第10章 多层交换网络安全技术-网络地址转换1010.pptVIP

第十章 多层交换网络安全技术 ----网络地址转换 浙江警官职业学院 高级交换技术 Advanced Switching Technology W W W . Z J J Y . C O M 浙江警官职业学院《高级交换技术》课程教学课件 网络迅速发展，IPv4地址不敷使用 IPv4地址分配不均 私有地址用户需要访问Internet NAT提供私有地址到公有地址的转换 引入 理解NAT技术出现的历史背景 理解NAT的分类及原理 配置常见NAT应用 处理常见NAT问题 在实际网络中灵活使用NAT技术 课程目标 学习完本课程，您应该能够： NAT概述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试 目录 公有地址和私有地址 公司A 10.0.0.0/8 公司B 10.0.0.0/8 公司C 10.0.0.0/8 私有地址范围： 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 Internet 任何组织都可以任意使用私有地址空间 私有地址在Internet上无法路由 如果采用私有地址的网络需要访问Internet，必须在出口处部署NAT设备 NAT组网和常用术语 私网 公网 10.0.0.1 HostA 10.0.0.254/24 198.76.28.1/24 HostB 10.0.0.2 Internet Server 198.76.29.4/24 地址池 198.76.28.11 198.76.28.12 …… 198.76.28.20 Internet NAT设备 NAT概述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试 目录 Basic NAT 10.0.0.1 HostA RTA 10.0.0.254/24 198.76.28.1/24 HostB 10.0.0.2 Internet Server 198.76.29.4/24 地址池 （198.76.28.11～20） Internet S=10.0.0.1 D=198.76.29.4 S=198.76.28..11 D=198.76.29.4 S=198.76.29.4 D=198.76.28.11 S=198.76.29.4 D=10.0.0.1 10.0.0.2 198.76.28.12 NAT table Inside Address 10.0.0.1 198.76.28.11 Global Address 1 2 3 4 6 5 配置Basic NAT 配置ACL 用于判断哪些数据包的地址应被转换 被ACL允许（permit）的报文将被进行NAT转换，被拒绝（deny）的报文将不会被转换 配置地址池 nat address-group group-number start-addr end-addr 配置地址转换 nat outbound acl-number address-group group-number no-pat Basic NAT配置示例 10.0.0.1 RTA 10.0.0.254/24 198.76.28.1/24 10.0.0.2 Internet Server Internet # 通过ACL定义一条rule，匹配源地址属于10.0.0.0/24网段的数据 [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 10.0.0.0 0.0.0.255 # 配置NAT地址池1用于地址转换的，地址池中的地址从198.76.28.11到198.76.28.20 [RTA]nat address-group 1 198.76.28.11 198.76.28.20 # 进入接口模式视图 [RTA]interface Ethernet0/1 # 将地址池1与acl 2000关联，并在接口出方向上应用NAT [RTA-Ethernet0/1]nat outbound 2000 address-group 1 no-pat Eth0/1 198.76.29.4/24 HostA HostB 地址池 （198.76.28.11～20） NAT概述 Basic NAT NAPT Easy IP NAT Server NAT ALG NAT的信息显示和调试 目录 NAPT NAT table S=10.0.0.1 P=1024 D=198.76.29.4 P=80 S=198.76.28..11 P=2001 D=198.7