DCN-ROUTE-004-NAT网络地址转换.pptx

NAT-网络地址转换客服中心技术团队2012-11-10目录NAT概述NAT术语NAT原理及规则实验案例小结NAT配置可选参数NAT概述按照目前Internet网络迅猛发展的速度，IPv4的地址将消耗殆尽。目前IPv6(IPng)的推广和部署受到一定的阻力，无法在短时间内完成网络从IPv4到IPv6的过渡。目前解决IP地址短缺的有效方法：NAT和CIDRNAT概述NAT(Network Address Translator)网络地址转换，即改变IP报文中的源或目的地址的一种处理方式；使一个局域网中的多台主机使用少数的合法地址访问外部资源，也可以按照要求设定内部的WWW、FTP、TELNET的服务提供给外部网络使用；有效的隐藏了内部局域网的主机IP地址，起到了安全保护的作用。NAT概述使用NAT的优点：节省IP地址，减少费用减少地址冲突安全性高NAT概述使用NAT的缺点：延时大对数据报跟踪比较困难会影响别的应用正常工作NAT概述NAT有以下几种应用:M-1 : 内部网多个地址翻译到一个IP地址。1-1: 简单的一对一地址翻译。M-N : 内部网多个地址翻译到地址池中的多个IP地址。NAT术语公有地址和私有地址 私有地址是指内部网络(局域网内部)的主机地址，而公有地址是局域网的外部地址（在因特网上的全球唯一的IP地址）。因特网地址分配组织规定以下的三个网络地址保留用做私有地址： - 55 - 55 - 55 NAT术语NAT术语 内部局部地址（inside local）：在内部网络上一个主机被管理员自行指定的IP地址。这个地址不是网络信息中心(NIC)或服务提供商所分配的合法IP地址，如果与外部网络通信需要进行地址转换。 内部全局地址（inside global）：一个合法的可被公网路由器路由的IP地址(由NIC或服务供应商分配)，向外部网络描述一个或多个本地IP地址。NAT术语 外部局部地址（outside local）：被内部网络主机看到的一个外部主机的IP地址。它不一定是合法地址，可以在内部网络中从可路由的地址空间进行分配，只要内部网络可以对这个地址空间进行路由。 外部全局地址（outside global）：分配给外部网络主机的可被公网路由器路由的IP地址。该地址可以从全局可路由地址或网络空间进行分配。NAT术语访问列表指定了翻译对象的集合。是对翻译对象的限制。只有符合访问列表的对象才能被翻译。如果是内部源地址翻译，则指明可以上网的内部地址集合。如果是内部目的地址翻译，则指明了可提供服务的内部主机集合的外部可见地址。NAT术语地址池地址池是由一些外部地址（全球唯一的IP地址）组合而成的，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换达到外部网络时，将会选择地址池中的某个地址作为转换后的源地址，这样可以有效利用用户的外部地址，提高内部网络访问外部网络的能力。NAT术语生存时间（TTL）每一个NAT的连接都记录着一个生存时间TTL，用于维护连接的有效性。TTL在连接建立时被赋初值，有相关报文流经时被复位，计时器到时被递减。当TTL减到0时，连接将被删除。NAT原理及规则静态翻译指定了翻译的确切对象和目标，翻译前与翻译后的IP地址是指定了的单一IP地址，或按照某一简单法则建立的一一对应关系 。具体的可以分为3种：静态单个地址翻译规则静态网段地址翻译规则静态TCP/UDP翻译规则NAT原理及规则动态翻译具有某些不确定性：如基于PAT翻译的TCP/UDP的端口具有不确定性，基于地址池的可能随机选择地址池中的某一IP地址。常见选择方式如下：基于可提供的公网地址的数目的多少而选择。当公网地址足够多时，可采用地址池的翻译方式。当公网地址足够少（如1个），则采用基于接口的翻译方式。NAT原理及规则对于静态翻译规则，翻译的对象与目标是固定的，故连接的方向是可以不受限制。一旦把这个规则配置了，那么就会产生一条固定nat的转换条目，并且一直有效。没有什么触发方向，既支持内部到外部的连接，也支持外部到内部的连接。对于动态翻译来说，配置了规则之后，并不马上生成nat转换条目。直到有符合转换规则的数据包来触发路由器的nat操作后，才会生成一条nat转换条目，该条目有一定的生存时间，过了生存时间后，该条目会被清除掉。翻译时的对象与目标具有不确定性，不正确的方向可能导致无法正确选择翻译目标。NAT原理及规则NAT的处理流程:1.即时报文处理。2.定时对连接进行有效性检查3.触发事件处理NAT配置要素动态NAT 1、定义访问列表 2、定义地址池（可用外网接口地址代替） 3、指定内网口和外网口 4、定义转换规则静态NAT 1、指定内网口和外网口 2、定义转换规则实验1.PAT-端