d=172.166.2.2[3]NAT*:s=172.166.2.2,d=192.16.2.1-10.1.1.1[1]NAT:s=10.1.1.1-192.16.2.1,d=172.166.2.2[4]NAT:s=10.1.1.1-192.16.2.1,d=172.166.2.2[5]NAT:s=10.1.1.1-192.16.2.1,d=172.166.2.2[6]NAT*:s=172.166.2.2,d=192.16.2.1-10.1.1.1[2]TroubleshootingNATAnexampleaddresstranslationinside-to-outside.Areplytothepacketsent.AnexampleTCPconversation,inside-to-outside.*Indicatestranslationwasinthefastpath.20CisxoEducationSolutionClearingNATTranslationEntriesAllentriesarecleared.192.16.2.2iscleared.Router#shipnattransProInsideglobalInsidelocalOutsidelocalOutsideglobaltcp192.16.2.1:1100310.1.1.1:11003172.16.2.2:23172.16.2.2:23tcp192.16.2.1:106710.1.1.2:1067172.16.2.3:23172.16.2.3:23