NAT高级应用.pptVIP

NAT高级应用 NAT———网络地址翻译 随着Internet的飞速发展，网上丰富的资源产生着巨大的吸引力。 接入Internet成为当今信息业最为迫切的需求。 但这受到IP地址的许多限制。首先，许多局域网在未联入Internet之前，就已经运行许多年了，局域网上有了许多现成的资源和应用程序，但它的IP地址分配不符合Internet的国际标准，因而需要重新分配局域网的IP地址，这无疑是劳神费时的工作。 其二，随着Internet的膨胀式发展，其可用的IP地址越来越少，要想在ISP处申请一个新的IP地址已不是很容易的事了。 NAT（网络地址翻译）能解决不少令人头疼的问题。 它解决问题的办法是：在内部网络中使用内部地址，通过NAT把内部地址翻译成合法的IP地址，在Internet上使用。 其具体的做法是把IP包内的地址池（内部本地）用合法的IP地址段（内部全局）来替换。 NAT 功能 NAT 功能: 内部网络地址转换 复用内部的全局地址 TCP 负载均衡 解决网络地址重叠 TCP 负载均衡 一般的NAT都是将内部私有IP转换自己的公网IP，负载均衡是将一个公网IP翻译成多个内部私有IP。 例如内部的www负载重时可做多台服务器，有自己的私有IP，但对外映射成为一个统一的IP地址，对外部来讲多台服务器是捆绑在一起的一个虚拟服务器，外部访问这个虚拟服务器时，轮流指向各台服务器，从而达到负载均衡。 TCP 负载均衡：用于将一台虚拟的主机映射到几台真实的主机上。(如下图) TCP 负载均衡 工作原理：外部主机向虚拟主机（定义为内部全局地址）通讯，NAT router接受外部主机的请求并依据NAT表建立与内部主机的连接，把内部全局地址（目的地址）翻译成内部局部地址，并转发数据包到内部主机，内部主机接受包并作出响应。NAT router再使用内部局部地址和端口查询数据表，根据查询到的外部地址和端口做出响应。 此时，如果同一主机再做第二个连接，NAT router将根据NAT表将建立与另一虚拟主机的连接，并转发数据。 当Internet主机访问本地网络的若干真实主机时候，可以都访问同一个虚拟的主机地址，配置虚拟主机地址和若干真实主机地址间的转换也是NAT的一种应用，定义的真实主机地址池称为反向地址池，在命令行中要使用关键字type rotary。 配置思路：在路由器广域网口配置虚拟主机IP地址，在以太网口配置与真实主机同一网段的IP地址（注意这时路由器的广域网口和以太网口地址在同一网段，是一个特例）。在图中1～5的数据包传送过程中，虚拟地址和真实地址首先是作为目标地址并转换，所以命令行中要使用destination。相关配置如下： 当网络中的主机A,B和C向虚拟主机发起访问请求时，NAT使用轮询机制分别依次把请求发往真实,和。比如如果某Web站点主机的负载过重，就可把该站点安装于多台主机之上，使用上面的配置实现负载均衡。这种方法的缺点是当某真实主机Down机后，访问请求仍将向其发送，引起访问故障。 重叠地址是指在内部网络的局部地址使用了合法IP地址（即前面提到的例外情况），而这些合法地址又在外部网络如Internet上被使用。这种情况下如果内部网络的主机要访问Internet上使用同样地址（全局地址）或网段的主机，那么应该配置该外部主机或主机所在网络的全局地址转换成其局部地址 这种方法主要用于两个intranet的互连，同样给我们处理两个重叠网络提供了方法。它的实现要求DNS server的支持（用于区别两个不同的主机）。 1，主机A要求向主机C建立连接，先向DNS server做地址查询。 2，NAT router截获DNS的响应，如果地址有重叠，将翻译返回的地址。它将创建一个simply entry把重叠的外部全局地址（目的地址）翻译成外部局部地址。 3，路由器转发DNS响应到主机A，它已经把主机C的地址（外部全局地址）翻译成外部局部地址。 4，当路由器接受到主机C的数据包时，它将建立内部局部、全局，外部全局、局部地址间的转换，主机A将由内部局部地址（源地址）翻译成内部全局地址，主机C将由外部全局地址（目的地址）翻译成外部局部地址。 5，主机C接受数据包并继续通讯。 配置如下： router(config)#ip nat inside source static //注意局部地址在前全局地址在后 router(config)#ip nat outside source static //注意全局地址在前局部地址在后 router(config)＃interface s 0/0 router(config-if)＃?ip address 52 router(config)＃ip nat outsid