NAT擴(kuò)展IP地址

1、Scaling IP Addresses Scaling IP Addresses with NATwith NAT2Cisxo Education SolutionNATNAT網(wǎng)絡(luò)地址翻譯網(wǎng)絡(luò)地址翻譯 隨著隨著InternetInternet的飛速發(fā)展，網(wǎng)上豐富的資源產(chǎn)生著巨大的吸引力。的飛速發(fā)展，網(wǎng)上豐富的資源產(chǎn)生著巨大的吸引力。 接入接入InternetInternet成為當(dāng)今信息業(yè)最為迫切的需求。成為當(dāng)今信息業(yè)最為迫切的需求。 但這受到但這受到IPIP地址的許多限制。地址的許多限制。 首先，許多局域網(wǎng)在未聯(lián)入首先，許多局域網(wǎng)在未聯(lián)入InternetInternet之前，就已經(jīng)運(yùn)行許多年

2、了，局域之前，就已經(jīng)運(yùn)行許多年了，局域網(wǎng)上有了許多現(xiàn)成的資源和應(yīng)用程序，但它的網(wǎng)上有了許多現(xiàn)成的資源和應(yīng)用程序，但它的IPIP地址分配不符合地址分配不符合InternetInternet的國際標(biāo)準(zhǔn)，因而需要重新分配局域網(wǎng)的的國際標(biāo)準(zhǔn)，因而需要重新分配局域網(wǎng)的IPIP地址，這無疑是勞地址，這無疑是勞神費(fèi)時(shí)的工作神費(fèi)時(shí)的工作 其二，隨著其二，隨著InternetInternet的膨脹式發(fā)展，其可用的的膨脹式發(fā)展，其可用的IPIP地址越來越少，要想在地址越來越少，要想在ISPISP處申請(qǐng)一個(gè)新的處申請(qǐng)一個(gè)新的IPIP地址已不是很容易的事了。地址已不是很容易的事了。 3Cisxo Education

3、Solution NAT NAT（網(wǎng)絡(luò)地址翻譯）能解決不少令人頭疼的（網(wǎng)絡(luò)地址翻譯）能解決不少令人頭疼的問題。問題。 它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地它解決問題的辦法是：在內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，通過址，通過NATNAT把內(nèi)部地址翻譯成合法的把內(nèi)部地址翻譯成合法的IPIP地址，地址，在在InternetInternet上使用。上使用。 其具體的做法是把其具體的做法是把IPIP包內(nèi)的地址池（內(nèi)部本地）包內(nèi)的地址池（內(nèi)部本地）用合法的用合法的IPIP地址段（內(nèi)部全局）來替換。地址段（內(nèi)部全局）來替換。 4Cisxo Education SolutionChapter Activities

4、Chapter ActivitiesWindows 95 PCModemBranch officeISDN/analogSmall officeCentral siteFrame RelayFrame RelayservicePRIBRIBRIFrame RelayAsyncAAA serverAsyncSASAInside Local IP AddressInside Global IP AddressNAT table PAT5Cisxo Education Solution NAT NAT 術(shù)語術(shù)語 NATNAT

5、功能功能 NATNAT三種類型三種類型6Cisxo Education SolutionNAT NAT 術(shù)語術(shù)語InternetInsideInside Local IP AddressSimple NAT tableInside Global IP AddressHost BACBABDSADASADA7Cisxo Education Solution 內(nèi)部本地地址內(nèi)部本地地址: :私有私有

6、IPIP，不能直接用于互連網(wǎng)。，不能直接用于互連網(wǎng)。 內(nèi)部全局內(nèi)部全局地址地址：用來代替內(nèi)部本地：用來代替內(nèi)部本地IPIP地址的，對(duì)地址的，對(duì)外，或在互聯(lián)網(wǎng)上是合法的的外，或在互聯(lián)網(wǎng)上是合法的的IPIP地址。地址。8Cisxo Education SolutionNAT NAT 功能功能Inside Local IP AddressNAT tableInside Global IP Address NAT NAT 功能功能: :- 內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換- 復(fù)用內(nèi)部的全局地址- TCP 負(fù)載均衡- 解決網(wǎng)絡(luò)地址重疊Inter

7、netInside9Cisxo Education Solution復(fù)用內(nèi)部的全局地址復(fù)用內(nèi)部的全局地址 將一個(gè)內(nèi)部全局地址用于同時(shí)代表多個(gè)內(nèi)部局部將一個(gè)內(nèi)部全局地址用于同時(shí)代表多個(gè)內(nèi)部局部地址。地址。 主要用主要用IPIP地址和端口號(hào)的組合來唯一區(qū)分各個(gè)內(nèi)地址和端口號(hào)的組合來唯一區(qū)分各個(gè)內(nèi)部主機(jī)。部主機(jī)。 目前在公司內(nèi)普遍應(yīng)用。（如下圖）目前在公司內(nèi)普遍應(yīng)用。（如下圖）10Cisxo Education Solution復(fù)用內(nèi)部的全局地址復(fù)用內(nèi)部的全局地址:1723:1024NAT table:172319

8、:1024:23:23TCPTCP:1723:1492 :23TCPInternetInsideHost B13SADASADA452Host CDA4Inside Global IP Address: PortOutside Global IP Address: PortProtocolInsi

9、de Local IP Address: Port11Cisxo Education SolutionTCP TCP 負(fù)載均衡負(fù)載均衡 TCP TCP 負(fù)載均衡：用于將一臺(tái)虛擬的主機(jī)映射到幾負(fù)載均衡：用于將一臺(tái)虛擬的主機(jī)映射到幾臺(tái)真實(shí)的主機(jī)上。臺(tái)真實(shí)的主機(jī)上。( (如下圖如下圖) )12Cisxo Education SolutionTCP TCP 負(fù)載均衡負(fù)載均衡NAT tableInside Global IP Address: Port 27:8027:8027:80Outside Global IP Address: Po

10、rt:3058:4371:3062ProtocolTCPTCPTCPInside Local IP Address: Port:80:80:80InternetInsideHost B45SADASA27DA27132Host C27VirtualhostRealhosts13Cisxo Education

11、 Solution解決網(wǎng)絡(luò)地址重疊解決網(wǎng)絡(luò)地址重疊InternetDNS serverx.x.x.xHost CInside Local IP AddressInside Global IP AddressOutside Global IP AddressOutside Local IP Address NAT tableDNS request for host C addressSA= DA=x.x.x.xDNS response from x.x.x.x m

12、essage to host CSA= x.x.x.x DA= C= SA= DA= message to host CSA= DA= SA= x.x.x.x DA= C= DNS request for host C addressSA= DA=x.x.x.x14Cisxo Education SolutionNATNAT三種類型三種類型 NATNAT有三種類型：靜態(tài)有三種類型：靜態(tài)NATNAT（staticNAT

13、staticNAT）、）、NATNAT池（池（pooledNATpooledNAT）和端口和端口NATNAT（PATPAT）。）。 其中靜態(tài)其中靜態(tài)NATNAT設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映設(shè)置起來最為簡單，內(nèi)部網(wǎng)絡(luò)中的每個(gè)主機(jī)都被永久映射成射成 外部網(wǎng)絡(luò)中的某個(gè)合法的地址。外部網(wǎng)絡(luò)中的某個(gè)合法的地址。 多用于服務(wù)器。多用于服務(wù)器。 而而NATNAT池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配池則是在外部網(wǎng)絡(luò)中定義了一系列的合法地址，采用動(dòng)態(tài)分配的方法映射到內(nèi)部網(wǎng)絡(luò)。的方法映射到內(nèi)部網(wǎng)絡(luò)。 多用于網(wǎng)絡(luò)中的工作站。多用于網(wǎng)絡(luò)中的工作站。 PATPAT則是把內(nèi)部地址映射

14、到外部網(wǎng)絡(luò)的一個(gè)則是把內(nèi)部地址映射到外部網(wǎng)絡(luò)的一個(gè)IPIP地址的不同端口上。地址的不同端口上。15Cisxo Education SolutionStatic NAT Configuration ExampleStatic NAT Configuration Exampleip nat inside source static !interface Ethernet0 ip address 0 ip nat inside!interface Serial0 ip address 255.2

15、55.255.0 ip nat outside! Maps the inside local address to the inside global address.This interface connected to the outside world. This interface connected to the inside network. 16Cisxo Education SolutionNATNAT靜態(tài)映射實(shí)例靜態(tài)映射實(shí)例 使用靜態(tài)使用靜態(tài)NATNAT實(shí)現(xiàn)沒有路由可達(dá)性的內(nèi)網(wǎng)實(shí)現(xiàn)沒有路由可達(dá)性的內(nèi)網(wǎng)FTPFTP服務(wù)服務(wù)器（器（）和外網(wǎng)

16、上的主機(jī)之間的雙向連通）和外網(wǎng)上的主機(jī)之間的雙向連通。17Cisxo Education Solution interface Ethernet0interface Ethernet0 ip ip address address ip ip natnat inside inside（指定內(nèi)部接口）（指定內(nèi)部接口） ! ! interface Serial0interface Serial0 ip ip address address 200.1.1

17、.1 ip ip natnat outside outside （指定外部接口）（指定外部接口） ! ! ip ip natnat inside source static inside source static ( (建立兩個(gè)建立兩個(gè)IPIP地址之間的靜態(tài)映射地址之間的靜態(tài)映射) ) ip ip classless classless ip ip route route 18Cis

18、xo Education Solution 注意：注意： 從外網(wǎng)到內(nèi)網(wǎng)建立靜態(tài)映射后，外網(wǎng)能從外網(wǎng)到內(nèi)網(wǎng)建立靜態(tài)映射后，外網(wǎng)能PINGPING通內(nèi)通內(nèi)部全局地址（部全局地址（）, ,如果使用真實(shí)地址，則訪如果使用真實(shí)地址，則訪問失敗，這是因?yàn)閺耐饩W(wǎng)沒有到達(dá)內(nèi)網(wǎng)的路由存問失敗，這是因?yàn)閺耐饩W(wǎng)沒有到達(dá)內(nèi)網(wǎng)的路由存在！在！ Ping Ping Ping !Ping !19Cisxo Education Solutionip nat pool dyn-nat

19、54 netmask ip nat inside source list 1 pool dyn-nat!interface Ethernet0 ip address 0 ip nat inside!interface Serial0 ip address ip nat outside! access-list 1 permit 55!Dynamic NAT ConfigurationDynamic NAT Configur

20、ationTranslate between inside hosts addressed from /24 to the globally unique /24 network. This interface connected to the outside world. This interface connected to the inside network. 20Cisxo Education SolutionConfiguring Inside Global Address Configuring Inside Global Address O

21、verloadingOverloadingip nat pool ovrld-nat netmask ip nat inside source list 1 pool ovrld-nat overload!interface Ethernet0/0 ip address 0 ip nat inside!interface Serial0/0 ip address ip nat outside!access-list 1 permi

22、t 5521Cisxo Education SolutionRouter#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp :11003 :11003 :23 :23tcp :1067 :1067 :23 :23Verifying NATVerifying NATA translation for a T

23、elnet is still active. Two different inside hosts appear on the outside with a single IP address.Basic IP address translation Unique TCP port numbers are used to distinguishbetween hosts. Router#show ip nat transProInside globalInside local Outside local Outside global-- -1

24、-IP address translation with overloading22Cisxo Education SolutionRouter#debug ip natNAT: s=-, d= 0NAT: s=, d=- 0NAT: s=-, d= 1NAT: s=-, d= 2NAT: s=-, d=172.1

25、6.2.2 3NAT*: s=, d=- 1NAT: s=, d=- 1NAT: s=-, d= 4NAT: s=-, d= 5NAT: s=-, d= 6NAT*: s=, d=- 2Troubleshooting NATTroubleshootin

26、g NATAn example address translation inside-to-outside.A reply to the packet sent.An example TCP conversation, inside-to-outside.* Indicates translation was in the fast path.23Cisxo Education SolutionClearing NAT Translation EntriesClearing NAT Translation EntriesAll entries are cleared. is cleared.Router#sh ip nat transPro Inside global Inside local Outside local Outside globaltcp :11003 :11003