RCCP0701--网络地址转换技术

• 清除状态命令
– clear ip nat translation * – clear ip nat translation outside local-address globaladdress – 更多的命令用 clear ip nat ?
课程回顾
• • • • 为什么需要 NAT程 NAT基本概念 NAT应用实例 NAT的监视和维护命令
– 定义接口连接外部网络
IP地址重叠的问题 IP地址重叠的问题
• 什么是IP地址重叠？
– 分配同样IP地址网络，需要实现互联互通 – 非注册IP地址网络，需要与互联网互联互通
• 重叠会引起什么后果？
– IP地址重叠的网络不能互通
• 普通的NAT能够解决吗?
– 不能！！
• 需要特殊功能的NAT
IP地址重叠处理 IP地址重叠处理
– 定义该接口连接内部网络
• Red-Giant(config)# interface interface-type interface-number • Red-Giant(config-if)#ip nat outside
– 定义接口连接外部网络
配置动态NAT 配置动态NAT
• Red-Giant(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}
– 定义接口连接外部网络
配置动态NAPT 配置动态NAPT
• Red-Giant(config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}
– 定义全局IP地址池，对于NAPT，一般就定义一个IP地址
Q&A
•
Red-Giant(config)#access-list access-list-number permit ip-address wildcard
– 定义访问列表，只有匹配该列表的地址才转换
•
Red-Giant(config)#ip nat inside sourcelist access-list-number pool address-pool [interface interface-type interface-number]} overload
– 定义接口连接外部网络
什么时候用NAPT 什么时候用NAPT
• 缺乏全局IP地址 • 甚至没有专门申请的全局IP地址，只有一个连 接ISP的全局IP地址 • 内部网要求上网的主机数很多 • 提高内网的安全性
静态与动态NAPT 静态与动态NAPT
• 静态NAPT
– 需要向外网络提供信息服务的主机 – 永久的一对一“IP地址 + 端口”映射关系
RCCP培训 RCCP培训 － 网络地址转换技术
议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
NAT/NAPT带来的好处 NAT/NAPT带来的好处
• 解决IPv4地址空间不足的问题； • 私有IP地址网络与公网互联；
– 10.0.0.0/8，172.16.0.0/12，192.168.0.0/16
NAT与TCP负载均衡 NAT与TCP负载均衡
• • • • • • 物美价廉的解决方案 多台主机分担同一个任务（如Telnet） NAT提供了一个虚拟的IP地址 客户端通过访问虚拟的IP访问服务 实际的主机IP可以采用私有IP地址 虚拟的IP地址需要采用注册全局IP地址
TCP负载均衡 TCP负载均衡
虚拟IP主机 可以是全局或私有IP
议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
NAT的监视和维护命令 NAT的监视和维护命令
• 显示命令
– show ip nat statistics – show ip nat translations [verbose]
– 定义内部源地址动态转换关系
• • • •
Red-Giant(config)# interface interface-type interface-number Red-Giant(config-if)#ip nat inside
– 定义该接口连接内部网络
Red-Giant(config)# interface interface-type interface-number Red-Giant(config-if)#ip nat outside
NAT转换地址后： 一个内部IP地址需要占用一个全局IP地址
静态与动态NAT 静态与动态NAT
• 静态NAT
– 需要向外网络提供信息服务的主机 – 永久的一对一IP地址映射关系
• 动态NAT
– – – – 只访问外网服务，不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP地址映射关系
• 非注册IP地址网络与公网互联；
– 建网时分配了全局IP地址－但没注册
• 网络改造中，避免更改地址带来的风险； • TCP流量的负载均衡
NAT/NAPT带来的限制 NAT/NAPT带来的限制
• 限制
– – – – – – – – – 影响网络性能 不能处理IP报头加密的报文； 无法实现端到端的路径跟踪（traceroute) 某些应用可能支持不了：内嵌IP地址 FTP DNS NetMeeting H.323,VoIP 其它自编应用
• 动态NAPT
– 只访问外网服务，不提供信息服务的主机 – 临时的一对一“IP地址＋ 端口”映射关系
NAPT示例 NAPT示例
可以是动态或 静态NAPT
配置静态NAPT 配置静态NAPT
• Red-Giant(config)#ip nat inside source static {UDP | TCP} local-address port global-address port
– 定义全局IP地址池
• Red-Giant(config)# interface interface-type interface-number • Red-Giant(config-if)#ip nat inside
– 定义该接口连接内部网络
• Red-Giant(config)# interface interface-type interface-number • Red-Giant(config-if)#ip nat outside
互联网 Inside 企业内部网 Outside 外部网
议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
什么时候用NAT 什么时候用NAT
• • • • NAT：以IP地址为操作对象 如果你需要优化网络性能 如果你有足够多的全局IP地址 如果你的网络主机数也很少
• • • • • • 内部网络 － Inside 外部网络 － Outside 内部本地地址－Inside Local Address 内部全局地址－Inside Global Address 外部本地地址－Outside Local Address 外部全局地址－Outside Global Address
NAT示例 NAT示例
可以是动态或 静态NAT
பைடு நூலகம்
配置静态NAT 配置静态NAT
• Red-Giant(config)#ip nat inside source static local-address global-address
– 定义内部源地址静态转换关系
• Red-Giant(config)# interface interface-type interface-number • Red-Giant(config-if)#ip nat inside
• 内嵌IP地址的应用有： IP
NAT与应用的兼容性问题，详见RFC 3027
议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
什么是NAT/NAPT 什么是NAT/NAPT
• NAT就是将网络地址从一个地址空间转换到另 外一个地址空间的一个行为
– 纯软件NAT – 防火墙NAT – 路由器NAT
• NAT的类型
– NAT（Network Address Translation）
• 转换后，一个本地IP地址对应一个全局IP地址
– NAPT （Network Address Port Translation）
• 转换后，多个本地地址对应一个全局IP地址
NAT/NAPT的术语 NAT/NAPT的术语
– 定义全局IP地址池
•
Red-Giant(config)#access-list access-list-number permit ip-address wildcard
– 定义访问列表，只有匹配该列表的地址才转换
•
Red-Giant(config)#ip nat inside sourcelist access-list-number pool address-pool
– 定义内部源地址动态转换关系
• • • •
Red-Giant(config)# interface interface-type interface-number Red-Giant(config-if)#ip nat inside
– 定义该接口连接内部网络
Red-Giant(config)# interface interface-type interface-number Red-Giant(config-if)#ip nat outside