地址转换—NAT
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
地址转换—NAT
厉鹏
辽东学院信息技术学院
地址转换概述
如RFC1631 所描述,NAT(Network Address Translation, 地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地 址的过程。在实际应用中,NAT 主要用于实现私有网络访问 外部网络的功能。这种通过使用少量的公有IP 地址代表多数 的私有IP 地址的方式将有助于减缓可用IP 地址空间枯竭的速 度。
辽东学院信息技术学院
2
地址转换的提出背景
地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机,可是不能保证每台主机都拥有
合法的IP地址,为了到达所有的内部主机都可以连接Internet网 络的目的,可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机,因此同时 是一种有效的网络安全保护技术。 同时地址转换可以按照用户的需要,在内部局域网内部提供给 外部FTP、WWW、Telnet服务。
辽东学院信息技术学院
3
私有地址和公有地址
192.168.0.2
192.168.0.1
LAN2
LAN1
Internet
私有地址范围: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255
192.168.0.1
LAN3
私有地址是指内部网络或主机地址,公有地址是指在因特网上
全球唯一的IP 地址。上述三个范围内的地址不会在因特网上
被分配,因而可以不必向ISP 或注册中心申请而在公司或企业
内部自由使用。
辽东学院信息技术学院
4
地址转换的原理
辽东学院信息技术学院
5
地址转换的原理
上述的NAT 过程对终端(如图中的PC 和服务器)来说 是透明的。对外部服务器而言,它认为内部PC 的IP 地址就 是202.169.10.1,并不知道有192.168.1.3 这个地址。因此, NAT“隐藏”了企业的私有网络。地址转换的优点在于,为 内部主机提供了“隐私”(Privacy)保护前提下,实现了内 部网络的主机通过该功能访问外部网络资源。
但它也有一些缺点:
辽东学院信息技术学院
6
地址转换的原理
•由于需要对数据报文进行IP 地址的转换,涉及IP 地址的数 据报的报头不能被加密。在应用协议中,如果报文中有地址 或端口需要转换,则报文不能被加密。例如,不能使用加密 的FTP 连接,否则FTP 的port 命令不能被正确转换。 •网络调试变得更加困难。比如,某一台内部网络的主机试 图攻击其它网络,则很难指出究竟是哪一台机器是恶意的, 因为主机的IP 地址被屏蔽了。 •在链路的带宽低于10Mbit/s 速率时,地址转换对网络性能基 本不构成影响,此时,网络传输的瓶颈在传输线路上;当速 率高于10Mbit/s 时,地址转换将对路由器性能产生一些影响。
辽东学院信息技术学院
7
地址转换实现的功能
从上图的地址转换过程可见,当内部网络访问外部网络时,地 址转换将会选择一个合适的外部地址,替代内部网络数据报文的源 地址。上图中是选择NAT 服务器出接口的IP 地址(公有地址)。这 样所有内部网络的主机访问外部网络时,只能拥有一个外部的IP 地 址,因此,这种情况只允许最多有一台内部主机访问外部网络,这 称为“一对一地址转换”。当内部网络的主机并发的要求访问外部 网络时,“一对一地址转换”仅能够实现其中一台主机的访问请求。
NAT 的一种变形实现了并发性。允许NAT 服务器拥有多个公有 IP 地址,当第一个内部主机访问外网时,NAT 选择一个公有地址 IP1,在地址转换表中添加记录并发送数据报;当另一内部主机访问 外网时,NAT 选择另一个公有地址IP2,以此类推,从而满足了多 台内部主机访问外网的请求。这称为“多对多地址转换”。
辽东学院信息技术学院
8
地址转换实现的功能
如果我们可能希望某些内部的主机具有访问Internet(外部网络)的 权利,而某些主机不允许访问。即当NAT 进程查看数据报报头内容 时,如果发现源IP 地址是为那些不允许访问网络的内部主机所拥有 的,它将不进行NAT 转换。这就是一个对地址转换进行控制的问题。
Quidway 系列路由器可以通过定义地址池来实现多对多地址转换, 同时利用访问控制列表来对地址转换进行控制的。
������ 地址池:用于地址转换的一些公有IP 地址的集合。用户应根据 自己拥有的合法IP 地址数目、内部网络主机数目以及实际应用情况, 配置恰当的地址池。地址转换的过程中,将会从地址池中挑选一个 地址做为转换后的源地址。
������ 利用访问控制列表限制地址转换:只有满足访问控制列表条件 的数据报文才可以进行地址转换。这可以有效地控制地址转换的使 用范围,使特定主机能够有权利访问Internet。
辽东学院信息技术学院
9
NAPT——网络地址端口转换
还有一种NAT 变形――这就是NAPT(Network Address Port Translation),NAPT允许多个内部地址映射到同一个公 有地址上,非正式的也可称之为“多对一地址转换”或地址 复用。 NAPT 映射IP 地址和端口号,来自不同内部地址的数据报可 以映射到同一外部地址,但他们被转换为该地址的不同端口 号,因而仍然能够共享同一地址。也就是<私有地址+端口> 与<公有地址+端口>之间的转换。
辽东学院信息技术学院
10
NAPT——网络地址端口转换
辽东学院信息技术学院
11
地址转换的原理
PC1
IP 报文
IP:192.168.1.2 Port:3000
地址转换
IP:202.169.10.1 Port:4000
Internet
PC2
局域网
IP:192.168.1.1 Port:3010
IP:192.168.1.3 Port:3010
IP:202.169.10.1 Port:4001
辽东学院信息技术学院
12
内部服务器
NAT 隐藏了内部网络的结构,具有“屏蔽”内部主机的作用, 但是在实际应用中,可能需要提供给外部一个访问内部主机的机会, 如提供给外部一个WWW的服务器,或是一台FTP 服务器。使用 NAT 可以灵活地添加内部服务器,例如,可以使用202.169.10.10 作 为Web 服务器的外部地址;使用202.110.10.11 作为FTP 服务器的外 部地址;甚至还可以使用202.110.10.12:8080 这样的地址作为Web 的外部地址;还可为外部用户提供多台同样的服务器(如提供多台 Web 服务器)。
Quidway 系列路由器的NAT 功能提供了内部服务器功能供外部 网络访问。外部网络的用户访问内部服务器时,NAT 将请求报文内 的目的地址转换成内部服务器的私有地址。对内部服务器回应报文 而言,NAT 要将回应报文的源地址(私网地址)转换成公网地址。
辽东学院信息技术学院
13
内部服务器的应用
内部服务器
R
内部地址:10.0.1.1 内部端口:80
E0
Serial 0
Internet
配置地址转换: IP地址: 10.0.1.1←→202.38. 160.1 端口: 80←→80
辽东学院信息技术学院
外部地址:202.38.160.1 外部端口:80
允许外部用户访问 内部服务器
14
IP:202.39.2.3 外部用户
Easy IP特性
Easy IP:在地址转换的过程中直接使用接口的IP地址作为转换 后的源地址。 PC1
S0:202.0.0.1
Internet
PC2 局域网
辽东学院信息技术学院
PC1 和 PC2 可以直接使 用 S0接口的IP 地址作 为地址转换后的公用IP
地址
15
使用地址池进行地址转换
PC1
202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4
地址池
Internet
PC2 局域网
地址池用来动态、透明的为内部网络的用户分配地址。 它是一些连续的IP地址集合,利用不超过32字节的字符 串标识。
地址池可以支持更多的局域网用户同时上Internet。
辽东学院信息技术学院
16
利用ACL控制地址转换
PC1
Internet
PC2 局域网
设置访问控制列表控 制pc1可以通过地址 转换访问Internet,而
pc2则不行。
可以使用访问控制列表来决定那些主机可以访问Internet, 那些不能。
辽东学院信息技术学院
17
NAT(内网-外网〕实现流程
内部网络 10.0.0.0/8
公用地址池 10.0.0.1
202.0.0.1 202.0.0.2
202.0.0.1
Internet
公网地址 202.0.0.1
NAT路由器
私网地址 10.0.1.1
私网端口 1001
公网端口 1044
DI:6.1.128.1,SI:10.0.1.1
1
DP:21,SP:1001
2 3
NAT路由器增加 地址转换表项
DI:6.1.128.1,SI:202.0.0.1 DP:21,SP:1044
4
NAT路由器查找地址表
DI:10.0.1.1,SI:6.1.128.1
5
DP:1001,SP:21
DI:202.0.0.1,SI:6.1.128.1 DP:1044,SP:21
辽东学院信息技术学院
18
NAT(外网-内网〕实现流程
内部网络 10.0.0.0/8
公用地址池 10.0.0.1
202.0.0.1 202.0.0.2
202.0.0.1
Internet
公网地址
FTP服务器
202.0.0.1
静态配置地址转换表项
1
2
DI:10.0.1.1,SI:6.1.128.1
3
DP:21,SP:1044
4
DI:6.1.128.1,SI:10.0.1.1
DP:1044,SP:21
5
6
辽东学院信息技术学院
NAT路由器
私网地址 10.0.1.1
路由器查找地址 转换表并实施地 址转换
路由器查找地址 转换表并实施地 址转换
19
私网端口
公网端口
21
21
FTP客户 DI:202.0.0.1,SI:6.1.128.1
DP:21,SP:1044
DI:10.0.1.1,SI:6.1.128.1 DP:1044,SP:21
NAT 配置
NAT 配置包括: •������ 配置地址池 •������ 配置地址转换 •������ 配置Easy IP •������ 配置多对多地址转换 •������ 配置NAPT •������ 配置内部服务器
辽东学院信息技术学院
20
NAT 配置
配置地址池 地址池是一些连续的IP 地址集合,当内部数据包通过地
址转换到达外部网络时,将会选择地址池中的某个地址作为 转换后的源地址。
请在系统视图下进行下列配置。
当某个地址池已经和某个访问控制列表关联进行地址转 换,是不允许删除这个地址池的。
辽东学院信息技术学院
21
配置地址转换
将访问控制列表和地址池关联(或接口地址)后,即可 实现地址转换。这种关联指定了“具有某些特征的IP 报文” 才可以使用“这样的地址池中的地址(或接口地址)”。
当内部网络有数据包要发往外部网络时,首先根据访问 列表判定是否是允许的数据包,然后根据转换关联找到与之 对应的地址池(或接口地址)进行转换。
访问控制列表的配置请参见相关章节. 不同形式的形式地址转换,配置方法稍有不同。
辽东学院信息技术学院
22
配置地址转换—Easy IP
如果地址转换命令不带address-group 参数,即仅使用nat outbound acl-number命令,则实现了easy-ip 的特性。地址转换时,直接使用 接口的IP 地址作为转换后的地址,利用访问控制列表控制哪些地址 可以进行地址转换。 请在接口视图下进行下列配置。
当直接使用接口地址作为NAT 转换后的公网地址时,若修改了接口
地址应该首先使用reset nat session 命令清除原NAT 地址映射表项,
然后再访问外部网络;否则就会出现原有NAT 表项不能自动删除,
也无法使用reset nat 命令删除的情况。
辽东学院信息技术学院
23
配置地址转换—配置一对一地址转换
(1) 配置一对一地址转换 请在系统视图下进行下列配置。
(2) 使一对一转换在接口上生效
辽东学院信息技术学院
24
配置地址转换—配置多对多地址转换
将访问控制列表和地址池关联后,即可实现多对多地址转换。 请在接口视图下进行下列配置。
厉鹏
辽东学院信息技术学院
地址转换概述
如RFC1631 所描述,NAT(Network Address Translation, 地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地 址的过程。在实际应用中,NAT 主要用于实现私有网络访问 外部网络的功能。这种通过使用少量的公有IP 地址代表多数 的私有IP 地址的方式将有助于减缓可用IP 地址空间枯竭的速 度。
辽东学院信息技术学院
2
地址转换的提出背景
地址转换是在IP地址日益短缺的情况下提出的。 一个局域网内部有很多台主机,可是不能保证每台主机都拥有
合法的IP地址,为了到达所有的内部主机都可以连接Internet网 络的目的,可以使用地址转换。 地址转换技术可以有效的隐藏内部局域网中的主机,因此同时 是一种有效的网络安全保护技术。 同时地址转换可以按照用户的需要,在内部局域网内部提供给 外部FTP、WWW、Telnet服务。
辽东学院信息技术学院
3
私有地址和公有地址
192.168.0.2
192.168.0.1
LAN2
LAN1
Internet
私有地址范围: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255
192.168.0.1
LAN3
私有地址是指内部网络或主机地址,公有地址是指在因特网上
全球唯一的IP 地址。上述三个范围内的地址不会在因特网上
被分配,因而可以不必向ISP 或注册中心申请而在公司或企业
内部自由使用。
辽东学院信息技术学院
4
地址转换的原理
辽东学院信息技术学院
5
地址转换的原理
上述的NAT 过程对终端(如图中的PC 和服务器)来说 是透明的。对外部服务器而言,它认为内部PC 的IP 地址就 是202.169.10.1,并不知道有192.168.1.3 这个地址。因此, NAT“隐藏”了企业的私有网络。地址转换的优点在于,为 内部主机提供了“隐私”(Privacy)保护前提下,实现了内 部网络的主机通过该功能访问外部网络资源。
但它也有一些缺点:
辽东学院信息技术学院
6
地址转换的原理
•由于需要对数据报文进行IP 地址的转换,涉及IP 地址的数 据报的报头不能被加密。在应用协议中,如果报文中有地址 或端口需要转换,则报文不能被加密。例如,不能使用加密 的FTP 连接,否则FTP 的port 命令不能被正确转换。 •网络调试变得更加困难。比如,某一台内部网络的主机试 图攻击其它网络,则很难指出究竟是哪一台机器是恶意的, 因为主机的IP 地址被屏蔽了。 •在链路的带宽低于10Mbit/s 速率时,地址转换对网络性能基 本不构成影响,此时,网络传输的瓶颈在传输线路上;当速 率高于10Mbit/s 时,地址转换将对路由器性能产生一些影响。
辽东学院信息技术学院
7
地址转换实现的功能
从上图的地址转换过程可见,当内部网络访问外部网络时,地 址转换将会选择一个合适的外部地址,替代内部网络数据报文的源 地址。上图中是选择NAT 服务器出接口的IP 地址(公有地址)。这 样所有内部网络的主机访问外部网络时,只能拥有一个外部的IP 地 址,因此,这种情况只允许最多有一台内部主机访问外部网络,这 称为“一对一地址转换”。当内部网络的主机并发的要求访问外部 网络时,“一对一地址转换”仅能够实现其中一台主机的访问请求。
NAT 的一种变形实现了并发性。允许NAT 服务器拥有多个公有 IP 地址,当第一个内部主机访问外网时,NAT 选择一个公有地址 IP1,在地址转换表中添加记录并发送数据报;当另一内部主机访问 外网时,NAT 选择另一个公有地址IP2,以此类推,从而满足了多 台内部主机访问外网的请求。这称为“多对多地址转换”。
辽东学院信息技术学院
8
地址转换实现的功能
如果我们可能希望某些内部的主机具有访问Internet(外部网络)的 权利,而某些主机不允许访问。即当NAT 进程查看数据报报头内容 时,如果发现源IP 地址是为那些不允许访问网络的内部主机所拥有 的,它将不进行NAT 转换。这就是一个对地址转换进行控制的问题。
Quidway 系列路由器可以通过定义地址池来实现多对多地址转换, 同时利用访问控制列表来对地址转换进行控制的。
������ 地址池:用于地址转换的一些公有IP 地址的集合。用户应根据 自己拥有的合法IP 地址数目、内部网络主机数目以及实际应用情况, 配置恰当的地址池。地址转换的过程中,将会从地址池中挑选一个 地址做为转换后的源地址。
������ 利用访问控制列表限制地址转换:只有满足访问控制列表条件 的数据报文才可以进行地址转换。这可以有效地控制地址转换的使 用范围,使特定主机能够有权利访问Internet。
辽东学院信息技术学院
9
NAPT——网络地址端口转换
还有一种NAT 变形――这就是NAPT(Network Address Port Translation),NAPT允许多个内部地址映射到同一个公 有地址上,非正式的也可称之为“多对一地址转换”或地址 复用。 NAPT 映射IP 地址和端口号,来自不同内部地址的数据报可 以映射到同一外部地址,但他们被转换为该地址的不同端口 号,因而仍然能够共享同一地址。也就是<私有地址+端口> 与<公有地址+端口>之间的转换。
辽东学院信息技术学院
10
NAPT——网络地址端口转换
辽东学院信息技术学院
11
地址转换的原理
PC1
IP 报文
IP:192.168.1.2 Port:3000
地址转换
IP:202.169.10.1 Port:4000
Internet
PC2
局域网
IP:192.168.1.1 Port:3010
IP:192.168.1.3 Port:3010
IP:202.169.10.1 Port:4001
辽东学院信息技术学院
12
内部服务器
NAT 隐藏了内部网络的结构,具有“屏蔽”内部主机的作用, 但是在实际应用中,可能需要提供给外部一个访问内部主机的机会, 如提供给外部一个WWW的服务器,或是一台FTP 服务器。使用 NAT 可以灵活地添加内部服务器,例如,可以使用202.169.10.10 作 为Web 服务器的外部地址;使用202.110.10.11 作为FTP 服务器的外 部地址;甚至还可以使用202.110.10.12:8080 这样的地址作为Web 的外部地址;还可为外部用户提供多台同样的服务器(如提供多台 Web 服务器)。
Quidway 系列路由器的NAT 功能提供了内部服务器功能供外部 网络访问。外部网络的用户访问内部服务器时,NAT 将请求报文内 的目的地址转换成内部服务器的私有地址。对内部服务器回应报文 而言,NAT 要将回应报文的源地址(私网地址)转换成公网地址。
辽东学院信息技术学院
13
内部服务器的应用
内部服务器
R
内部地址:10.0.1.1 内部端口:80
E0
Serial 0
Internet
配置地址转换: IP地址: 10.0.1.1←→202.38. 160.1 端口: 80←→80
辽东学院信息技术学院
外部地址:202.38.160.1 外部端口:80
允许外部用户访问 内部服务器
14
IP:202.39.2.3 外部用户
Easy IP特性
Easy IP:在地址转换的过程中直接使用接口的IP地址作为转换 后的源地址。 PC1
S0:202.0.0.1
Internet
PC2 局域网
辽东学院信息技术学院
PC1 和 PC2 可以直接使 用 S0接口的IP 地址作 为地址转换后的公用IP
地址
15
使用地址池进行地址转换
PC1
202.38.160.1 202.38.160.2 202.38.160.3 202.38.160.4
地址池
Internet
PC2 局域网
地址池用来动态、透明的为内部网络的用户分配地址。 它是一些连续的IP地址集合,利用不超过32字节的字符 串标识。
地址池可以支持更多的局域网用户同时上Internet。
辽东学院信息技术学院
16
利用ACL控制地址转换
PC1
Internet
PC2 局域网
设置访问控制列表控 制pc1可以通过地址 转换访问Internet,而
pc2则不行。
可以使用访问控制列表来决定那些主机可以访问Internet, 那些不能。
辽东学院信息技术学院
17
NAT(内网-外网〕实现流程
内部网络 10.0.0.0/8
公用地址池 10.0.0.1
202.0.0.1 202.0.0.2
202.0.0.1
Internet
公网地址 202.0.0.1
NAT路由器
私网地址 10.0.1.1
私网端口 1001
公网端口 1044
DI:6.1.128.1,SI:10.0.1.1
1
DP:21,SP:1001
2 3
NAT路由器增加 地址转换表项
DI:6.1.128.1,SI:202.0.0.1 DP:21,SP:1044
4
NAT路由器查找地址表
DI:10.0.1.1,SI:6.1.128.1
5
DP:1001,SP:21
DI:202.0.0.1,SI:6.1.128.1 DP:1044,SP:21
辽东学院信息技术学院
18
NAT(外网-内网〕实现流程
内部网络 10.0.0.0/8
公用地址池 10.0.0.1
202.0.0.1 202.0.0.2
202.0.0.1
Internet
公网地址
FTP服务器
202.0.0.1
静态配置地址转换表项
1
2
DI:10.0.1.1,SI:6.1.128.1
3
DP:21,SP:1044
4
DI:6.1.128.1,SI:10.0.1.1
DP:1044,SP:21
5
6
辽东学院信息技术学院
NAT路由器
私网地址 10.0.1.1
路由器查找地址 转换表并实施地 址转换
路由器查找地址 转换表并实施地 址转换
19
私网端口
公网端口
21
21
FTP客户 DI:202.0.0.1,SI:6.1.128.1
DP:21,SP:1044
DI:10.0.1.1,SI:6.1.128.1 DP:1044,SP:21
NAT 配置
NAT 配置包括: •������ 配置地址池 •������ 配置地址转换 •������ 配置Easy IP •������ 配置多对多地址转换 •������ 配置NAPT •������ 配置内部服务器
辽东学院信息技术学院
20
NAT 配置
配置地址池 地址池是一些连续的IP 地址集合,当内部数据包通过地
址转换到达外部网络时,将会选择地址池中的某个地址作为 转换后的源地址。
请在系统视图下进行下列配置。
当某个地址池已经和某个访问控制列表关联进行地址转 换,是不允许删除这个地址池的。
辽东学院信息技术学院
21
配置地址转换
将访问控制列表和地址池关联(或接口地址)后,即可 实现地址转换。这种关联指定了“具有某些特征的IP 报文” 才可以使用“这样的地址池中的地址(或接口地址)”。
当内部网络有数据包要发往外部网络时,首先根据访问 列表判定是否是允许的数据包,然后根据转换关联找到与之 对应的地址池(或接口地址)进行转换。
访问控制列表的配置请参见相关章节. 不同形式的形式地址转换,配置方法稍有不同。
辽东学院信息技术学院
22
配置地址转换—Easy IP
如果地址转换命令不带address-group 参数,即仅使用nat outbound acl-number命令,则实现了easy-ip 的特性。地址转换时,直接使用 接口的IP 地址作为转换后的地址,利用访问控制列表控制哪些地址 可以进行地址转换。 请在接口视图下进行下列配置。
当直接使用接口地址作为NAT 转换后的公网地址时,若修改了接口
地址应该首先使用reset nat session 命令清除原NAT 地址映射表项,
然后再访问外部网络;否则就会出现原有NAT 表项不能自动删除,
也无法使用reset nat 命令删除的情况。
辽东学院信息技术学院
23
配置地址转换—配置一对一地址转换
(1) 配置一对一地址转换 请在系统视图下进行下列配置。
(2) 使一对一转换在接口上生效
辽东学院信息技术学院
24
配置地址转换—配置多对多地址转换
将访问控制列表和地址池关联后,即可实现多对多地址转换。 请在接口视图下进行下列配置。