NAT技术详解PPT课件
合集下载
NAT详解课件(PPT演示)
实例效果
D 内网用户通过NAT服务器成功访问公网资源,
NAT服务器记录转换日志便于排查问题。
05 NAT故障排除与诊断
常见NAT故障现象及原因
01
02
03
无法实现地址转换
可能是由于NAT配置错误、 地址池耗尽或网络设备故 障等原因导致。
网络性能下降
NAT处理过程中可能出现 性能瓶颈,如CPU占用率 高、内存不足等,导致网 络传输延迟和抖动。
在出口路由器上应用NAT 配置,`ip nat inside`和`ip nat outside`分别指定内外 网接口。
动态NAT配置注意事项
确保内部本地地址与内部全 局地址不重叠,以避免地址 冲突。
合理规划公网IP地址池,确 保足够的地址资源供NAT转 换使用。
在配置动态NAT映射时,注 意访问控制列表的匹配条件, 确保需要转换的地址能够被 正确匹配。
03
NAPT(Network Address Port Translation,网络地址 端口转换):除了转换IP地址外,还同时转换端口号,实 现多个私有网络主机共享一个公网IP地址。适用于公网IP 地址资源紧张的场景。
NAT应用场景及优势
应用场景:家庭网络、企业网络、运营商网络等需要实现私 有网络地址与公网地址转换的场景。 优势 缓解IPv4地址短缺问题,提高公网IP地址利用率。 隐藏内部网络结构,提高网络安全性。 实现网络地址与端口的复用,降低网络成本。
NAT技术展望与发展趋势
IPv6与NAT
NAT与云计算
随着IPv6的普及,NAT的需求将逐渐减少 ,但NAT技术仍将在某些场景下发挥作用 。
在云计算环境中,NAT技术可以帮助实现 虚拟机之间和虚拟机与外部网络之间的通 信。
《NAT学习笔记》PPT课件
Switch1
VLAN
Switch3
Vlan11
01.01.2021
.
PC2 PC1
Vlan10
PC4 PC3
17
第6讲 网络地址转换
主讲人:黄 彦
hyanna@
课程内容
➢6.1 NAT概述 ➢6.2 NAT配置
01.01.2021
h
2
.
6.1 NAT概述
➢6.1.1 IP地址危机 ➢6.1.2 NAT技术的基本原理 ➢6.1.3 NAT类型
01.01.2021
h
3
.
6.1.1 IP地址危机
功能:设置动态NAT地址池。
参数:name,NAT地址池名字;
ip_address1,地址池的起始地址;
ip_address2,地址池的结束地址;
subnet_mask,子网掩码。
access-list <access_list_number> permit <network > <node_mask>
实例6.2
某单位,拥有30余台计算机,组建一本地局域网,需将该网络连 接Internet 。由于IP地址存在短缺的问题,只能提供10余个IP地址 (202.113.244.20~30 ),该单位的网络需求如下: - 所有的计算机能够连接Internet,但可以不同时登录Internet; - 对计算机要有一定的保护安全措施。
功能:定义IP访问控制列表。
参数:access_list_number,访问控制列表的标号;
network ,网段;
node_mask,通配符掩码。
13
.
6.2 NAT配置
实例6.3
VLAN
Switch3
Vlan11
01.01.2021
.
PC2 PC1
Vlan10
PC4 PC3
17
第6讲 网络地址转换
主讲人:黄 彦
hyanna@
课程内容
➢6.1 NAT概述 ➢6.2 NAT配置
01.01.2021
h
2
.
6.1 NAT概述
➢6.1.1 IP地址危机 ➢6.1.2 NAT技术的基本原理 ➢6.1.3 NAT类型
01.01.2021
h
3
.
6.1.1 IP地址危机
功能:设置动态NAT地址池。
参数:name,NAT地址池名字;
ip_address1,地址池的起始地址;
ip_address2,地址池的结束地址;
subnet_mask,子网掩码。
access-list <access_list_number> permit <network > <node_mask>
实例6.2
某单位,拥有30余台计算机,组建一本地局域网,需将该网络连 接Internet 。由于IP地址存在短缺的问题,只能提供10余个IP地址 (202.113.244.20~30 ),该单位的网络需求如下: - 所有的计算机能够连接Internet,但可以不同时登录Internet; - 对计算机要有一定的保护安全措施。
功能:定义IP访问控制列表。
参数:access_list_number,访问控制列表的标号;
network ,网段;
node_mask,通配符掩码。
13
.
6.2 NAT配置
实例6.3
ATEN_PPT_chap13_V1.4
第四步:在内部和外部端口上启用NAT
Router(config)#interface serial 0/0 Router(config-if)#ip nat outside Router(config)#interface fastethernet 0/0 Router(config-if)#ip nat inside Page 18/44
172.168.100.2 172.168.100.3 172.168.100.6
172.168.100.2
210.3.4.5 外部主机
172.168.100.2
NAT转换表
内部用全局 IP地址:端口号
61.159.62.130 61.159.62.131
协议
TCP TCP TCP
外部用全局IP地址
Page 20/44
动态NAT配置4-2
第一步: 设置外部端口IP地址
Router(config)#interface serial 0/0 Router(config-if)#ip address 61.159.62.129 255.255.255.192
第二步: 设置内部端口IP地址
Router(config)#interface FastEthernet 0/0 Router(config-if)#ip address 172.168.100.1 255.255.255.0
任何应用数据流中不承载 ICMP 源/目的IP地址的 TCP/UDP业务 HTTP FTP(包括PORT和 PASV)
TFTP
Telnet NTP NFS
TCP/IP上的NetBIOS(数据报、 BOOTP 名称和会话服务 DNS(A和PTR查询) H.323/NetMeeting IP多播(只转换源地址)
NAT-理论知识PPT
配置SNAT对应访问策略
防火墙 > 安全策略 > IPv4安全策略,点击『新建』按钮创建策略规则
配置DNAT对应访问策略
防火墙 > 安全策略 > IPv4安全策略,点击『新建』按钮创建策略规则
02 源NAT
源NAT-转换过程(1)
10.1.1.2 10.1.1.3 ge1 PC
200.0.0.2 ge10
100.0.0.1 Server
SNAT (静态)
SNAT (动态端口)
SA 10.1.1.2
SA 10.1.1.2:3678
SA 10.1.1.3:3678
DA 100.0.0.1
• 定义:源NAT地址转换是内网用户要访问外网时,内网地址转换为 公网地址,然后才可以访问互联网上的资源的 目的NAT地址转换是外网地址要访问内网服务器时,内网服务器地 址映射为外网地址,而外网用户通过访问该映射的外网地址就可以 访问内网服务器了,这样可以保护内部服务器的安全
• NAT 的配置分为: 源地址转换(Source) 、 目的地址转换(Destination) 及静态地址转换(Static) 三种类型。
200.0.0.2:60005
DA 100.0.0.1:80
100.0.0.1:80 DA 100.0.0.2:80
源NAT-WebUI配置
网络配置> NAT 选中<源NAT>项,点击『新建』按钮创建源NAT规则 网络配置> NAT 选中<地址池>项,点击『新建』按钮创建转换后的地址池
03 目的NAT
05 NAT匹配顺序与 相关策略
NAT匹配规则
NAT规则匹配顺序 每一条NAT 都有唯一一个ID 号。流量进入安全网关时,安全网关对NAT规则进行顺序 查找,然后按照查找到的相匹配的第一条规则对流量的 IP 做NAT转换。ID 的大小顺序 并不是规则匹配顺序。使用show running-config nat 命令列出的规则顺序才是规则匹 配顺序。通过移动已有的NAT 规则从而改变规则的排列顺序。
NAT的基本原理与应用ppt课件
14
NAT的基本工作原理
• NAT的基本工作方式:
– NAT-一对一的地址转换 – PAT-多对一的地址转换 – NPAT-多对多的地址转换
15
NAT的基本工作原理
• NAT方式
16
NAT的基本工作原理
• NAT方式
– 在出方向上转换IP报文头中的源IP地址,而不 对端口进行转换。
– 在私有网络地址和外部网络地址之间建立一对 一映射,实现比较简单
NAT的基本工作原理
• 内部服务器
21
NAT的基本工作原理
• 利用ACL控制地址转换
可以使用地 址转换访问
Internet
不能访问 Internet
22
NAT的基本工作原理
• DNS和内部服务器使用私网地址
– 由于内部www服务器和DNS服 务器都在一个私网内,这样, 当内部DNS进行为内部服务器 进行域名到IP地址的转换时, 会得到一个内部网的IP地址, 然后DNS将这个内部地址返回 给外部要访问的内部服务器的 主机。而这个地址由于是私网 地址,所以外部网访问不到。
9
NAT基本概念
• 转换关联
– 转换关联就是将一个地址池和一个访问列表关
联起来,这种关联指定了“具有某些特征的IP
报文”是使用“这样的地址池中的地址”,而
另一些可能是使用另外一个地址池中的地址。
在地址转换时,是根据这样的对应进行地址转
换的。当一个内部网络的数据包文发往外部网
络时,首先根据访问列表判定是否是允许的数
7
NAT基本概念
• 地址池
– 地址池是由一些外部地址(全球唯一的IP地址 )组合而成的,我们称这样的一个地址集合为 地址池。在内部网络的数据包通过地址转换达 到外部网络时,将会选择地址池中的某个地址 作为转换后的源地址,这样可以有效利用用户 的外部地址,提高内部网络访问外部网络的能 力。
NAT的基本工作原理
• NAT的基本工作方式:
– NAT-一对一的地址转换 – PAT-多对一的地址转换 – NPAT-多对多的地址转换
15
NAT的基本工作原理
• NAT方式
16
NAT的基本工作原理
• NAT方式
– 在出方向上转换IP报文头中的源IP地址,而不 对端口进行转换。
– 在私有网络地址和外部网络地址之间建立一对 一映射,实现比较简单
NAT的基本工作原理
• 内部服务器
21
NAT的基本工作原理
• 利用ACL控制地址转换
可以使用地 址转换访问
Internet
不能访问 Internet
22
NAT的基本工作原理
• DNS和内部服务器使用私网地址
– 由于内部www服务器和DNS服 务器都在一个私网内,这样, 当内部DNS进行为内部服务器 进行域名到IP地址的转换时, 会得到一个内部网的IP地址, 然后DNS将这个内部地址返回 给外部要访问的内部服务器的 主机。而这个地址由于是私网 地址,所以外部网访问不到。
9
NAT基本概念
• 转换关联
– 转换关联就是将一个地址池和一个访问列表关
联起来,这种关联指定了“具有某些特征的IP
报文”是使用“这样的地址池中的地址”,而
另一些可能是使用另外一个地址池中的地址。
在地址转换时,是根据这样的对应进行地址转
换的。当一个内部网络的数据包文发往外部网
络时,首先根据访问列表判定是否是允许的数
7
NAT基本概念
• 地址池
– 地址池是由一些外部地址(全球唯一的IP地址 )组合而成的,我们称这样的一个地址集合为 地址池。在内部网络的数据包通过地址转换达 到外部网络时,将会选择地址池中的某个地址 作为转换后的源地址,这样可以有效利用用户 的外部地址,提高内部网络访问外部网络的能 力。
NAT技术简介
• NAT 与 NAT 过载之间的区别
NAT 一般只按公有 IP 地址与私有 IP 地址之间的一对一对应关系转换 IP 地 址。NAT 过载则会同时修改发送者的私有 IP 地址和端口号。NAT 过载选 择对公有网络上主机可见的端口号。 NAT 将传入的数据包路由给其内部目的地时,将以公有网络上主机给出的 传入源 IP 地址为依据。利用 NAT 过载,一般只需一个或极少的几个公有 IP 地址。
如果它没有找到映射关系,数据包将被丢弃。
7.2何谓 NAT?
• NAT 转换有两种类型
动态 NAT:使用公有地址池,并以先到先得的原则分配这些地址。当具有 私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个 未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。
7.2何谓 NAT?
• NAT 如何工作?
当 Web 服务器回应时,数据包回到 R2 的全局地址 (209.165.200.226)。
7.2何谓 NAT?
• NAT 如何工作?
R2 参考 NAT 表,发现这是原先转换的 IP 地址。因此,它将 内部全局地址转换成内部本地地址,然后将数据包转发给 IP 地址为 192.168.10.10 的 PC1。
静态 NAT :使用本地地址与全局地址的一对一映射,这些映射保持不变。 静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或 主机特别有用。这些内部主机可能是企业服务器或网络设备。
7.2何谓 NAT?
• NAT 过载
NAT 过载(有时称为端口地址转换或 PAT)将多个私有 IP 地 址映射到一个或少数几个公有 IP 地址。因为每个私有地址也 会用端口号加以跟踪。 大多数家用路由器就是这样工作的。
NAT 一般只按公有 IP 地址与私有 IP 地址之间的一对一对应关系转换 IP 地 址。NAT 过载则会同时修改发送者的私有 IP 地址和端口号。NAT 过载选 择对公有网络上主机可见的端口号。 NAT 将传入的数据包路由给其内部目的地时,将以公有网络上主机给出的 传入源 IP 地址为依据。利用 NAT 过载,一般只需一个或极少的几个公有 IP 地址。
如果它没有找到映射关系,数据包将被丢弃。
7.2何谓 NAT?
• NAT 转换有两种类型
动态 NAT:使用公有地址池,并以先到先得的原则分配这些地址。当具有 私有 IP 地址的主机请求访问 Internet 时,动态 NAT 从地址池中选择一个 未被其它主机占用的 IP 地址。这就是到目前为止所介绍的映射。
7.2何谓 NAT?
• NAT 如何工作?
当 Web 服务器回应时,数据包回到 R2 的全局地址 (209.165.200.226)。
7.2何谓 NAT?
• NAT 如何工作?
R2 参考 NAT 表,发现这是原先转换的 IP 地址。因此,它将 内部全局地址转换成内部本地地址,然后将数据包转发给 IP 地址为 192.168.10.10 的 PC1。
静态 NAT :使用本地地址与全局地址的一对一映射,这些映射保持不变。 静态 NAT 对于必须具有一致的地址、可从 Internet 访问的 Web 服务器或 主机特别有用。这些内部主机可能是企业服务器或网络设备。
7.2何谓 NAT?
• NAT 过载
NAT 过载(有时称为端口地址转换或 PAT)将多个私有 IP 地 址映射到一个或少数几个公有 IP 地址。因为每个私有地址也 会用端口号加以跟踪。 大多数家用路由器就是这样工作的。
第7讲_NAT技术概论
内网的三台Web服务器做了镜像,对外显示为一台虚拟服务器
配置列表
HTTP
Inside
192.168.1.2/24
RT1
192.168.1.3/24 E1/0 192.168.1.1/24 192.168.1.4/24
Virtual Server 61.0.0.1
RT1# sh run access-list 1 permit 61.0.0.1/32 interface eth1/0 ip address 192.168.1.1/24 ip nat inside interface serial5/0 ip address 202.0.0.1/30 ip nat outside ip nat pool VirtualServer type rotary address 192.168.1.2 192.168.1.4 ip route 0.0.0.0/0 serial0/0 ip nat on ip nat inside destination list 1 pool VirtualServer
RT1# show run hostname RT1 interface eth0/0 ip address 192.168.0.254/24 ip nat inside interface serial0/0 ip address 202.0.0.1/30 ip nat outside ip route 0.0.0.0/0 202.0.0.2 ip nat on ip nat inside source static 192.168.0.1 201.0.0.1 ip nat inside source static 192.168.0.2 201.0.0.2
采用动态NAT将内部本地地址映射为内部全局地址 DNS1服务器采用静态NAT转换的方式
计算机网络技术课件——路由NAT技术
私有IP地址范围
• A 类:10.0.0.0~10.255.255.255 • B 类:172.16.0.0~172.31.255.255 • C 类:192.168.0.0~192.168.255.255
NAT技术与传统技术原理图
家用路由器的设置
总结路由器常用功能
• 1,在公网与公网之间,私网与私网之间, 对不同局域网进行的连接 • 2,路径的选择 • 3,在公网与私网之间, NAT?
• 网络地址转换(NAT,Network Address Translation)属接入广域网(WAN)技术,是一种 将私有IP地址转化为合法公有IP地址的转换技 术,它被广泛应用于各种类型Internet接入方 式和各种类型的网络中。 • 原因很简单,私有IP能重复使用,公有IP资源 有限,NAT不仅完美地解决了lP地址不足的问 题,而且还能够有效地避免来自网络外部的攻 击,隐藏并保护网络内部的计算机。
原版CCNA教材19章NATppt课件
• 其中静态NAT设置起来最为简单,内部网络中的每个主机都被永久映 射成 外部网络中的某个合法的地址,多用于服务器。
• 而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配 的方法映射到内部网络,多用于网络中的工作站。
• PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
10
NAT静态映射实例
1
• NAT(网络地址翻译)能解决不少令人头疼的问 题
• 它解决问题的办法是:在内部网络中使用内部地 址,通过NAT把内部地址翻译成合法的IP地址, 在Internet上使用
• 其具体的做法是把IP包内的地址池(内部本地) 用合法的IP地址段(内部全局)来替换
2
Chapter Activities
15
Troubleshooting NAT
Router#debug ip nat NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [0] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [0] NAT: s=10.1.1.1->192.16.>192.16.2.1, d=172.166.2.2 [2] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [3] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [1] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [4] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [5] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [6] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [2]
• 而NAT池则是在外部网络中定义了一系列的合法地址,采用动态分配 的方法映射到内部网络,多用于网络中的工作站。
• PAT则是把内部地址映射到外部网络的一个IP地址的不同端口上。
10
NAT静态映射实例
1
• NAT(网络地址翻译)能解决不少令人头疼的问 题
• 它解决问题的办法是:在内部网络中使用内部地 址,通过NAT把内部地址翻译成合法的IP地址, 在Internet上使用
• 其具体的做法是把IP包内的地址池(内部本地) 用合法的IP地址段(内部全局)来替换
2
Chapter Activities
15
Troubleshooting NAT
Router#debug ip nat NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [0] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [0] NAT: s=10.1.1.1->192.16.>192.16.2.1, d=172.166.2.2 [2] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [3] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [1] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [4] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [5] NAT: s=10.1.1.1->192.16.2.1, d=172.166.2.2 [6] NAT*: s=172.166.2.2, d=192.16.2.1->10.1.1.1 [2]
计算机网络-NAT与P2Pppt课件
5
NAPT • 当一个内部网主机通过NAT打开一个外流的TCP或UDP会话时,NAPT分配给这
个会话一个公网IP和端口,用来接收外网的响应的数据包,并经过转换通知内部 网的主机。这样做的效果是,NAPT在[私网IP:私网端口]和[公网IP:公网端口] 之间建立了一个端口绑定。端口绑定指定了NAPT将在这个会话的生存期内进行地 址转换任务。对通信双方而言,这种IP地址和端口的转换是完全透明的。
采用反向连接技术。
如下图,假设客户 机A在NAT后,而 客户机B有一个公 网IP地址:
反向连接(Connection reversal)
服务器 S
18.181.0.31:1235
|
|
+----------------------+----------------------+
|
|
NAT A
|
155.99.25.11:62000
• 然而在任一情况,连接都会失败。 – 在第一种情况中,因为10.0.0.1不是公网可路由的IP地址,所以不能通过网络直 接连接IP地址10.0.0.1。 – 在第二种情况中,来自B的TCP SYN请求将会直接到达NAT A的62000端口,但 因为NAT A只允许外流的连接从而拒绝该连接请求。
24
|
|
NAT A
NAT B
155.99.25.11:62000
138.76.29.7:31000
|
|
|
|
客户机A
客户机 B
10.0.0.1:1234
10.1.1.3:1234
27
UDP打洞技术(UDP Hole Punching) • “UDP打洞技术”依赖公共防火墙和锥形NAT,允许恰当的有计划的P2P应用程序通过NAT打洞,
NAPT • 当一个内部网主机通过NAT打开一个外流的TCP或UDP会话时,NAPT分配给这
个会话一个公网IP和端口,用来接收外网的响应的数据包,并经过转换通知内部 网的主机。这样做的效果是,NAPT在[私网IP:私网端口]和[公网IP:公网端口] 之间建立了一个端口绑定。端口绑定指定了NAPT将在这个会话的生存期内进行地 址转换任务。对通信双方而言,这种IP地址和端口的转换是完全透明的。
采用反向连接技术。
如下图,假设客户 机A在NAT后,而 客户机B有一个公 网IP地址:
反向连接(Connection reversal)
服务器 S
18.181.0.31:1235
|
|
+----------------------+----------------------+
|
|
NAT A
|
155.99.25.11:62000
• 然而在任一情况,连接都会失败。 – 在第一种情况中,因为10.0.0.1不是公网可路由的IP地址,所以不能通过网络直 接连接IP地址10.0.0.1。 – 在第二种情况中,来自B的TCP SYN请求将会直接到达NAT A的62000端口,但 因为NAT A只允许外流的连接从而拒绝该连接请求。
24
|
|
NAT A
NAT B
155.99.25.11:62000
138.76.29.7:31000
|
|
|
|
客户机A
客户机 B
10.0.0.1:1234
10.1.1.3:1234
27
UDP打洞技术(UDP Hole Punching) • “UDP打洞技术”依赖公共防火墙和锥形NAT,允许恰当的有计划的P2P应用程序通过NAT打洞,
第12章 NAT技术
MSR路由器指令
15
NAT的配置指令
静态地址转换 创建/删除静态地址映射 系统视图) 删除静态地址映射( 创建 删除静态地址映射(系统视图) • 接口下应用地址映射/取消接口下 的地址映射(接口视图, 下面的 指令AR与MSR路由器一致)
– [SYS-interface-serial0/0]nat outbound static – [SYS-interface-serial0/0]undo nat outbound static
•
命令参数意义如下:
– group-number:地址池的组号。取值范围为
0至31。 – start-addr:地址池的开始IP地址。 – end-addr:地址池的结束IP地址。结束IP地 址可以和开始IP地址相同。
8
NAT的配置指令
Easy IP
互联网拨号接入方式,在拨号接入方式中 IP地址是临时分配的,所以事先无法获得 确切的端口IP地址。通过与物理端口相关 联不需要事先获知IP地址,它根据拨号后 端口实际获得的IP地址来进行地址转换。 • 注意:Easy IP中利用了访问控制列表 来控制哪些地址可以进行转换
• 把内部地址映射到外部网络的一个IP地址的不 同端口上
6
NAT的配置指令
地址池 地址池实际上是一些连续的IP地址 集合。当内部数据包通过NAT设备 要进行地址转换时,就从地址池中 选择一个作为转换后的数据包源IP 地址
7
NAT的配置指令
地址池的创建和删除指令 [SYS]nat address-group groupnumber start-addr end-addr [SYS]undo nat address-group group-number start-addr end-addr
NAT技术详解
NAT•如果希望一台主机优先使用某个关联地址,或者想要外部网络使用一个指定的公网地址访问内部服务器时,可以使用静态NAT。
•但是在大型网络中,这种一对一的IP地址映射无法缓解公用地址短缺的问题。
••动态NAT地址池中的地址用尽以后,只能等待被占用的公网地址被释放后,其他主机才能使用它来访问公网。
••NAPT(Network Address Port Translation),也称为NAT-PT 或PAT ,网络地址端口转换,允许多个私网地址映射到同一个公网地址的不同端口。
•通常是企业,家庭上网的默认方式。
••Easy IP适用于小规模局域网中的主机访问Internet的场景。
•小规模局域网通常部署在小型的网吧或者办公室中,这些地方内部主机不多,出接口可以通过拨号方式获取一个临时公网IP地址。
Easy IP可以实现内部主机使用这个临时公网IP地址访问Internet。
••NAT在使私网用户访问公网的同时,也屏蔽了公网用户访问私网主机的需求。
•所以当一个私网需要向公网用户提供各种网络服务时,私网中的服务器必须随时可供公网用户访问。
•NAT服务器可以实现这个需求,但是需要配置服务器私网地址和端口号转换为公网地址和端口号并发布出去。
•nat static global 公网地址inside 私网地址创建静态NAT 。
display nat static 查看静态NAT的配置。
•NAT 配置:••nat address-group 编号公网地址范围配置NAT 地址池。
nat outbound acl 编号address-group 编号关联一个ACL 和一个NAT 地址池。
ACL 用来匹配能够转换的源地址。
no-pat只转换地址而不转换端口。
display nat address-group 查看NAT 地址池配置信息。
•display nat outbound查看动态NAT配置信息。
••Easy IP的配置与动态NAT的配置类似,主要区别是Easy IP不需要配置地址池。
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
2.2 NAT实现分类 STUN协议(后面详细介绍)把NAT分为如下几 种类型。 1.完全锥形NAT(Full Cone) 对于全锥形NAT的 情形,当内部主机发起一个至外网的会话时, NAT为其建立一个私有<IP:端口>地址和公有 <IP:端口>地址之间的绑定,然后该主机地址 至外网的任意会话将重用这个公有<IP:端口> 地址,同样,外部任意应用都可通过该公有<IP: 端口>地址到达该内部主机地址。只要有一个连 接会话存在,这个绑定就始终保持激活状态。 可用图1来表示完全锥型NAT的性质。
当内部主机访问Internet或者与外部网络主 机进行通信的时候将涉及地址转换的问题。 NAT设备通过把内部网络主机的IP地址和端 口号转换为外部公有IP地址和端口号,达到 内部网络访问Internet和外部网络主机的目 的。同理通过配置内部网络的应用服务器, 外部网络主机也可以访问并获得内部服务器 提供的服务。
3.端口受限制锥形(Port Restricted Cone) 端 口受限制锥形类似于受限制锥形,但限制更 加严格。只有当内部主机曾经向外部主机地 址上的某个特定端口发送过数据包,这个外 部主机才可以用该特定端口向内部主机发送 数据。可以理解为对外部主机的IP地址和端 口同时进行了限制。图3表示了端口受限制锥 型的概念。
4.对称类型(Symmetric) 该类型的限制 最为严格。对称类型NAT会为内部主机 向外部主机的每一个会话(Session)建立 全新的端口映射,即源地址和端口加上 目的地址端口其中任意一个有变化,则 映射关系也会不同,如图4。
三、STUN协议
STUN (Simple Traversal of UDP over NATs, NAT 的UDP简单穿越)是一种网络协议,它允 许位于NAT(或多重NAT)后的客户端找出自 己的公网地址,查出自己位于哪种类型的NAT 之后以及NAT为某一 个本地端口所绑定的 Internet端端口。这些信息被用来在两个同时处 于NAT 路由器之后的主机之间建立UDP通信Байду номын сангаас 该协议由RFC 3489定义。
如果公有地址是在主机访问外网时按需临时分 配,则称为动态绑定(PooledNAT),主要用于拨 号和频繁的远程联接。动态绑定仅在一定时间 内有效,需定时刷新。该类NAT的主要目的并 非地址扩展,而是配合防火墙安全隔离私网, 并对内部主机访问外部网络实施控制。
2.网络地址端口转换NAPT 数据包穿越内部网 络边界时不但要变换IP地址,而且要变换传送 层端口号。内部网络只需要申请一个或几个公 有地址,通过分配不同的端口号就可以支持大 量内部主机同时访问外网。这种NAT称为网络 地址端口转换NAPT(Port-Level NAT),NAPT 在将私有地址映射为公有地址时不但改变了内 部主机的IP地址,还改变了它的端口号。该类 NAT的主要目的是实现地址扩展,是企业网和 校园网常用的NAT类型。
定三组网络地址作为保留的内部私有
地址,使用这些地址的数据包在公网
上不可路由,即这些网络地址不会在
Internet上进行分配,但可以在企业
网、校园网、专用网内部使用。
根据RFC1918,私有IP地址包括如下3个大小不 同的地址空间,可供不同规模的企业网或专用网 使用。 10.0.0.0-10.255.255.255,1个A类地址,包含 256个B类地址或65536个C类地址。共约1677万 个IP地址。 172.16.0.0-172.31.255.255,16个B类地址, 包含4096个C类地址。共约104万个IP地址。 192.168.0.0-191.168.255.255,1个B类地址, 包含256个C类地址。共约65536个IP地址。
端口多路复用是指改变外出数据包的源端口并 进行端口转换,即端口地址转换(Port Address Translation,PAT)。采用端口多路复用方式,内 部网络的所有主机均可共享一个合法外部IP地 址实现对Internet的访问,从而最大限度地节约 IP地址资源。同时,又可隐藏网络内部的所有 主机,避免来自Internet的攻击。因此,目前网 络中应用最多的就是端口多路复用方式。NAT 设备通过维护NAT映射表的方式实现双向的地 址转换并得以在两个方向上隐藏地址,可以最 大限度的保护网络内部计算机不受外部入侵, 其功能通常被集成到路由器,防火墙等硬件设 备中。
NAT的实现方式有三种,即静态转换、动态转 换和端口多路复用。 静态转换是指将内部网络的私有IP地址转换为 公有IP地址,IP地址对是一对一的,是一成不 变的,某个私有IP地址只转换为某个公有IP地 址。 动态转换是指将内部网络的私有IP地址转换为 公用IP地址时,IP地址对是不确定的,而是随 机的,所有被授权访问Internet的私有IP地址可 随机转换为任何指定的合法IP地址。也就是说, 只要指定哪些内部地址可以进行转换,以及用 哪些合法地址作为外部地址时,就可以进行动 态转换。
二、NAT分类
NAT可以按照功能和实现进行分类,下面分别 进行讨论。 2.1 NAT功能分类 按照地址转换的方式,可以将NAT分为以下两 类。 1.基本NAT 数据报穿越内部网络边界时仅变 换地址,传送层端口号保持不变。内部网络需 要申请一组外部公有地址,供内部主机访问外 网时使用。如果私有地址和公有地址为一一对 应的关系,并且内部网络中的每个主机在一次 完整的网络操作中被永久映射成外部网络中的 某个合法的地址,则称为静态绑(StaticNAT)。
UDP下NAT穿越 技术的介绍
一、NAT介绍
NAT技术又称地址代理,提供内部私有地址和公有地
址之间的转换,支持内部网络和公网之间的通信,如
下图所示。
私有地址是指内部网络的主机IP地址,
而公有地址是指内部网以外的可路由
的公共地址(在Internet上全球唯一
的IP地址) Internet地址分配组织规
2.受限制锥形(Restricted Cone) 受限制锥 形NAT建立映射的规则与完全锥形相同。但 是,只有当内部主机曾经向某个外部主机发 送过数据包时,这个外部主机才可以通过映 射的外部地址向内部主机发送数据。当然这 个外部主机可以用其他的端口,但源IP地址 必须与内部主机发送数据包的目的地址相同。 可以理解为受限制锥形是对外部主机的IP地 址进行限制。具体原理见图3。