NAT配置培训讲义.pptVIP

网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 网络安全技术及应用 * 学习任务 任务2-7-1：静态NAT配置 任务2-7-2：动态NAT配置 任务2-7-3：PAT配置 问题： 1、什么NAT? 2、NAT 有几种类型？它们是如何工作的？ 什么NAT? 公用和私有IP编址 所有公有 Internet 地址都必须在所属地域的相应 Internet 注册管理机构 (RIR) 注册。 与公有 IP 地址不同，私有 IP 地址是保留的数值块，任何人均可以使用。 NAT 就像大办公室中的前台接线员。 NAT 最主要的用途是让网络能使用私有 IP 地址以节省 IP 地址。NAT 将不可路由的私有内部地址转换成可路由的公有地址。NAT 还能在一定程度上增加网络的私密性和安全性，它对外络隐藏了内部 IP 地址。 R2 执行 NAT 过程，将主机的内部私有地址转换为公有、外部、可路由的地址。 什么NAT? 内部本地地址 —私有地址。 内部全局地址 — 当内部主机流量流出 NAT 路由器时分配给内部主机的有效公有地址。当来自 PC1 的流量发往 Web 服务器 209.165.201.1 时，路由器 R2 必须进行地址转换。本例中，209.165.200.226。 外部全局地址 — 分配给 Internet 上主机的可达 IP 地址。例如，Web 服务器的可达 IP 地址为 209.165.201.1。 外部本地地址 — 分配给外部网络上主机的本地 IP 地址。大多数情况下，此地址与外部设备的外部全局地址相同。 什么NAT? NAT 如何工作？ 内部主机 (192.168.10.10) 希望与外部 Web 服务器 (209.165.201.1) 通信。它发送数据包给配置了 NAT 的网络边界网关 R2。 R2 读取数据包的目的 IP 地址，并检查数据包是否符合规定的转换标准 R2 有一个 ACL，它确定内部网络中可进行转换的有效主机。因此，R2 将内部本地 IP 地址转换成内部全局 IP 地址，本例中为 209.165.200.226。它将此本地与全局地址映射关系存储在 NAT 表中。 NAT 如何工作？ 路由器将数据包发送到目的地。 NAT 如何工作？ NAT 如何工作？ 当 Web 服务器回应时，数据包回到 R2 的全局地址 (209.165.200.226)。 NAT 如何工作？ R2 参考 NAT 表，发现这是原先转换的 IP 地址。因此，它将内部全局地址转换成内部本地地址，然后将数据包转发给 IP 地址为 192.168.10.10 的 PC1。 如果它没有找到映射关系，数据包将被丢弃。 NAT 转换的类型 动态 NAT：使用公有地址池，并以先到先得的原则分配这些地址。当具有私有 IP 地址的主机请求访问 Internet 时，动态 NAT 从地址池中选择一个未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。 静态 NAT ：使用本地地址与全局地址的一对一映射，这些映射保持不变。静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或主机特别有用。这些内部主机可能是企业服务器或网络设备。 NAT 过载 NAT 过载（有时称为端口地址转换或 PAT）将多个私有 IP 地址映射到一个或少数几个公有 IP 地址。因为每个私有地址也会用端口号加以跟踪。 大多数家用路由器就是这样工作的。 当 NAT 处理各数据包时，它使用端口号（本例中为 1331 和 1555）来识别发起数据包的客户端。 NAT 过载将 SA 变成客户端的内部全局 IP 地址，同样会附加端口号。 NAT 过载 下一可用端口 NAT 过载会尝试保留源端口号。 下一可用端口 但是，如果此源端口已被使用，NAT 过载会从适当的端口组 0-511、512-1023 或 1024-65535 开始分配第一个可用端口号。当没有端口可用时，如果配置了一个以上的外部 IP 地址，则 NAT 过载将会使用下一 IP 地