NP12網(wǎng)絡(luò)地址轉(zhuǎn)換NAT

第十二章

網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）交換今日汗水，路由明朝輝煌教學(xué)目標掌握網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）的概念掌握NAT的類型及應(yīng)用場合掌握NAT工作原理及配置方法本章內(nèi)容NAT概述NAT配置與調(diào)試NAT的功能課程議題NAT概述NAT概念地址空間不足帶來的問題注冊IP地址空間將要耗盡，而Internet的規(guī)模仍在持續(xù)增長隨著Internet的增長，骨干互聯(lián)網(wǎng)路由選擇表中的IP路由條目也在增加，這引發(fā)了路由選擇算法的擴展問題NAT概念網(wǎng)絡(luò)地址轉(zhuǎn)換NAT（NetworkAddressTranslation）NAT是一種大型網(wǎng)絡(luò)中節(jié)約注冊IP地址數(shù)量，并簡化IP尋址管理任務(wù)的機制。NAT已經(jīng)標準化并在RFC1613中描述它是一個IETF(InternetEngineeringTaskForce,Internet工程任務(wù)組)標準，允許一個整體機構(gòu)以一個公用IP地址出現(xiàn)在Internet上它是一種把內(nèi)部私有網(wǎng)絡(luò)地址翻譯成合法公網(wǎng)IP地址的技術(shù)什么時候使用NAT局域網(wǎng)與Internet互聯(lián)時，需要使用NAT技術(shù)常見實現(xiàn)方式代理服務(wù)器proxy、ISA、ICS、

wingate、sysgate等NAT/NAPT(網(wǎng)絡(luò)地址轉(zhuǎn)換/網(wǎng)絡(luò)地址端口轉(zhuǎn)換)路由器、防火墻、核心交換機、服務(wù)器NAT/NAPT帶來的好處解決地址空間不足的問題；IPv4的空間已經(jīng)嚴重不足私有IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；10.0.0.0/8，172.16.0.0/12，192.168.0.0/16非注冊IP地址網(wǎng)絡(luò)與公網(wǎng)互聯(lián)；建網(wǎng)時分配了全局IP地址－但沒注冊網(wǎng)絡(luò)改造中，避免更改地址帶來的風(fēng)險什么是NAT/NAPT概念：NAT就是將網(wǎng)絡(luò)地址從一個地址空間轉(zhuǎn)換到另外一個地址空間的一個行為NAT的類型NAT（NetworkAddressTranslation） 轉(zhuǎn)換后，一個本地IP地址對應(yīng)一個全局IP地址NAPT（NetworkAddressPortTranslation） 轉(zhuǎn)換后，多個本地地址對應(yīng)一個全局IP地址NAT/NAPT的術(shù)語Inside：表示內(nèi)部網(wǎng)絡(luò)，這些網(wǎng)絡(luò)的地址需要被轉(zhuǎn)換。在內(nèi)部網(wǎng)絡(luò)，每臺主機都分配一個內(nèi)部IP地址，但與外部網(wǎng)絡(luò)通訊時，又表現(xiàn)為另外一個地址。每臺主機的前一個地址又稱為本地地址，后一個地址又稱為全局地址。Outside：指內(nèi)部網(wǎng)絡(luò)需要連接的網(wǎng)絡(luò)，一般指互聯(lián)網(wǎng)，也可以是另外一個機構(gòu)的網(wǎng)絡(luò)。外部的地址也可以被轉(zhuǎn)換，外部主機也同時具有內(nèi)部地址和外部地址?；ヂ?lián)網(wǎng)OutsideInside企業(yè)內(nèi)部網(wǎng)外部網(wǎng)NAT/NAPT的術(shù)語內(nèi)部本地地址（InsideLocalAddress）

分配給內(nèi)部網(wǎng)絡(luò)主機的IP地址，可能是非法的未向相關(guān)機構(gòu)注冊的IP地址，也可能是合法的私有網(wǎng)絡(luò)地址。內(nèi)部全局地址（InsideGlobalAddress）

合法的全局可路由地址，在外部網(wǎng)絡(luò)代表著一個或多個內(nèi)部本地地址。外部本地地址（OutsideLocalAddress）

外部網(wǎng)絡(luò)的主機在內(nèi)部網(wǎng)絡(luò)中表現(xiàn)的IP地址，該地址是內(nèi)部可路由地址，往往是一個公網(wǎng)地址。外部全局地址（OutsideGlobalAddress）

外部網(wǎng)絡(luò)分配給外部主機的IP地址，可能是一個私網(wǎng)地址課程議題NAT配置與調(diào)試NAT分類根據(jù)NAT的映射方式可分為：靜態(tài)NAT：手動建立一個內(nèi)部IP地址到一個外部IP地址的映射關(guān)系該方式經(jīng)常用于企業(yè)網(wǎng)的內(nèi)部設(shè)備需要能夠被外部網(wǎng)絡(luò)訪問到的場合動態(tài)NAT：將一個內(nèi)部IP地址轉(zhuǎn)換為一組外部IP地址（地址池）中的一個IP地址常用于整個公司共用多個公網(wǎng)IP地址訪問Internet時NAT分類超載（Overloading）NAT：動態(tài)NAT的一種特殊形式，利用不同端口號將多個內(nèi)部IP地址轉(zhuǎn)換為一個外部IP地址，也稱為PAT、NAPT或端口復(fù)用NAT。用于整個公司共用1個公網(wǎng)IP地址訪問Internet時重疊（Overlapping）NAT：當(dāng)在內(nèi)部網(wǎng)絡(luò)中使用的IP地址是其他網(wǎng)絡(luò)中已經(jīng)使用的ip時，NAT路由器就需要維護一張查找表，以便用唯一的IP地址來替換這些重復(fù)的IP地址。NAT路由器不但要將這些內(nèi)部IP地址轉(zhuǎn)換為一個唯一的地址，而且將外部地址轉(zhuǎn)換為外部一個唯一的地址。靜態(tài)與動態(tài)NAT靜態(tài)NAT需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機永久的一對一IP地址映射關(guān)系動態(tài)NAT只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機內(nèi)部主機數(shù)可以大于全局IP地址數(shù)最多訪問外網(wǎng)主機數(shù)決定于全局IP地址數(shù)臨時的一對一IP地址映射關(guān)系NAT示例內(nèi)部本地地址內(nèi)部全局地址192.168.12.2200.168.12.2192.168.12.0/24192.168.12.2192.168.12.1168.168.12.1InsideOutside源地址：192.168.12.2

目的地址：168.168.12.1源地址：200.168.12.2

目的地址：168.168.12.1源地址：168.168.12.1

目的地址：200.168.12.2源地址：168.168.12.1

目的地址：192.168.12.2配置靜態(tài)NAT建立靜態(tài)的映射關(guān)系Router(config)#ip

natinsidesourcestaticlocal-addressglobal-address定義內(nèi)網(wǎng)接口和外網(wǎng)接口Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ip

natinside

Router(config)#interfaceinterface-typeinterface-numberRouter(config-if)#ip

natoutside

示例192.168.12.2F1/0192.168.12.1InsideOutsideS1/2200.168.12.1內(nèi)部本地地址內(nèi)部全局地址192.168.12.2200.168.12.2Router(config)#ip

natinsidesourcestatic192.168.12.2

200.168.12.2Router(config)#interfacefastEthernet1/0Router(config-if)#ip

natinsideRouter(config)#interfaceserial1/2

Router(config-if)#ip

natoutside配置動態(tài)NAT定義內(nèi)網(wǎng)接口和外網(wǎng)接口

Router(config-if)#ip

natoutside

Router(config-if)#ip

natinside定義內(nèi)部本地地址范圍，只有匹配該列表才轉(zhuǎn)換

Router(config)#access-listaccess-list-numberpermitip-addresswildcard

定義內(nèi)部全局地址池 Red-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmask

mask|prefix-lengthprefix-length}建立映射關(guān)系

Router(config)#ip

natinsidesourcelistaccess-list-numberpooladdress-pool

示例interfaceFastEthernet1/0

ipaddress192.168.12.1255.255.255.0ip

natinside!interfaceSerial1/2ipaddress200.168.12.1255.255.255.0encapsulationppp

ip

natoutside!ip

natpoolnet200200.168.12.2200.168.12.100netmask255.255.255.0ip

natinsidesourcelist1poolnet200access-list1permit192.168.12.00.0.0.255NAPT配置傳統(tǒng)的NAT一般是指一對一的地址映射，不能同時滿足所有的內(nèi)部網(wǎng)絡(luò)主機與外部網(wǎng)絡(luò)通訊的需要。使用NAPT，可以將多個內(nèi)部本地地址映射到一個內(nèi)部全局地址，路由器用“內(nèi)部全局地址+TCP/UDP端口號”來對應(yīng)“一個內(nèi)部主機地址+TCP/UDP端口號”。當(dāng)進行NAPT轉(zhuǎn)換時，路由器需要維護足夠的信息（比如IP地址、TCP/UDP端口號）才能將全局地址轉(zhuǎn)換回內(nèi)部本地地址，目前RGNOS的NAT缺省就是支持NAPT轉(zhuǎn)換的。靜態(tài)與動態(tài)NAPT靜態(tài)NAPT需要向外網(wǎng)絡(luò)提供信息服務(wù)的主機永久的一對一“IP地址+端口”映射關(guān)系動態(tài)NAPT只訪問外網(wǎng)服務(wù)，不提供信息服務(wù)的主機臨時的一對一“IP地址+端口”映射關(guān)系NAPT工作原理源IP:192.168.1.7:1024目的IP:63.5.8.1:80內(nèi)部本地地址：端口內(nèi)部全局地址:端口外部全局地址:端口192.168.1.7:1024200.8.7.3:102463.5.8.1：80192.168.1.5:1136200.8.7.3:113663.5.8.1：80源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:200.8.7.3:1024200.8.7.3/2463.5.8.1192.168.1.5192.168.1.7Web服務(wù)源IP:200.8.7.3:1024目的IP:63.5.8.1:80源IP:63.5.8.1:80目的IP:192.168.1.7:1024源IP:63.5.8.1:80目的IP:192.168.1.7:1024配置靜態(tài)NAPT定義全局IP地址池

Router(config)#ip

natinsidesourcestatic{UDP|TCP}local-addressportglobal-addressport

定義內(nèi)網(wǎng)接口和外網(wǎng)接口

Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ip

natinside

Router(config)#interfaceinterface-typeinterface-number

Router(config-if)#ip

natoutside配置靜態(tài)NAPT相關(guān)說明如果有條件，盡量不要用outside接口的全局地址作為內(nèi)部全局地址，該接口地址的所有者是互聯(lián)網(wǎng)服務(wù)提供商（ISP）。當(dāng)線路變更時該地址就會改變，就需要更改DNS記錄了，如果是直接通過IP提供服務(wù)，那就更麻煩了，而線路的變更是常有的事。配置動態(tài)NAPT定義內(nèi)網(wǎng)接口和外網(wǎng)接口

Router(config-if)#ip

natoutside

Router(config-if)#ip

natinside定義內(nèi)部本地地址范圍，只有匹配該列表才轉(zhuǎn)換

Router(config)#access-listaccess-list-numberpermitip-addresswildcard

定義內(nèi)部全局地址池 Red-Giant(config)#ip

natpooladdress-poolstart-addressend-address{netmask

mask|prefix-lengthprefix-length}建立映射關(guān)系

Router(config)#ip

natinsidesourcelistaccess-list-numberpooladdress-pool

overload什么時候用NAPT缺乏全局IP地址甚至沒有專門申請的全局IP地址，只有一個連接ISP的全局IP地址內(nèi)部網(wǎng)絡(luò)要求上網(wǎng)的主機數(shù)很多提高內(nèi)部網(wǎng)絡(luò)的安全性調(diào)整地址轉(zhuǎn)換超時時間靜態(tài)NAT轉(zhuǎn)換是永久有效的，但動態(tài)NAT轉(zhuǎn)換過一定的時間，如果一直處于空閑狀態(tài)，就會超時。對于不同的協(xié)議，以及不同應(yīng)用，超時時間都不一樣。要調(diào)整NAT地址轉(zhuǎn)換超時時間，在全局配置模式中執(zhí)行。調(diào)整地址轉(zhuǎn)換超時時間命令作用Red-Giant(config)#ip

nattranslationdns-timeoutseconds定義DNS轉(zhuǎn)換記錄的超時時間，缺省60秒Red-Giant(config)#ip

nattranslationfinrst-timeoutseconds定義TCP連接FIN以及RESET后轉(zhuǎn)換記錄的超時時間，缺省60秒Red-Giant(config)#ip

nattranslationicmp-timeoutseconds定義ICMP轉(zhuǎn)換記錄的超時時間，缺省60秒Red-Giant(config)#ip

nattranslationtcp-timeoutseconds定義TCP連接轉(zhuǎn)換記錄的超時時間，缺省24小時Red-Giant(config)#ip

nattranslationudp-timeoutseconds定義UDP連接轉(zhuǎn)換記錄的超時時間，缺省300秒NAT的監(jiān)視和維護命令顯示命令顯示翻譯統(tǒng)計

showip

natstatistics顯示活動翻譯

showip

nattranslations[verbose]清除狀態(tài)命令從NAT轉(zhuǎn)換表中清除所有動態(tài)地址轉(zhuǎn)換項

clearip

nattranslation*課程議題NAT的功能NAT功能NAT功能：內(nèi)部網(wǎng)絡(luò)地址轉(zhuǎn)換復(fù)用內(nèi)部的全局地址TCP負載均衡解決網(wǎng)絡(luò)地址重疊復(fù)用內(nèi)部的全局地址將一個內(nèi)部全局地址用于同時代表多個內(nèi)部局部地址主要用IP地址和端口號的組合來唯一區(qū)分各個內(nèi)部主機TCP負載均衡TCP負載均衡：用于將一臺虛擬的主機映射到幾臺真實的主機上。TCP負載均衡示例Router(config)#access-list10permithost10.1.1.127Router(config)#ip

natpoolwebserver10.1.1.110.1.1.3prefix-length24typerotaryRouter(config)#ip

nat

outsidedestinationlist10poolwebserverRouter(config)#interface

fasetEthernet0/0Router(config-if)#ipaddress10.1.1.254255.255.255.0Router(config-if)#ip

natinsideRouter(config-if)#exitRouter(config)#interface

fasetEthernet0/1Router(config-if)#ipaddress172.16.2.1255.255.255.0Router(config-if)#ip

natoutsideRouter(config-if)#exit地址重疊的NAT轉(zhuǎn)換解決網(wǎng)絡(luò)地址重疊示例Router(config)#access-list10permit10.1.1.00.0.0.255Router(config)#ip

natpoolin-out192.2.2.1192.2.2.254prefix-length24Router(config)#ip

natpoolout-in192.3.3.1192.3.3.254prefix-length24Router(c