网络地址转换技术

议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
什么时候用NAT
• • • • NAT：以IP地址为操作对象 如果你需要优化网络性能 如果你有足够多的全局IP地址 如果你的网络主机数也很少
NAT转换地址后： 一个内部IP地址需要占用一个全局IP地址
静态与动态NAT
(config)#access-list access-list-number permit ip-address wildcard
– 定义访问列表，只有匹配该列表的地址才转换
(config)#ip nat inside sourcelist access-list-number pool addresspool [interface interface-type interface-number]} overload
– 定义该接口连接内部网络
•
(config)# interface interface-type interfacenumber • (config-if)#ip nat outside
– 定义接口连接外部网络
配置动态NAT
• (config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}
– 定义接口连接外部网络
IP地址重叠的问题
• 什么是IP地址重叠？
– 分配同样IP地址网络，需要实现互联互通 – 非注册IP地址网络，需要与互联网互联互通
• 重叠会引起什么后果？
– IP地址重叠的网络不能互通
• 普通的NAT能够解决吗?
– 不能
• 需要特殊功能的NAT
• 重叠地址NAT配置，其实分为两个部分内容： • 1）内部源地址转换配置； • 2）外部源地址转换配置，只有与内部网络地 址重叠的外部网络需要配置外部源地址转换， 外部源地址转换可以采用静态NAT配置或动态 NAT配置。
FTP DNS NetMeeting H.323,VoIP 其它自编应用
• 内嵌IP地址的应用有：
NAT与应用的兼容性问题，详见RFC 3027
议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
什么是NAT/NAPT
• NAT就是将网络地址从一个地址空间转换到另 外一个地址空间的一个行为
– 纯软件NAT – 防火墙NAT – 路由器NAT
• NAT的类型
– NAT（Network Address Translation）
• 转换后，一个本地IP地址对应一个全局IP地址
– NAPT （Network Address Port Translation）
• 转换后，多个本地地址对应一个全局IP地址
互联网 Inside 企业内部网 Outside 外部网
NAT术语
术语 内部本地IP地址 内部全局IP地址
外部全局IP地址 外部本地IP地址
简单转换条目 扩展转换条目
定义 分配给内部网络中的主机的IP地址，通常这种地址来自RFC 1918指定的 私有地址空间。 内部全局IP地址，对外代表一个或多个内部本地IP地址，通常这种地址 来自全局惟一的地址空间，通常是ISP提供的。 外部网络中的主机的IP地址，通常来自全局可路由的地址空间。 外部网络的主机在内部网络中表现的IP地址，通常来自RFC 1918定义的 私有地址空间。 将一个IP地址映射到另一个IP地址（通常被称为网络地址转换）的转换 条目。 将一个IP地址和端口对映射到另一个IP地址和端口（通常被称为端口地 址转换）对的转换条目。
– 定义接口连接外部网络
什么时候用NAPT
• 缺乏全局IP地址 • 甚至没有专门申请的全局IP地址，只有一个连 接ISP的全局IP地址 • 内部网要求上网的主机数很多 • 提高内网的安全性
静态与动态NAPT
• 静态NAPT
– 需要向外网络提供信息服务的主机 – 永久的一对一“IP地址 + 端口”映射关系
– 定义内部源地址动态转换关系
(config)# interface interface-type interface-number (config-if)#ip nat inside
– 定义该接口连接内部网络
• •
(config)# interface interface-type interface-number (config-if)#ip nat outside
网络地址转换技术
• NAT英文全称是“Network Address Translation”， 中文意思是“网络地址转换”，它是一个 IETF(Internet Engineering Task Force, Internet工 程任务组)标准，允许一个整体机构以一个公用IP （Internet Protocol）地址出现在Internet上。 • 它是一种把内部私有网络地址（IP地址）翻译成 合法网络IP地址的技术。 • NAT的典型应用是将使用私有IP地址（RFC 1918） 的园区网络连接到Internet
例子 动态内部源地址转换示例
内部全局地址复用示例
• • • • • • • • •
interface FastEthernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.168.12.200 255.255.255.0 ip nat outside ! ip nat pool net200 200.168.12.200 200.168.12.20 netmask 255.255.255.0 • ip nat inside source list 1 pool net200 • access-list 1 permit 192.168.12.0 0.0.0.255
• 清除状态命令
– clear ip nat translation * – clear ip nat translation outside local-address globaladdress – 更多的命令用 clear ip nat ?
课程回顾
• • • • 为什么需要 NAT程 NAT基本概念 NAT应用实例 NAT的监视和维护命令
TCP负载均衡
虚拟IP主机 可以是全局或私有IP
议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
NAT的监视和维护命令
• 显示命令
– show ip nat statistics – show ip nat translations [verbose]
• (config)#ip nat inside source static local-address global-address
– 定义内部源地址静态转换关系
•
(config)# interface interface-type interfacenumber • (config-if)#ip nat inside
• 动态NAPT
– 只访问外网服务，不提供信息服务的主机 – 临时的一对一“IP地址＋ 端口”映射关系
NAPT示例
可以是动态或 静态NAPT
配置静态NAPT
• (config)#ip nat inside source static {UDP | TCP} local-address port global-address port
– 定义内部源地址动态转换关系
• (config)# interface interface-type interface-number • (config-if)#ip nat inside
– 定义该接口连接内部网络
• (config)# interface interface-type interface-number • (config-if)#ip nat outside
内部源地址静态NAPT 示例
• 静态NAPT 可以用于构建虚拟服务器。
– 这里的构建虚拟服务器，是指在NAT 内部网架设服 务器，然后通过静态NAPT 映射到外部网。这样， 用户访问网络设备全
• 局地址上的虚拟服务器，就被转换到内部网相 应的服务器上。 • 下面的例子是将一台内网的WEB服务器 192.168.12.3 映射到全局IP200.198.12.1的80 端 口。
NAT/NAPT的术语
• • • • • • 内部网络 － Inside 外部网络 － Outside 内部本地地址－Inside Local Address 内部全局地址－Inside Global Address 外部本地地址－Outside Local Address 外部全局地址－Outside Global Address
议程
• • • • 为什么需要 NAT NAT基本概念 NAT应用实例 NAT的监视和维护命令
NAT/NAPT带来的好处
• 解决IPv4地址空间不足的问题； • 私有IP地址网络与公网互联；
– 10.0.0.0/8，172.16.0.0/12，192.168.0.0/16
• 非注册IP地址网络与公网互联；
– 建网时分配了全局IP地址－但没注册
• 网络改造中，避免更改地址带来的风险； • TCP流量的负载均衡
NAT/NAPT带来的限制
• 限制
– – – –
– – – – –
影响网络性能 不能处理IP报头加密的报文； 无法实现端到端的路径跟踪（traceroute) 某些应用可能支持不了：内嵌IP地址
– 定义全局IP地址池
• (config)#access-list access-list-number permit ip-address wildcard
– 定义访问列表，只有匹配该列表的地址才转换
• (config)#ip nat inside sourcelist access-list-number pool address-pool
• • • • • • • • • •
! interface FastEthernet 0/0 ip address 192.168.12.1 255.255.255.0 ip nat inside ! interface FastEthernet 1/0 ip address 200.198.12.1 255.255.255.0 ip nat outside ! ip nat inside source static tcp 192.168.12.3 80 200.198.12.1 80
– 定义全局IP地址池
• •
(config)# interface interface-type interface-number (config-if)#ip nat inside
– 定义该接口连接内部网络
• (config)# interface interface-type interface-number • (config-if)#ip nat outside
– 定义接口连接外部网络
配置动态NAPT
• • • • • (config)#ip nat pool address-pool start-address end-address {netmask mask | prefix-length prefix-length}
– 定义全局IP地址池，对于NAPT，一般就定义一个IP地址
• 要配置外部源地址的静态NAT，在全局配置模式中执行以下命令
IP地址重叠处理
NAT与TCP负载均衡
• • • • • • 物美价廉的解决方案 多台主机分担同一个任务（如Telnet） NAT提供了一个虚拟的IP地址 客户端通过访问虚拟的IP访问服务 实际的主机IP可以采用私有IP地址 虚拟的IP地址需要采用注册全局IP地址
• 静态NAT
– 需要向外网络提供信息服务的主机 – 永久的一对一IP地址映射关系
• 动态NAT
– – – – 只访问外网服务，不提供信息服务的主机 内部主机数可以大于全局IP地址数 最多访问外网主机数决定于全局IP地址数 临时的一对一IP地址映射关系
NAT示例ቤተ መጻሕፍቲ ባይዱ
可以是动态或 静态NAT
配置静态NAT