NAT技术及应用第7单元.pptVIP

NAT技术及应用 第7单元 什么叫NAT NAT（网络地址转换）是用于将一个地址域（如：内网）映射到另一个地址域（如：Internet）的标准方法。NAT允许一个机构专用Intranet中的主机透明地连接到公共域中的主机，无需内部主机拥有注册的（以及越来越缺乏的）Internet地址。 Internet工程任务组意识到目前地址空间（即所谓的IPv4）即将会耗尽已经有近十年时间了。尽管即将出现的IPv6被视作为解决Internet不断发展的长期解决方案，但是在过去几年中还提出了如NAT类的一些短期解决方案。 NAT的实现过程 通常在一个firewall或者router上配置NAT。firewall或router至少有两个NIC，一个接Internet，为合法IP，一个接LAN，为保留IP。 LAN的用户的defualt gateway指向NAT的内部(LAN）接口，所有从LAN通过路由器或防火墙出去的包在NAT处会进行一个转换，通常会把这些包的源IP地址转换成NAT的外部接口的合法I P地址，同时NAT在自己的连接表中添加一条记录，以便这个包的应答包回来时知道应该送到哪里。 改了源IP地址的包送到Internet，他的应答包肯定能够回到NAT的外部接口，NAT接到应答包后，通过查看自己的连接表的记录，更改应答包的目标I P，然后送到发出请求的工作站。 NAT技术的类型 NAT技术有三种类型： 静态NAT(Static NAT) 动态地址NAT(Pooled NAT) 网络地址端口转换PAT（Port addressTranslation）。 NAT技术的类型 静态NAT：它将一个内部本地的IP地址转换成为惟一的内部全局地址，即私有地址和合法地址之间的静态一一映射。这种转换通常用在内部网上的主机需要对外提供服务(如Web、E-mail服务等)的情况下。 NAT技术的类型 动态NAT：则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。动态NAT只是转换IP地址，它为每一个内部的IP地址分配一个临时的外部IP地址。当远程用户联接上之后，动态地址NAT就会分配给他一个IP地址，用户断开时，这个IP地址就会被释放而留待以后使用。 值得注意的是，当NAT池中的全局地址被全部占用以后，以后的地址转换的申请会被拒绝。这样会造成网络连通性的问题。所以应该使用超时操作选项来回收NAT池的全局地址。另外，由于每次的地址转换是动态的，所以同一个节点在不同的连接中的全局地址是不同的 NAT技术的类型 PAT（网络地址端口转换）：Cisco路由器可以把内部全局地址进行复用性的转换，从而实现内部本地地址对内部全局地址的多对一的映射。地址复用被启用时，路由器在高层协议(如TCP或UDP端口号)维持有关的信息，将全局地址转换为本地地址。当多个内部本地地址映射到同一个全局地址时，端口号将用来区别不同的本地地址。复用内部全局地址的技术也被称为PAT(Port AddressTranslation端口地址转换)。 静态NAT的配置 命令格式Ip nat inside source static local-ip global-ip 其中，local-ip指定内部网络中的私用IP； global-ip指定一个内部全局地址，该地址是全球唯一合法地址。 静态NAT的配置 案例： 当外出的数据包到达边缘网关时，从NAT表中查找相应的静态转换条目，检索出对应的全局地址，并替换数据包中的源地址（内部地址），而当外部的数据包要通过边缘网关的时候，目的地址（全局地址）被替换成相应的内部地址。配置内部本地地址到内部全局地址的映射 静态NAT的配置 ip nat inside source static 10.1.1.2 192.168.2.3 Ip nat inside source static 10.1.1.1 192.168.2.2 /*配置接口的IP地址，并在接口上启动NAT */ interface e0 /*连接内部网的接口，使用ip nat inside 定义*/ ip address 10.1.1.9 255.255.255.0 ip nat inside interface s0 /*连接外部公用网的接口，使用ip nat outside定义*/ ip address 172.16.2.1 255.255.255.0 ip nat outside 动态NAT的配置 命令格式 Ip nat pool pool-name start-ip end-ip {netmask netmask|prefix-length prefix-length} [type rotary] 配