NAT技术参考幻灯片.ppt

NAT/NPAT技术 * . 一、NAT概述 NAT是将一个IP地址转换为另一个IP地址的功能。 通常，一个局域网由于申请不到足够多的IP地址，或者只是为了编址方便，在局域网内部采用私有IP地址为设备编址，当设备访问外网时，再通过NAT将私有地址翻译为合法地址。 Internet 0 私有地址 注册地址 NAT网关 * . 局域网专用IP地址 局域网专用IP地址是Internet特别划分出来的，它们不会注册给任何组织。 IP地址范围 网络类型 网络个数 ~55 A 1 ~55 B 16 ~55 C 256 实际上，用户可以使用任意IP作为私有地址，但有可能导致某些外网的站点无法访问。 * . 使用私有地址的注意事项： 私有地址不需要经过注册就可以使用，这导致这些地址是不唯一的。所以私有地址只能限制在局域网内部使用，不能把它们路由到外网中去。 * . R1 E0 S0 192.168.*.* /24 /24 Internet R1是局域网和外网的边界路由器。局域网中使用私有IP地址进行编址。如果在R1上启用RIP协议，则： R1(config)# router rip R1(config-router)# network R1(config-router)# network × 这里不应该在私有地址上启用路由，它会导致私有地址被外网路由器学习到，扩大了它的有效范围。 * . NAT基本原理 当一个使用私有地址的数据包到达NAT设备时，NAT设备负责把私有IP地址翻译成外部合法IP地址，然后再转发数据包，反之亦然。 端口多路复用技术：NAT支持把多个私有IP地址映射为一个合法IP地址的技术，这时各个主机通过端口进行区分，这就是端口多路复用技术。 利用端口多路复用技术可节省合法IP地址的使用量，但会加大NAT设备的负担，影响其转发速度。 * . NAT4种地址类型 NAT Internet PC 目的IP= 源IP= 5 经过路由器后的包 目的IP=5 源IP= PC访问服务器的包 目的IP= 源IP=5 服务器返回PC的包 5 目的IP=5 源IP= 经过路由器后的包 转换 转换 内部 外部 内部局部地址 外部局部地址 外部全局地址 内部全局地址 * . Internet 外部主机B SA SA DA DA NAT NAT转换表 协议 内部用局部IP地址 内部用全局IP地址 外部用全局IP地址 TCP :23 1 2 3 4 5 静态转换 * . PAT Internet 外部主机B SA SA DA DA NAT NAT转换表 协议 内部用局部IP地址 内部用全局IP地址 外部用全局IP地址 TCP :1492 :1492 :23 TCP :1493 :1493 :80 1 2 3 4 5 * . NAT转换类型 1、静态NAT： 将内部地址和外部地址进行一对一的转换。这种方法要求申请到的合法IP地址足够多，可以与内部IP地址一一对应。 静态NAT一般用于那些需要固定的合法IP地址的主机，比如Web服务器、FTP服务器、E-mail服务器等。 * . 1、静态NAT： Internet SA SA 31 DA 31 DA NAT NAT转换表 协议 内部用局部IP地址 内部用全局IP地址 外部用全局IP地址 TCP 31 TCP 32 30 * . 2、NAT池（动态NAT）： 将多个合法IP地址统一的组织起来，构成一个IP地址池，当有主机需要访问外网时，就分配一个合法IP地址与内部地址进行转换，当主机用完后，就归还该地址。 对于NAT池，如果同时联网用户太多，可能出现地址耗尽的问题。 NAT池 * . 3、PAT（端口NAT）： 使用端口多路复用技术，将多个内部地址映射为一个合法地址，用不同的端口号区分各个内部地址。这种方法只需要一个合法IP地址。 路由器支持的PAT会话数是有限制的，所以使用PAT的局域网，其网络的规模不应该太大。 S0:/24 * . Internet SA SA 31 DA 31 DA NAT NAT转换表 协议 内部用局部IP地址 内部用全局IP地址 外部用全局IP地址 TCP :1028 31:1028 TCP :11212 31:11212 30 * * . 4、复用NAT池（复用动态NAT）： 将多个合法IP地址构成一个NAT池，使用复用技术映射其中的地址，每个地址有可以对应多台主机，各主机用端口进行区分。 复用NAT池是NAT池和PAT技术的结合，可用于大规模的局域网。 说明：在端口复用技术中，用端口区分的不是一台主机，而是一个网络连接（会话），当一台主机同时建立了多个会话时，它的每个会话会