ASANAT介绍总结.pptVIP

? 2007 Ruijin Tech, Inc. All rights reserved. Ruijin Confidential Presentation_ID * ? 2007 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID * NETWORK ADDRESS TRANSLATION(NAT) -----Works on the ASA version：9.1 NAT由来及功能 随着互联网的普及，IPV4地址变得越发稀缺，所以RFC1918定义了一组专用地址，也就是我们常说的私有地址，这组地址可以被重复使用在任何一个地方，但是这组地址是不能通告在公用网络中，所以在出口必须有一个或多个公用地址，也就是唯一的地址，那么这组私有地址怎么和外界通讯呢？ Nat最主要的功能就是把内部私有地址转换为外部公有地址，进而实现通讯。 Nat的其他功能： 安全 -内部地址隐藏，外部无法直接攻击 IP可路由 -nat为全球唯一地址则可路由 灵活 -内部可随意更改地址，外部路由表不会变化 IPV4转IPV6 -nat可实现IPV4、IPV6间相互转换 NAT 术语 实际地址：转换前地址 转换内部地址为外部地址则表示内部地址 转换外部地址为内部地址则表示外部地址 映射地址：转换后地址，与实际地址对应 双向发起：静态nat允许双向发起连接 源nat： 转换数据包中的原IP地址 目的nat： 转换数据包中的目的IP地址 NAT 类型概述 静态NAT：实际IP地址和映射IP地址一一转换,双向可发起 动态NAT：将一组实际地址映射到一组映射地址池中，只能由实际主机地 址方发起 动态PAT： 将一组实际地址映射到一个映射地址中，用端口号加以区分 身份NAT：在某个大的规则下，可将某个地址装换为本身地址，多用于 VPN环境 静态NAT --标准静态nat 实际地址到映射地址的固定转换，每个链接都相同，所以允许双向连接（可禁用）。 如图所示： 10.1.1.1 转 209.165.201.1 10.1.1.2 转 209.165.201.2 静态NAT --静态端口nat 带端口地址转换的静态端口 面向非标准端口的带端口转换的静态端口 实际地址映射到一个接口地址/端口组合，可以实现telnet重定向 如果内部网络服务器使用端口8080，外部允许用户连接80 静态NAT --一对多静态nat 单一实际地址对应多个映射地址，实际主机发起流量时，使用第一个映射地址，外部发起流量到本地主机时，可以发起到任何映射地址的流量，皆可转换到本地实际地址。 如图所示： 多个外部地址对应一个 内部地址 10.1.2.27 静态NAT --配置实例 配置静态NAT 静态NAT --配置实例 配置一对多静态nat 静态NAT --带端口的静态配置 动态NAT --简介 可将多个内部地址映射到一个地址池中，这个地址池中存在多个映射地址，一般少于实际地址组的地址。地址分配随机并不保存，转换仅在连接期发生，转换超时后，给定用户不保存同一IP,所以只能由内部发起连接。 如图所示： 单向箭头代表外部无法发起连接 因为远程主机发起的连接，地址不可预测。 动态NAT --优缺点 缺点： 映射地址池中地址可能耗尽 可路由地址可能较少 优点：因为某些协议不支持pat，所以不得不使用动态nat 不支持pat的情况： 没有超载端口的IP协议，例如GRE 0 某些多媒体应用，一个端口有数据流，一个端口有控制路径，并且不是开放标准。