地址转换—中nat.pptVIP

1 地址转换—NAT 地址转换概述 地址转换的提出背景 地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机，可是不能保证每台主机都拥有合法的IP地址，为了到达所有的内部主机都可以连接Internet网络的目的，可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机，因此同时是一种有效的网络安全保护技术。 同时地址转换可以按照用户的需要，在内部局域网内部提供给外部FTP、WWW、Telnet服务。 私有地址和公有地址 地址转换的原理 地址转换的原理 地址转换的原理 地址转换实现的功能 地址转换实现的功能 NAPT——网络地址端口转换 NAPT——网络地址端口转换 地址转换的原理 内部服务器 内部服务器的应用 Easy IP特性 Easy IP：在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。 使用地址池进行地址转换 地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合，利用不超过32字节的字符串标识。 地址池可以支持更多的局域网用户同时上Internet。 利用ACL控制地址转换 可以使用访问控制列表来决定那些主机可以访问Internet，那些不能。 NAT（内网－外网〕实现流程 NAT（外网－内网〕实现流程 NAT 配置 NAT 配置 配置地址转换 配置地址转换—Easy IP 配置地址转换—配置一对一地址转换 配置地址转换—配置多对多地址转换 配置地址转换—配置NAPT 配置地址转换—配置内部服务器 配置地址转换—配置内部服务器 NAT 配置举例 NAT 配置举例 NAT 配置举例 NAT 配置举例 3. 配置步骤 # 配置地址池和访问控制列表。 [Quidway] nat address-group 1 00 05 [Quidway] acl number 2001 [Quidway-acl-basic-2001] rule permit source 55 [Quidway-acl-basic-2001] rule deny source 55 [Quidway-acl-basic-2001] quit # 允许/24 网段地址转换。 [Quidway] interface Serial3/0/0 [Quidway-Serial3/0/0] nat outbound 2001 address-group 1 * 辽东学院信息技术学院 厉 鹏 如RFC1631 所描述，NAT（Network Address Translation，地址转换）是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中，NAT 主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP 地址代表多数的私有IP 地址的方式将有助于减缓可用IP 地址空间枯竭的速度。 Internet LAN1 LAN2 LAN3 私有地址范围： - 55 - 55 - 55 私有地址是指内部网络或主机地址，公有地址是指在因特网上全球唯一的IP 地址。上述三个范围内的地址不会在因特网上被分配，因而可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。 上述的NAT 过程对终端（如图中的PC 和服务器）来说是透明的。对外部服务器而言，它认为内部PC 的IP 地址就是，并不知道有 这个地址。因此， NAT“隐藏”了企业的私有网络。地址转换的优点在于，为内部主机提供了“隐私”（Privacy）保护前提下，实现了内部网络的主机通过该功能访问外部网络资源。 但它也有一些缺点： 由于需要对数据报文进行IP 地址的转换，涉及IP 地址的数据报的报头不能被加密。在应用协议中，如果报文中有地址或端口需要转换，则报文不能被加密。例如，不能使用加密的FTP 连接，否则FTP 的port 命令不能被正确转换。 网络调试变得更加困难。比如，某一台内部网络的主机试图攻击其它网络，则很难指出究竟是哪一台机器是恶意的，因为主机的IP 地址被屏蔽了。 在链路的带宽低于10Mbit/s 速率时，地址转换对网络性能基本不构成影响，此时，网络传输的瓶颈在传输线路上；当速率高于10Mbit/s 时，地址转换将对路由器性能产生一些影响。 从上图的地址转换过程可见，当内部网络访问外部网络时，地址转换将会选择一个合适的外部地址，替代内部网络数据报文的源地址。上图中是选择NAT 服务器出接口的IP 地址（公有地址）。这样所有内部网络的主机访问外部网络时，只能拥有一个外部的IP 地址，因此，这种情况只允许最多有一台内部主机访问外部网络，这称为“一对一地址转换”。当内部网络的主机并发的要求访问外部网络时，“一对一