网络地址转换的配置方法.ppt

 新疆轻工职业技术学院计算机工程系 0 NAT案例与用途 一、案例 问题1：企业不想让外部网络用户知道自己的网络内部结构，我们可以采用路由器将内网与外网隔离的方案，但如何才能保证内网用户正常访问外网资源？ 问题2：企业申请的公网 IP地址很少，而内部网络用户很多，如何才能使内网的每个用户都可以正常访问外网？ 二、技术路线 情况1：可以通过NAT将内部网络与外部Internet 隔离开，使外部用户根本不知道通过NAT设置的内部IP地址。 情况2：可以通过NAT功能实现多个用户同时公用一个合法IP与外部Internet 进行通信。 三、预备知识 9.1 NAT技术的概念和用途 9.2 NAT技术的应用 9.3 NAPT网络地址端口转换 9.4常规NAT操作和NAT的配置 9.5 NAPT的配置 1 NAT技术的概念和用途 NAT(Network Address Translation,网络地址转换 ) 在一个网络内部，根据需要可以随意自定义IP地址，而不需要经过申请。 允许专用网络上的多台 PC 使用的专用地址：~55，~55，~55。 在网络内部，各计算机间通过内部的IP地 址进行通讯。而当内部的计算机要与外部internet网络进行通讯时，具有NAT功能的设备（比如：路由器）负责将其内部的IP地址转换为合法的IP地 址（即经过申请的IP地址）进行通信。 一、设置NAT所需路由器的硬件配置和软件配置 NAT功能通常被集成到路由器、防火墙、ISDN路由器或者单独的NAT设备中。NAT设备维护一个状态表，用来把非法的IP地址映射到合法的IP地址上去。 设置NAT功能的路由器至少要有一个内部端口（Inside），一个外部端口（Outside）。内部端口连接的网络用户使用的是内部IP地址。 内部端口可以为任意一个路由器端口。外部端口连接的是外部的网络，如Internet 。外部端口可以为路由器上的任意端口。 设置NAT功能的路由器的IOS应支持NAT功能(本例所用路由器为Ｃisco2501，其IOS为11.2版本以上支持NAT功能)。 二、NAT示意图 三、NAT的地址 inside local(内部本地地址)：在自有网络中分配给私有主机的地址，一般情况下该地址是RFC1918中定义的私有地址。inside local地址的特点是只会出现在自有网络中并且一定是给私有主机使用的。 inside global(内部全局地址)：私有主机在非自有网络中使用的地址，通常情况下inside global地址是从合法的全球统一可寻址空间中分配的地址，也就是通常所说的共有IP。inside global地址的特点是只会出现在非自有网络中并且一定是给私有主机使用的。 outside local(外部本地地址)：非私有主机在自有网络内表现出来的IP地址。该地址是自有网络的管理员为本网络以外的设备所准备的用于在自有网络内使用的 IP地址。outside local地址的特点是只会出现在自有网络内，但是供给非私有主机使用的。 outside global(外部全局地址)：非私有主机在自有网络以外的区域使用的IP地址，是非私有主机所在网络的管理员负责管理分配的。outside global地址的特点是不会出现在自有网络中而且不是给私有主机使用，不归自有网络的管理员负责。 四、NAT地址转换示意图 五、NAT的类型 静态地址转换 动态地址转换 复用动态地址转换 2 NAT技术的应用 一、NAT工作过程 二、静态NAT转换 静态转换是最简单的一种转换方式，它在NAT表中为每一个需要转换的内部地址创建了固定的转换条目， 内部地址与全局地址一一对应。每当内部节点与外界通信时，内部地址就会转化为对应的全局地址。 当外出的数据包到达边缘网关时，从NAT表中查找相应的静态转换条目，检索出对应的全局地址，并替换数据包中的源地址(内部地址)，而当外部的数据包要通过边缘网关的时候，目的地址(全局地址)被替换成相应的内部地址。 二、静态NAT转换（续） 三、动态NAT转换 三、动态NAT转换（续1） 三、动态NAT转换（续2） 3 NAPT网络地址端口转换 NAPT转换 NAPT转换（续） 4 常规NAT操作和NAT的配置 静态地址转换适用的环境 静态地址转换将内部本地地址与内部合法地址进行一对一的转换，且需要指定和哪个合法地址进行转换。如果内部网络有E-mail服务器或FTP服务器等可以为外部用户提供的服务，这些服务器的IP地址必须采用静态地址转换，以便外部用户可