为您推荐:
精华内容
最热下载
问答
  • 网络地址转换NAT3.总结 1.虚拟专用网VPN     利用公用的因特网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网。由于IPv4地址的紧缺,一个机构能够申请到的IPv4地址数量往往小于本机构所拥有...


    1.虚拟专用网

        利用公用的因特网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网。由于IPv4地址的紧缺,一个机构能够申请到的IPv4地址数量往往小于本机构所拥有的主机数量。因此虚拟专用网中的各个主机所分配到的地址应该是本机构可自由分配的专用地址,而不是需要申请的、在因特网上使用的公有地址。
    在这里插入图片描述
        例如同一机构的两个部门分别位于上海和北京,这两个部门的专用网络之间的通信要虚拟专用网来解决。给每个主机分配一个专用地址,与主机相连的路由器则需要有一个能在因特网使用的全球IP地址,以完成在因特网的通信。当地址为10.1.0.3的主机要给部门B的主机10.2.0.3发送报文,那么首先会产生一个内部IP数据报,其源地址为10.1.0.3,目的地址为10.2.0.3。当经过路由器进行转发时,会给内部IP数据报添加一个首部,首部的源地址为R1的全球IP地址,目的地址为R2的全球IP地址,并且对数据报进行加密。而R2收到报文后,进行解密,再根据内部IP数据报的目的地址发送给指定主机。
        同一个机构内的不同部门的内部网络所构成的虚拟专用网络VPN称为内联虚拟专用网。有时一个机构的VPN需要某些外部机构参加进来,这样的VPN称为外联虚拟专用网。而在外地工作的员工需要访问公司内部的专用网络时,只要在任何地点接入因特网,运行驻留在员工PC中的VPN软件,在员工的PC和主机之间建立VPN隧道,即可访问专用网络中的资源,称为远程接入虚拟专用网


    2.网络地址转换NAT

        IPv4地址的紧缺仍然没有被缓解,因此提出了一种网络地址转化NAT方法来缓解IPv4地址即将耗尽的问题。NAT能使大量使用内部专用地址的专用网络用户共享少量外部全球访问地址
    在这里插入图片描述
        将安装了NAT软件的路由器称为NAT路由器。当主机192.168,0,2要和因特网上的服务器218.75.230.30通信时,发送IP数据报到达路由器后,会修改源地址从专用地址成NAT路由器中的全球IP地址,并且记录172.38.1.5和192.168.0.2的对应关系,再转发到因特网上。
    在这里插入图片描述
        而当服务器发送报文给该主机时,根据目的地址中的全球IP地址,查阅路由器中的对应关系,找到主机的专用IP地址,进行转发。
        但NAT存在一个问题,如果NAT路由器具有n个全球IP地址,那么至多只能维持n个内网主机能够同时和因特网上的主机通信。而绝大多数的网络应用都是使用运输层协议TCP和UDP来传送数据,因此可以利用运输层的端口号和IP地址一起进行转换,这样,用一个全球IP地址就可以使多个拥有本地地址的主机同时和因特网上的主机通信,这种技术叫做网络地址与端口转换NAPT
    在这里插入图片描述


    3.总结

        全文内容总结如下:
    在这里插入图片描述

    展开全文
    m0_56561130 2021-11-11 10:45:54
  • 记录大学时的网络地址转换NAT学习经过,当时参考了一些网络资料,出处已难寻,如有误,请不吝赐教。 网络地址转换NAT(Network Address Translation)技术作为延缓IPv4地址枯竭的方法之一,目前已经普遍流行于各种企业...


    记录大学时的网络地址转换NAT学习经过,当时参考了一些网络资料,出处已难寻,如有误,请不吝赐教。
    网络地址转换NAT(Network Address Translation)技术作为延缓IPv4地址枯竭的方法之一,目前已经普遍流行于各种企业网络之中。NAT技术的出现改变了原来简单的网络结构,使其变得复杂,在节省IP地址和保护网络的同时,也给网络追踪和网络安全带来了困难。

    NAT简介

    NAT最初定义在RFC1631,用在接入广域网中,通过修改IP报文的地址信息,实现将内部网络的私有地址到外部网络的公有地址的转换。NAT的产生原因和无分类域间路由(CIDR)一样,都是为了减缓IPv4地址耗竭的问题。NAT实现了私有地址到公有地址的转换,使得企业内部网络可以使用相同的私有地址,但在对外通信的时候却可以使用公有地址通信,降低了企业对公有地址的需求。
    RFC1918定义了Internet中的私有地址,主要包含以下几类:
    1.A类:10.0.0.0~10.255.255.255
    2.B类:172.16.0.0~172.31.255.255
    3.C类:192.168.0.0~192.168.255.255
    私有地址只能用于企业网络的内部通信,不用于Internet的通信,Internet上的路由器会丢弃目的IP为私有地址的报文。私有地址的出现使得每台主机的通信不必都申请公有地址,从而节省了IP地址,有助于缓解IPv4地址的枯竭。
    NAT的相关术语:

    名称定义
    内部本地地址(Inside Local, IL)指分配给内部网络主机的IP地址,该地址可能是非法的未向相关机构注册的IP地址,也可能是合法的私有网络地址
    内部全局地址(Inside Global,IG)合法的全局可路由地址,在外部网络代表着一个或多个内部本地地址
    外部本地地址(Outside Local,OL)外部网络的主机在内部网络中表现的IP地址,该地址是内部可路由地址,一般不是注册的全局唯一地址
    外部全局地址(Outside Global,OG)外部网络分配给外部主机的IP地址,该地址为全局可路由地址

    个人理解:
    1.内部本地地址就是自己人开局域网玩(北京,上海,广州,深圳,武汉,重庆,成都等等),还不让人知道我们有多少玩家,叫什么,怎么组队的;
    2.内部全局地址就是局域网数据包通过路由器出去广域网时统一身份(只有一个中国),而广域网数据包进自己人的局域网时,路由器里的映射表会给自己人一一对应(中国北京–北京,中国上海–上海,中国广东–广东等等);
    3.而外部本地地址即是外部的人自己开的局域网(华盛顿,纽约,洛杉矶等等),同理也不让人知道有多少玩家,叫什么,怎么组队的;
    4.外部全局地址即是外部的人自己开的局域网的数据包通过路由器出去广域网时统一身份(美利坚联邦)。

    NAT除了应用在地址转换外,在网络的迁移和合并、服务器负载均衡、创建虚拟主机等方面也有很好的应用。

    NAT分类

    NAT根据其应用主要分成以下几类:静态地址映射NAT,动态地址映射NAT、端口映射NAPT、NAT负载均衡。

    NAT类型特点
    静态NAT一个私有IP固定映射一个公有IP地址,提供内网服务器的对外访问服务
    动态NAT私有IP映射地址池中的公有IP,映射关系是动态的,临时的
    NAPT私有IP地址和端口号与同一个公有地址加端口进行映射

    静态NAT

    静态转换NAT是最简单的方式,它在NAT表中为每个需要转换的内部地址创建了固定的转换条目,映射了唯一的全局地址。内部地址与全局地址一一对应。如:192.168.12.2 ---- 200.268.12.2。
    静态NAT的工作原理
    如图所示,内网主机A:172.16.10.10发送数据外网主机B:210.38.224.20。在数据到达网络边缘NAT路由器之前,报文的源IP为A的IP地址:172.16.10.10,目的IP为B的IP地址:210.38.224.20。报文到达路由器后,路由器会查找NAT映射表,取得172.16.10.10映射的内部全局地址202.80.20.1,继而将报文的源IP地址替换为202.80.20.1,如图中数据包2所示。在外网主机B和内网主机A的通信过程中,则会将报文的目的IP地址进行替换。
    静态映射对外隐藏了内部主机的真实IP地址,起到保护内部主机的作用。静态NAT还可以让外部主机通过内部全局地址访问内部的服务器,在内网需要向外提供网络服务而又不愿意暴露真实IP地址通常使用该类NAT技术。

    静态NAT配置步骤

    步骤1	配置内部接口、和外部接口	
    Router(config-if)#interface  interface-id
    Router(config-if)#ip nat outside   //进入外部接口接口模式
    
    Router (config-if)#interface  interface-id
    Router (config-if)#ip nat inside   //进入内部接口接口模式
    
    步骤2	配置本地地址和全局地址的静态映射	
    Router (config)#ip nat inside source static x.x.x.x(本地地址)  x.x.x.x(全局地址)
     
    步骤4	检查NAT的运行结果	
    Router #show ip nat translations 
    

    命令详解:
    (1)例1:置内网主机192.168.20.100能够被外网主机访问,外部访问地址为:200.30.2.100,NAT映射命令如下:
    Router(config)# ip nat inside source static 192.168.20.100 200.30.2.100
    (2)例2:配置内网主机192.168.20.100的Web服务80端口能够被外网访问,外部访问地址为200.30.2.100,NAT映射命令如下:
    Router(config)# ip nat tcp inside source static 192.168.20.100 80 200.30.2.100 80
    (3) ip nat inside source 与 ip nat outside source的区别
    ip nat inside source表示转换IP包的源地址,当数据包从内部发往外部;或者转换IP包的目的地址,当数据包从外部传输到内部。
    ip nat outside source表示转换IP包的源地址,当数据包从外部传输到内部;或者转换IP包的目的地址,当数据包从内部发往外部。

    配置实例:
    静态NAT网络拓扑图
    地址表如下:

    设备接口IP地址子网掩码
    R1Fa 0/0192.168.1.1/24
    R1S2/0(DCE)210.38.220.1/24
    R2S2/0210.38.220.2/24
    PC1NIC192.168.1.10/24
    PC2NIC192.168.1.20/24

    背景说明:
    某公司需要访问外部网络,但是有需要向外隐藏内部的具体IP地址。同时,本公司的PC1主机192.168.1.10需要能够被外部主机访问,映射的本地全局地址为210.38.220.10。要求根据上述要求,配置R1和R2路由器,使得PC1能够访问外网,PC2不能够访问外网,外部网络可以访问PC1。
    配置步骤:

    步骤1:R1配置
    R1(config)#int f0/0
    R1(config-if)#ip add 192.168.1.1 255.255.255.0
    R1(config-if)#ip nat inside                //配置f0/0接口为内部接口
    R1(config-if)#no shutdown
    
    R1(config-if)#int s2/0
    R1(config-if)#clock rate 64000               //DCE,配置时钟频率
    R1(config-if)#ip address 210.38.220.1 255.255.255.0
    R1(config-if)#ip nat outside               //配置s0/0接口为外部接口
    R1(config-if)#no shutdown                //激活接口
    
    R1(config)#ip nat inside source static 192.168.1.10 210.38.220.10 //配置内网地址192.168.1.10到外网地址210.38.220.10的静态映射
    步骤2:R2配置
    R2(config)#int s2/0
    R2(config-if)#ip address 210.38.224.2 255.255.255.0   //配置接口IP地址
    R2(config-if)#no shutdown
    步骤3:检查配置结果与测试
         (1)测试内网主机到外网通信。PC1上ping 路由器的接口。
    C:\>ping 210.38.220.2
    Pinging 210.38.220.2 with 32 bytes of data:
    Reply from 210.38.220.2: bytes=32 time=94ms TTL=254
    Reply from 210.38.220.2: bytes=32 time=93ms TTL=254
    Reply from 210.38.220.2: bytes=32 time=78ms TTL=254
    Reply from 210.38.220.2: bytes=32 time=78ms TTL=254
    Ping statistics for 210.38.220.2:
        Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
        Minimum = 78ms, Maximum = 94ms, Average = 85ms
    (2)测试外网主机访问内网。
    (3)使用debug命名查看IP地址变化。
    R2#debug ip icmp
    ICMP: echo reply sent, src 210.38.220.2, dst 210.38.220.10
    ICMP: echo reply sent, src 210.38.220.2, dst 210.38.220.10
    ICMP: echo reply sent, src 210.38.220.2, dst 210.38.220.10
    ICMP: echo reply sent, src 210.38.220.2, dst 210.38.220.10
    在R2上使用debug命令查看来自于PC1的ICMP报文,可以观察到报文的源地址已经变成210.38.220.2,说明完成了静态映射功能。
    (4)查看路由器的NAT地址转换表。
    R1#sh ip nat translations 
    Pro  Inside global     Inside local       Outside local      Outside global
    ---  210.38.220.10     192.168.1.10       ---                ---
       
    在R1上使用show ip nat translations查看路由器中的静态映射表,可以看到Inside local(本地局部地址)和Inside global(本地全局地址)的映射关系已经建立。
    

    动态NAT

    动态转换(亦称NAT pool)是指不建立内部地址和全局地址的一对一的固定对应关系。而通过共享NAT地址池的IP地址动态建立NAT的映射关系。当内网主机需要进行NAT地址转换时,路由器会在NAT地址池中选择空闲的全局地址进行映射,每条映射记录是动态建立的,在连接终止时也被收回。
    个人理解:从静态NAT的一对一变成动态NAT有时限的多对多,实质还是一对一。
    动态NAT的工作原理
    如图所示,内网主机A的报文经过边缘路由器时,路由器会在预先配置好的NAT地址池中选出空闲的内部全局地址进行映射。如图所示,NAT地址池中只有202.80.20.2是空闲的,所以路由器选取该地址和172.16.10.10建立映射关系,172.16.10.10 -->202.80.20.2。因此数据包1的源IP地址将会替换为202.80.20.2。数据包从外网返回则替换目的IP地址。

    动态NAT配置步骤

    步骤1	配置内部接口、和外部接口	
    Router(config-if)#interface  interface-id
    Router(config-if)#ip nat outside  //配置外部接口
    
    Router (config-if)#interface  interface-id
    Router (config-if)#ip nat inside  //配置内部接口
    
    步骤2	配置转换地址池	
    Router (config)#ip nat pool name start-ip end-ip {netmask x.x.x.x| prefix-length x }
    
    步骤3	配置需要进行地址转换源IP访问控制列表	
    Router(config) # access-list  number permit x.x.x.x(网络号)  x.x.x.x (子网掩码)
    
    步骤4	配置NAT转换	
    Router(config)# ip nat inside source list number pool pool-name
    
    步骤5	检查NAT的运行结果	
    Router #show ip nat translations 
    

    例子:允许内部地址为192.168.20.0/24的网络进行转换,转换的地址池为210.20.20.10~210.20.20.15,子网掩码为255.255.255.0。配置命令如下:

    R1(config)# ip nat pool  NAT-POOL  210.20.20.10  210.20.20.15  netmask 255.255.255.0
    //主要配置以下参数:
    //地址池名称: TEST_POOL 
    //地址池开始地址:210.20.20.10
    //地址池结束地址:210.20.20.15
    //地址池的子网掩码:255.255.255.0
      R1(config)# access-list 1 permit 192.168.20.0 255.255.255.0
      R1(config)# ip  nat  inside  source  list 1  pool NAT-POOL
    

    动态NAT配置实例
    动态NAT网络拓扑图
    地址表如下:

    设备接口IP地址子网掩码
    R0Fa 0/010.10.10.2/24
    Fa0/1192.168.1.1/24
    Fa1/0192.168.2.1/24
    R1S2/0210.38.220.1/24
    Fa0/010.10.10.1/24
    R2S2/0(DCE)210.38.220.2/24
    PC1NIC192.168.1.10/24
    PC2NIC192.168.1.20/24
    PC3NIC192.168.2.10/24

    背景说明:对于一些公司,它们可能会一次性申请很多个公网IP来为公司各个部门提供上网服务。我们假设某公司申请了6个公网IP,所属网段为: 210.38.220.10~210.38.220.15,子网掩码均为255.255.255.0;合法的公网IP地址不够每人分配一个,但该公司一般情况下有1/2的人员在外跑业务或做技术支持,在公司的员工也不会一直需要提供网络服务,据此,我们可以通过动态分配全局地址的地址转换技术来解决该公司的需要。
    配置要求:配置动态NAT,允许转换IP地址属于192.168.1.0/24的网段,其他网段不允许进行NAT转换。
    实验步骤:

    步骤1:R0配置
       R0(config)# interface f0/0
       R0(config-if)# ip address 10.10.10.2  255.255.255.0  //配置接口IP地址
       R0(config-if)# no shutdown
       R0(config)# interface f0/1
       R0(config-if)# ip address 192.168.1.1  255.255.255.0  //配置接口IP地址
       R0(config-if)# no shutdown
       R0(config)# interface  f1/0
       R0(config-if)# ip address 192.168.2.1  255.255.255.0  //配置接口IP地址
       R0(config-if)# no shutdown
       R0(config-if)#ip route 0.0.0.0  0.0.0.0 f0/0   //配置R0默认路由。
       
    步骤2:R1的配置。
       R1(config)# interface f0/0
       R1(config-if)# ip address 10.10.10.1  255.255.255.0  //配置接口IP地址
       R1(config-if)#ip nat inside                //配置f0/0为内部接口
       R1(config-if)# no shutdown
       R1(config)# interface s2/0
       R1(config-if)# ip address 210.38.220.1  255.255.255.255  //配置接口IP地址
    R1(config-if)#ip nat outside             //配置s2/0为外部接口
       R1(config-if)# no shutdown
       R1(config-if)#ip route 0.0.0.0  0.0.0.0  S2/0   //配置默认路由。
     R1(config)#access-list 1 permit 192.168.1.0  0.0.0.255//配置匹配内网IP地址访问控制列表
     //配置NAT地址池
    R1(config)#ip nat pool TEST_POOL 210.38.220.10 210.38.220.15 netmask 255.255.255.0 
    R1(config)#ip nat inside source list 1 pool TEST_POOL //配置动态NAT转换
    
    步骤3:R2的配置。
    R2(config)#int s2/0
    R2(config-if)#ip address 210.38.220.2  255.255.255.255
    R2(config-if)# clock rate 64000
    R2(config-if)#no shutdown
    

    步骤4:检查配置结果与测试
    (1)动态NAT的映射关系不是静态建立的,而是通过数据流触发建立的,因此每次建立的映射关系可能是不一样的,在没有触发流量的时候,查看nat映射表。

     R2#sh ip nat translations 
     R2#
       可以看到映射表是空的,说明映射关系并没有建立。
       我们分别从PC1、PC2触发流量,在观察NAT映射表的情况。
       
    R1#sh ip nat translations 
    Pro  Inside global     Inside local       Outside local      Outside global
    icmp 210.38.220.10:21  192.168.1.10:21    210.38.220.2:21    210.38.220.2:21
    icmp 210.38.220.10:22  192.168.1.10:22    210.38.220.2:22    210.38.220.2:22
    icmp 210.38.220.11:15  192.168.1.20:15    210.38.220.2:15    210.38.220.2:15
    icmp 210.38.220.11:16  192.168.1.20:16    210.38.220.2:16    210.38.220.2:16
    
    可以看到192.168.1.10 210.38.220.10,192.168.1.20 210.38.220.11,说明地址转换起到效果。
    
    (2)使用debug命令查看到的转换过程。
    R1#debug ip nat 
    IP NAT debugging is on
    R1#
    NAT: s=192.168.1.10->210.38.220.11, d=210.38.220.2 [21]   // s表示源地址转换
    NAT*: s=210.38.220.2, d=210.38.220.11->192.168.1.10 [32]  //d表示目的地址转
    NAT: s=192.168.1.10->210.38.220.11, d=210.38.220.2 [22]
    NAT*: s=210.38.220.2, d=210.38.220.11->192.168.1.10 [33]
    

    (3) 动态NAT映射表条目存在一定生存时间,时间超过时转换条目将会被自动删除。一对一的动态NAT超时时间为10分钟(600秒);基于端口的动态NAT超时时间为1分钟(60秒)。
    注意事项:
    1)不要把inside和outside应用的接口弄错:
    2)如果有条件,尽量不要用outside接口的全局地址作为内部全局地址,该接口地址的所有者是互联网服务提供商(ISP)。当线路变更时地址就会改变,就需要更改DNS记录了,如果是直接通过IP提供服务,那就更麻烦,而线路的变更是常有的。另外,路由器的outside接口有可能不是可用的地址,而是私有地址等。

    端口NAT(PAT)

    PAT工作原理
    端口映射NAPT指除了使用IP之外,还使用端口号来建立映射。NAPT是实现多个内网主机共享一个公网IP接入的关键技术。NAPT建立映射需要用到传输层的TCP和UDP的端口号。在网络数据传输中,大部分是通过端到端的连接来进行数据传输,因此,表示一个数据的流向除了需要IP地址外,还需要使用传输层的端口号。所以在NAPT的映射建立中,使用IP地址和端口号就可以区分出每一条数据连接。
    NAPT的具体工作原理如图所示:
    端口映射PAT的工作原理
    例如内网主机10.1.1.3,10.1.1.2都用源端口1723向外发送数据包,NAPT路由器将两个内网地址都转换为唯一的全局地址222.2.1.1,为了区分不同的数据通信,使用不同的源端口来替换原来的端口1723。因此会建立以下映射条目:
    10.1.1.3 : 1723 -> 222.16.2.2 : 1492
    10.1.1.2 : 1723 -> 222.16.2.2 : 1723
    因此,通过不同的端口号就可以区分出具体是哪一个通信。当数据发到外网时,除了替换源IP地址外,还将会替换报文的源端口。
    而当路由器收到发往222.16.2.2 : 1723时,则会查找映射表,同时修改目的IP地址和目的端口号,转换为10.1.1.2 : 1723,因而会被转发到主机10.1.1.2。

    端口NAT配置步骤

    (1)PAT的配置与其他NAT配置类似,只需要在nat命令的后面添加上overload关键即可,表示IP地址可以重载使用。
    命令:

    Router(config)#ip nat inside source list 1 pool TEST_POOL overload
    

    (2)PAT也可以利用外网端口IP作为全局地址,不必指定地址池,起到节省全局IP地址的作用。
    命令:

       Router(config)# ip nat inside source list 1 pool  interface s0/0  overload
    

    (3)如果要让外网的主机能否访问内网的服务器的网络服务,如Web、FTP等,需要将
    内网服务器IP、端口号和全局IP地址、端口号建立静态映射。如下例:
    命令:

       Router(config)#ip nat inside source static tcp 192.168.1.100  80 210.38.220.10  80
    

    可以将内网的192.168.1.100的Web服务器映射到210.38.220.10,当外网访问210.38.220.10地址时,即可访问到内网的Web服务器。
    配置注意事项:
    (1)不要将边缘路由器的内部接口、外部接口弄错;
    (2)要加上能使数据包向外转发的路由,比如默认路由;

       NAT转换时间的修改命令如下:
    R1(config)#ip nat translation icmp-timeout seconds 定义ICMP 转换的超时时间,缺省 60秒 
    R1(config)#ip nat translation tcp-timeout seconds 定义TCP连接转换的超时时间,缺省为1天
    R1(config)#ip nat translation udp-timeout seconds定义UDP连接转换的超时时间,缺省300秒
    

    PAT的配置实例
    PAT网络拓扑图
    地址表如下所示:

    设备接口IP地址子网掩码
    R1S2/0210.38.220.1/24
    Fa0/0192.168.1.1/24
    R2S2/0(DCE)210.38.220.2/30
    F0/0202.20.20.1/24
    PC1NIC192.168.1.10/24
    PC2NIC192.168.1.20/24
    Server1NIC192.168.1.100/24
    Server2NIC202.20.20.10/24

    背景说明:
    PAT是在IP地址日益短缺的情况下提出的,如果一个公司内部有很多台主机,但该公司只申请了一个合法的公网IP地址,为了使所有内部主机都可以连接Internet网络,可以使用PAT,使公司的所有主机能共享单一公有地址访问外网。
    另外,公司内网的服务器192.168.1.100需要向外提供Web服务,但是该服务器IP地址为私有地址,无法被外网主机访问,所以考虑使用静态端口映射解决。
    配置要求:使PC1、PC2通过PAT能够访问Server2的FTP服务,将Server1的私有地址映射为210.38.220.10,使Server2能够访问Server1的Web服务。
    实验步骤:
    步骤1:R1的配置。

    R1(config)#int f0/0                    //进入接口模式
    R1(config-if)# ip  address  192.168.1.1 255.255.255.0  
    R1(config-if)#ip nat inside              //配置f0/0为内部接口
    R1(config-if)#no shutdown 
    R1(config-if)#int s2/0                  //接入接口模式
    R1(config-if)# ip  address  210.38.220.1  255.255.255.0  
    R1(config-if)#ip nat outside             //配置s2/0为外部接口
    R1(config-if)#no shutdown  
    R1(config-if)#ip route 0.0.0.0 0.0.0.0  S2/0   //配置默认路由。
    R0(config)#access-list 1 permit 192.168.1.0  0.0.0.255 //配置匹配内网地址的ACL
    //配置地址池,起始地址和结束地址相同  [或者使用接口方式配置]
    R1(config)#ip nat pool TEST_POOL 210.38.220.10 210.38.220.10 netmask 255.255.255.0
    // overload表示实现地址的重载
    R1(config)#ip nat inside source list 1 pool TEST_POOL overload 
    //配置内网Web服务器的静态端口映射,  192.168.1.100 :80 210.38.220.10: 80
    R1(config)#ip nat inside source static tcp 192.168.1.100  80  210.38.220.10  80
    

    步骤2:R2的配置。

    R2(config-if)#int s2/0
    R2(config-if)#ip add 210.38.220.2 255.255.255.0
    R2(config-if)# clock rate 64000
    R2(config-if)#no shutdown
    R2(config)#int f0/0
    R2(config-if)#ip add 202.20.20.1 255.255.255.0
    R2(config-if)#no shutdown
    

    步骤3:服务器配置。
    (1)外网Ftp服务器配置,如图所示。
    选择FTP服务使用绑定IP地址和确定FTP的主目录。
    在这里插入图片描述
    在这里插入图片描述
    2)内网Web服务器配置,如图所示。
    选择Web服务使用绑定IP地址和确定Web的主目录
    在这里插入图片描述
    在这里插入图片描述
    步骤4:结果测试。
    (1)在PC1和PC2上使用访问外网的ftp服务器。
    登录成功界面如图
    在这里插入图片描述
    (2)外网访问内网的Web服务,如图10所示,访问成功。
    在这里插入图片描述
    (3)在路由器R1上查看ftp访问的产生的映射表。

    R1#sh ip nat translations 
    Pro  Inside global       Inside local       Outside local      Outside global
    tcp 210.38.220.10:80    192.168.1.100:80   ---                ---
    tcp 210.38.220.10:80    192.168.1.100:80   202.20.20.10:1025  202.20.20.10:1025
    tcp 210.38.220.10:1026  192.168.1.10:1026  202.20.20.1:21     202.20.20.1:21
    tcp 210.38.220.10:1027  192.168.1.10:1027  202.20.20.1:21     202.20.20.1:21
    tcp 210.38.220.10:1028  192.168.1.10:1028  202.20.20.10:21    202.20.20.10:21
    tcp 210.38.220.10:1025  192.168.1.20:1025  202.20.20.10:21    202.20.20.10:21
    
    从映射表可以看到内网地址192.168.1.10和192.168.1.20都映射为一个相同的全局地址210.38.220.10,唯一区别的但是全地址后面带的端口号不同,说明PAT通过端口来区分不同的数据流。
    

    (2)查看NAT的转换数据统计结果。

    R1#sh ip nat statistics 
    Total translations: 4 (0 static, 4 dynamic, 4 extended) //转换的数目
    Outside Interfaces: Serial2/0
    Inside Interfaces: FastEthernet0/0
    Hits: 25  Misses: 4
    Expired translations: 0
    Dynamic mappings:
    -- Inside Source
    access-list 1 pool TEST_POOL refCount 4 
     pool TEST_POOL: netmask 255.255.255.0                    //地址池信息
           start 210.38.220.10 end 210.38.220.10
           type generic, total addresses 1 , allocated 1 (100%), misses 0
    

    端口映射与NAT负载均衡

    NAT负载均衡的工作原理
    利用NAT可以将多台相同的服务器映射为单个外网地址,对每次连接请求动态转换为一个内部服务器的地址,可以将外网的访问流量分发到每台服务器,实现负载均衡。工作原理如图所示:
    NAT均衡负载

    当外网主机访问服务器的内部全局地址202.68.10.10时,路由器会采用轮询(Round Robin)方式在4台服务器之间分发会话,即1-4个报文的目的地址会被替换为服务器1-4的内网地址。地址替换对于外网主机是非透明,外网主机只知道与202.68.10.10在通信,无法知道内网的网络拓扑结构。基于NAT的负载均衡可以减轻单台服务器提供服务器的压力,但是由于NAT路由器无法感知服务器的故障,如果其中某一台服务器出现故障,路由器仍然会将数据转发到该服务器,会造成去往服务器集群的流量出现路由黑洞。

    NAT负载均衡的配置步骤

    ①配置路由的接口IP,并定义内部接口和外部接口。
    ②定义访问控制列表,匹配进行转换的外网合法IP地址。

     R1(config)#access-list  1  permit  host  210.38.220.10 
    

    如果外网访问210.38.220.10地址,则进行转换,否则不进行。
    ③定义NAT地址池来表示内部服务器群的地址,使用关键词rotary,表示使用轮询式从地址池中取出相应的服务器IP来进行转换。
    例如:

      R1(config)#ip nat pool WEB_SERVER 192.168.1.2 192.168.1.4 prefix-length 24 type rotary         
    

    定义地址池名称为WEB_SERVER,地址池的IP地址范围为192.168.1.2~192.168.1.4,地址网络前缀为24,转换的方法文轮询。
    ④把目标地址为访问控制列表中IP的报文转换成地址中定义的服务器IP地址。

    R1(config)#ip nat inside destination list 1 pool WEB_SERVER 
    

    将目标地址符合list 1中的报文转换为WEB_SERVER地址池中的地址。

    负载均衡配置实例
    NAT负载均衡网络拓扑图
    地址表:

    设备接口IP地址子网掩码
    R1S2/0210.38.220.1/24
    Fa0/1192.168.1.1/24
    R2S2/0(DCE)210.38.220.2/30
    F0/0202.20.20.1/24
    PC0NIC202.20.20.10/24
    Server1Fa0/0192.168.1.10/24
    Server2Fa0/0192.168.1.11/24

    背景说明:内网有2台对外提供Web服务的服务器,配置较低,为了处理来自Internet的大量Web请求,需要将来自外网的Web访问流量通过轮询的方式分别发送到每台服务器,因此,可以再路由器R1上做NAT负载均衡的配置。
    配置要求:使路由器Serv1、Serv2来模拟两台Web服务器,它们对外映射相同的公有地址为:210.38.220.10。
    实验步骤:
    步骤1:Server1、Server2的配置。

    //路由器充当Web服务器配置
    Server1(config)#interface FastEthernet0/0
    Server1(config-if)# ip address 192.168.1.10 255.255.255.0
    Server1(config-if)# no shutdown
    Server1(config)#ip default-gateway 192.168.1.1    //配置默认网关
    Server1(config)#ip http server		//启动Web服务
    Server2(config)#interface FastEthernet0/0
    Server2(config-if)# ip address 192.168.1.11 255.255.255.0 
    Server2(config-if)# no shutdown
    Server2(config)#ip default-gateway 192.168.1.1   //配置默认网关
    Server2(config)#ip http server  //启动Web服务
    

    步骤2:R1配置

    R1(config)#interface f0/1
    R1(config-if)#ip address 192.168.1.1 255.255.255.0
    R1(config)# ip nat inside             // 内部接口
    R1(config-if)#no shutdown
    R1(config)#interface  s2/0
    R1(config-if)#ip address 210.38.220.1 255.255.255.0
    R1(config)# ip nat outside		// 外部接口
    R1(config-if)#no shutdown
    R1(config)#ip route 0.0.0.0 0.0.0.0 s2/0   //配置默认路由
    
    R1(config)#access-list 1 permit 210.38.220.10   //ACL匹配需要进行流量分发的外部地址
    //配置Web服务器的地址池
    R1(config)#ip nat pool WEB_SERVERS 192.168.1.10 192.168.1.11 prefix-length 24 type rotary
    // 将目标地址为210.38.220.10的报文的分发为WEB_SERVERS地址池中的各个服务器
    R1(config)#ip nat inside destination list 1 pool WEB_SERVERS 
    

    步骤3:R2配置

    R2(config)#interface f0/0
    R2(config-if)#ip address 202.20.20.1 255.255.255.0
    R2(config-if)#no shutdown
    R2(config)#interface s2/0
    R2(config)#clock rate 64000
    R2(config-if)#ip address 210.38.220.2 255.255.255.0
    R2(config-if)#no shutdown
    

    步骤4:结果测试
    (1)外网访问内网服务器。
    第1次访问的结果
    第2次访问的结果
    从上图可以看出,两次访问相同的IP地址,得到的页面时不同的,说明NAT的确将请求分发给了不同的路由器。
    (2)查看NAT转换表。

    R1#show ip nat translations
    Pro Inside global      Inside local       Outside local      Outside global
    tcp 210.38.220.10:80   192.168.1.10:80    202.20.20.10:1733  202.20.20.10:1733
    tcp 210.38.220.10:80   192.168.1.11:80    202.20.20.10:1734  202.20.20.10:1734
      从转换表也可以看到,同一个内部全局地址,映射了不同的内部本地地址。
    

    (3)查看NAT转换统计数据。

    R1#show ip nat statistics
    Total active translations: 2 (0 static, 2 dynamic; 2 extended)
    Outside interfaces:
      Serial0/0
    Inside interfaces:
      FastEthernet0/0
    Hits: 109  Misses: 11
    CEF Translated packets: 120, CEF Punted packets: 0
    Expired translations: 8
    Dynamic mappings:
    -- Inside Destination
    [Id: 1] access-list 1 pool WEB_SERVERS refcount 2
     pool WEB_SERVERS: netmask 255.255.255.0
            start 192.168.1.10 end 192.168.1.11
            type rotary, total addresses 2, allocated 2 (100%), misses 0
    Queued Packets: 0
    

    NAT带来的问题

    NAT技术的出现从一定程度上缓解了IPv4地址衰竭问题,但是NAT也让主机之间的通信变得复杂,导致通信效率的降低。NAT的应用带来了以下限制:
    1.影响网络速度,NAT的应用会使NAT设备变成网络的瓶颈.
    2.跟某些应用不兼容,如果一些应用在有效载荷中协商下次会话的IP地址和端口号,NAT将无法对内嵌IP地址进行地址转换,造成这些程序不能正常运行.
    3.地址转换不能处理IP报头加密的报文.
    4.无法实现对IP端到端的路径跟踪,经过NAT地址转换后,对数据包的路径跟踪变得非常困难.

    展开全文
    L_R_Y_v 2020-12-18 23:13:27
  • 虚拟专用网和网络地址转换NAT


    4.8.1 虚拟专用网VPN

    • 由于IP地址的紧缺,一个机构能够申请到的IP地址数往往远小于本机构所拥有的主机数。
    • 考虑到互联网不很安全,一个机构内也并不需要把所有的主机接入到外部的互联网。
    • 如果一个机构内部的计算机通信也是采用TCP/IP协议,那么这些仅在机构内部使用的计算机就可以由本机构自行分配其IP地址。

    1. 本地地址与全球地址

    • 本地地址:仅在机构内部使用的地址,可以由本机构自行分配, 而不需要向互联网的管理机构申请。
    • 全球地址:全球唯一的IP地址,必须向互联网的管理机构申请。
    • 问题:如何区分本地地址和全球地址?
    • 解决:RFC1918指明了一些专用地址。
      • 专用地址只能用作本地地址,而不能用作全球地址。
      • 互联网中的所有路由器对目的地址是专用地址的数据报一律不进行转发。

    2. RFC 1981指明的专用IP地址

    image-20211129230245491

    3. 专用网

    • 采用专用IP地址的互连网络称为专用互联网或本地互联网,或更简单些,就叫做专用网。
    • 专用IP地址也叫做可重用地址。

    4. 虚拟专用网VPN

    • 利用公用互联网作为本机构各专用网之间的通信载体,这样的专用网又称为虚拟专用网VPN。
    • 专用网:指这种网络是为本机构的主机用于机构内部的通信,而不是用于和网络外非本机构的主机通信。
    • 虚拟:表示实际上没有使用通信专线,只是在效果上和真正的专用网一样。

    5. 虚拟专用网VPN的构建

    • 如果专用网不同网点之间的通信必须经过公用的互联网,但又有保密的要求,那么所有通过互联网传送的数据都必须加密。
    • 必须为每一个场所购买专门的硬件和软件,并进行配置,使每一个场所的VPN系统都知道其他场所的地址。

    6. 用隧道技术实现虚拟专用网

    image-20211129230919794

    image-20211129231106048

    7. VPN类型

    • 内联网:同一个机构的内部网络所构成的VPN。
    • 外联网:一个机构和某些外部机构共同建立的。
    • 远程接入VPN:允许外部流动员工通过接入VPN建立VPN隧道访问公司内部网络,好像就是使用公司内部的本地网络访问一样。

    4.8.2 网络地址转换NAT

    • 问题:在专用网上使用专用地址的主机如何与互联网上的主机通信 (井不需要加密)?
    • 解决:
      1. 再申请一些全球IP地址。但这在很多情况下是不容易做到的。
      2. 用网络地址转换NAT。这是目前使用得最多的方法。

    1. 网络地址转换NAT

    • 1994年提出。
    • 需要在专用网连接到互联网的路由器上安装NAT软件。
    • 装有NAT软件的路由器叫做NAT由器,它至少有一个有效的外部全球IP地址。
    • 所有使用本地地址的主机在和外界通信时,都要在NAT路由器上将其本地地址转换成全球IP地址,才能和互联网连接。

    2. 网络地址转换过程

    image-20211129231751917

    在内部主机与外部主机通信时,在NAT路由器上发生了两次地址转换:

    1. 离开专用网时:替换源地址,将内部地址替换为全球地址。
    2. 进入专用网时:替换目的地址,将全球地址替换为内部地址。

    image-20211129231953403

    3. 网络地址转换NAT

    • 当NAT路由器具有n个全球IP地址时,专用网内最多可以同时有n台主机接入到互联网。
    • 可以使专用网内较多数量的主机轮流使用NAT路由器有限数量的全球IP地址。
    • 通过NAT路由器的通信必须由专用网内的主机发起,因此,专用网内部的主机不能充当服务器用。

    4. 网络地址与端口号转换NAPT

    • NAT并不能节省地址。
    • NAPT可以使多台拥有本地地址的主机,共用一个全球IP地址,同时和互联网上的不同主机进行通信。
    • 使用运输层端口号的NAT叫做网络地址与端口号转换NAPT,而不使用端口号的NAT叫做传统的NAT。

    5. NAPT地址转换表

    image-20211129232331480

    • NAPT把专用网内不同的源IP地址都转换为相同的全球IP地址,将TCP源端口号转换为新的TCP端口号(互不相同)。
    • 收到从互联网发来的应答时,从IP数据报的数据部分找出运输层端口号,从NAPT转换表中找到正确的目的主机。

    参考资料:《计算机网络(第8版)》—— 谢希仁。

    展开全文
    weixin_45605541 2021-11-29 23:27:18
  • 本文介绍网络地址转换NAT,NetworkAddress Translation,主要用于解决IPv4太少的问题。 NAT的主要作用 由于IPv4地址空间太小,所以使得目前Internet正面临了两个关键问题:一是公网IP地址资源的匮乏,二是路由表的日...

    前言

    本文介绍网络地址转换NAT,NetworkAddress Translation,主要用于解决IPv4太少的问题。

    NAT的主要作用

    由于IPv4地址空间太小,所以使得目前Internet正面临了两个关键问题:一是公网IP地址资源的匮乏,二是路由表的日益庞大,路由效率低。NAT(NetworkAddress Translation,网络地址转换)技术其出发点都是为了解决IPv4地址(主要是针对公网IPv4地址)不足的问题,提高现有IPv4地址利用率。

    NAT技术允许组织内部网络使用非全局可路由IP地址的用户通过地址转换为全局可路由的IP地址来访问Internet,以降低了对公网IP地址的需求。在专用网连接到因特网的路由器上安装NAT软件,安装了NAT软件的路由器叫NAT路由器,它至少有一个有效的外部全球IP地址。

    NAT服务是运行在位于内、外网之间的路由设备上的,在内、外网用户之间通信时对数据包中的地址(可能是源地址,也可能是目的地址)进行转换。在当前仍是IPv4为主流协议的IP网络,NAT技术的应用非常广,因为它可以节约紧缺的公网IPv4地址。

    相关术语介绍

    内部网络(Internal Network)

    内部网络通常是指一个边缘局域网,使用内部网络IPv4地址,尽管它也可以是注册的公网IP地址,但更多的是非注册的私网IP地址。
    使用非注册IPv4地址的所有计算机都必须使用NAT转换后再与其他网络进行通信;而使用注册的公网IPv4地址的主机如果是在由路由器隔离的内部局域网中,也是需要经过NAT转换后才能直接使用它进行访问的。所以总之,内部网络的IPv4地址都必须经过路由器的NAT转换才能访问外部网络。

    外部网络(External Network)

    外部网络是除本地私有网络以外的所有其他网络,在NAT应用中,Internet是最常见的外部网络。当然,外部网络也可以是其他私有网络,如两个局域网通过路由器相连的情况下。所以外部网络上的用户使用IP地址同样既可以是注册的,也可以是非注册的。

    本地地址 Local address

    本地地址是本地网络(可以是内部网络,也可以是外部网络)内部使用的IP地址,仅在本地网络有效,不能直接用来访问外部网络的IP地址,不可路由,这就是“本地”两字的含义所在。
    本地地址(Local address)在IPv4地址中,可以根据IPv4地址的作用范围分为本地地址(Local address)和全局地址(Global address)两大类。

    因为NAT连接了内、外两个网络,所以在本地地址中又有两类,一类是用于内部网络的内部本地地址(Inside Local Addresses),一类是用于外部网络的外部本地地址(Outside Local Addresses)。

    • 内部本地地址(Inside local address)
      内部本地地址是指分配给内部网络主机的IP地址。

    • 外部本地地址(Outside local address)
      这是本地地址的另一种,与内部本地地址性质一样,是为外部网络主机分配的本地网络IP地址,是外部网络主机对内部网络用户呈现的IP地址。

    全局地址 Global address

    全局地址是与本地地址相对应的IP地址,它是内、外部网络本地址转换后的IP地址的,是可路由的。全局地址其实是指在内、外网络中间架设的一个过渡性网络的IP地址。内、外部网络相互通信都需要先把对应的本地地址转换成对应的全局地址才能与对方网络进行通信。
    NAT路由器既有与像互联网这样连接局域网的情形,又有连接两个局域网的情形,所以全局地址也既可以是可供注册的公网IP地址,也可以是非注册的私网IP地址。所以同样也分为两类:一是用于转换内部本地地址的内部全局地址(Inside globaladdress),另一类是用于转换外部本地地址的外部全局地址(Outside globaladdress)。

    • 内部全局地址(Inside global address)
      内部全局地址是内部网络主机对外部网络用户呈现的IP地址(可以是分配给路由器连接外部网络接口的IP地址),是内部本地地址转换后的地址。

    • 外部全局地址(Outside global address)
      外部全局地址是外部网络主机分配到的外部网络IP地址。

    NAT地址基本转换原理

    image.png
    image.png

    在私有网络中的计算机是使用内部本地地址(Inside Local Addresses)进行通信的,当它们需要与外部网络进行通信时,就需要为他们配置内部全局地址(InsideGlobal Addresses)。
    总体来说,NAT进行地址转换的过程就是本地地址与全局地址之间的转换过程,无论数据包是从内部网络发往外部网络,还是从外部网络发往内部网络。不同的只是本地地址和全局地址所对应的网络不同,以及数据包重新封装的源和目的地址不同。

    • 发送
      当数据包还在内部网络位置时有一个作为源地址的内部本地地址和一个作为目的地址的外部本地地址。此数据包首先发往路由器连接内部网络的接口中。当数据包被转发到外部网络时,数据包的源地址就会转变为内部全局地址,而目的地址被转变为外部全局地址。

    • 接收
      当数据包是从外部网络位置发来,并且仍位于外部网络中时,它的源地址就是外部全局地址,目的地址就是内部全局地址。相当于由内部网络向外部网络发送数据包时,外部网络主机接收到的数据包中的源地址和目的地址的互换。而当数据包被路由器转发到本地网络时,源地址被转变为外部本地地址,目的地址被转变为内部本地地址,也相当于由内部网络向外部网络发送数据包时,内部网络主机发送的数据包中的源地址和目的地址的互换。

    展开全文
    u014099894 2021-08-15 22:06:01
  • weixin_28684825 2021-05-11 15:51:51
  • weixin_36106852 2021-06-27 10:19:49
  • qq_27383609 2021-01-22 09:18:19
  • Reloaded12138 2021-12-07 08:22:41
  • weixin_44938203 2021-10-23 14:33:08
  • qq_47855463 2021-03-18 22:40:33
  • m0_51405446 2021-06-04 18:37:24
  • weixin_39980596 2021-06-27 10:21:52
  • engineer0 2021-04-17 19:46:40
  • weixin_52900743 2021-06-07 18:41:01
  • weixin_42970433 2021-01-13 12:26:09
  • LLL_99 2021-03-04 15:49:08
  • qq_33292195 2021-11-26 09:17:18
  • IHBOS 2021-01-06 19:08:01
  • retacn_yue 2021-06-09 18:10:28
  • weixin_32104797 2021-06-27 10:19:44
  • Jun____________ 2021-01-05 22:37:01
  • weixin_50772579 2021-02-04 20:51:31
  • qq_43301008 2021-03-21 22:45:51
  • qq_45908922 2021-03-13 19:45:39
  • weixin_53560205 2021-07-22 18:51:54

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 58,348
精华内容 23,339
关键字:

网络地址转换nat

友情链接: P2PChat.zip