收藏
下载资源

地址转换—NAT.ppt

上传人:豆**** 文档编号:57945470 上传时间:2022-11-06 格式:PPT 页数:32 大小:820.50KB
返回 下载 相关 举报
地址转换—NAT.ppt_第1页
第1页 / 共32页
地址转换—NAT.ppt_第2页
第2页 / 共32页
点击查看更多>>
资源描述

《地址转换—NAT.ppt》由会员分享,可在线阅读,更多相关《地址转换—NAT.ppt(32页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、辽东学院信息技术学院地址转换NAT Still waters run deep.流静水深流静水深,人静心深人静心深 Where there is life,there is hope。有生命必有希望。有生命必有希望辽东学院信息技术学院地址转换概述地址转换概述地址转换概述地址转换概述 如RFC1631 所描述,NAT(Network Address Translation,地址转换)是将IP 数据报报头中的IP 地址转换为另一个IP 地址的过程。在实际应用中,NAT 主要用于实现私有网络访问外部网络的功能。这种通过使用少量的公有IP 地址代表多数的私有IP 地址的方式将有助于减缓可用IP 地址空

2、间枯竭的速度。2辽东学院信息技术学院地址转换的提出背景地址转换的提出背景地址转换的提出背景地址转换的提出背景l地址转换是在IP地址日益短缺的情况下提出的。l一个局域网内部有很多台主机,可是不能保证每台主机都拥有合法的IP地址,为了到达所有的内部主机都可以连接Internet网络的目的,可以使用地址转换。l地址转换技术可以有效的隐藏内部局域网中的主机,因此同时是一种有效的网络安全保护技术。l同时地址转换可以按照用户的需要,在内部局域网内部提供给外部FTP、WWW、Telnet服务。3辽东学院信息技术学院私有地址和公有地址私有地址和公有地址私有地址和公有地址私有地址和公有地址Internet192

3、.168.0.1192.168.0.2192.168.0.1LAN1LAN2LAN3私有地址范围:私有地址范围:10.0.0.0 -10.255.255.255172.16.0.0 -172.31.255.255 192.168.0.0 -192.168.255.255私有地址是指内部网络或主机地址,公有地址是指在因特网上全球唯一的IP 地址。上述三个范围内的地址不会在因特网上被分配,因而可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。4辽东学院信息技术学院地址转换的原理地址转换的原理地址转换的原理地址转换的原理5辽东学院信息技术学院地址转换的原理地址转换的原理地址转换的原理地址转

4、换的原理 上述的NAT 过程对终端(如图中的PC 和服务器)来说是透明的。对外部服务器而言,它认为内部PC 的IP 地址就是202.169.10.1,并不知道有192.168.1.3 这个地址。因此,NAT“隐藏”了企业的私有网络。地址转换的优点在于,为内部主机提供了“隐私”(Privacy)保护前提下,实现了内部网络的主机通过该功能访问外部网络资源。但它也有一些缺点:6辽东学院信息技术学院地址转换的原理地址转换的原理地址转换的原理地址转换的原理由于需要对数据报文进行IP 地址的转换,涉及IP 地址的数据报的报头不能被加密。在应用协议中,如果报文中有地址或端口需要转换,则报文不能被加密。例如,

5、不能使用加密的FTP 连接,否则FTP 的port 命令不能被正确转换。网络调试变得更加困难。比如,某一台内部网络的主机试图攻击其它网络,则很难指出究竟是哪一台机器是恶意的,因为主机的IP 地址被屏蔽了。在链路的带宽低于10Mbit/s 速率时,地址转换对网络性能基本不构成影响,此时,网络传输的瓶颈在传输线路上;当速率高于10Mbit/s 时,地址转换将对路由器性能产生一些影响。7辽东学院信息技术学院地址转换实现的功能地址转换实现的功能 从上图的地址转换过程可见,当内部网络访问外部网络时,地址转换将会选择一个合适的外部地址,替代内部网络数据报文的源地址。上图中是选择NAT 服务器出接口的IP

6、地址(公有地址)。这样所有内部网络的主机访问外部网络时,只能拥有一个外部的IP 地址,因此,这种情况只允许最多有一台内部主机访问外部网络,这称为“一对一地址转换”。当内部网络的主机并发的要求访问外部网络时,“一对一地址转换”仅能够实现其中一台主机的访问请求。NAT 的一种变形实现了并发性。允许NAT 服务器拥有多个公有IP 地址,当第一个内部主机访问外网时,NAT 选择一个公有地址IP1,在地址转换表中添加记录并发送数据报;当另一内部主机访问外网时,NAT 选择另一个公有地址IP2,以此类推,从而满足了多台内部主机访问外网的请求。这称为“多对多地址转换”。8辽东学院信息技术学院地址转换实现的功

7、能地址转换实现的功能如果我们可能希望某些内部的主机具有访问Internet(外部网络)的权利,而某些主机不允许访问。即当NAT 进程查看数据报报头内容时,如果发现源IP 地址是为那些不允许访问网络的内部主机所拥有的,它将不进行NAT 转换。这就是一个对地址转换进行控制的问题。Quidway 系列路由器可以通过定义地址池来实现多对多地址转换,同时利用访问控制列表来对地址转换进行控制的。地址池地址池:用于地址转换的一些公有IP 地址的集合。用户应根据自己拥有的合法IP 地址数目、内部网络主机数目以及实际应用情况,配置恰当的地址池。地址转换的过程中,将会从地址池中挑选一个地址做为转换后的源地址。利用

8、访问控制列表限制地址转换利用访问控制列表限制地址转换:只有满足访问控制列表条件的数据报文才可以进行地址转换。这可以有效地控制地址转换的使用范围,使特定主机能够有权利访问Internet。9辽东学院信息技术学院NAPTNAPT网络地址端口转换网络地址端口转换 还有一种NAT 变形这就是NAPT(Network Address Port Translation),NAPT允许多个内部地址映射到同一个公有地址上,非正式的也可称之为“多对一地址转换”或地址复用。NAPT 映射IP 地址和端口号,来自不同内部地址的数据报可以映射到同一外部地址,但他们被转换为该地址的不同端口号,因而仍然能够共享同一地址。

9、也就是与之间的转换。10辽东学院信息技术学院NAPTNAPT网络地址端口转换网络地址端口转换11辽东学院信息技术学院地址转换的原理地址转换的原理地址转换的原理地址转换的原理Internet局域网PC2PC1IP:192.168.1.2Port:3000IP 报文IP:202.169.10.1Port:4000IP:192.168.1.3Port:3010IP:202.169.10.1Port:4001地址转换地址转换IP:192.168.1.1Port:301012辽东学院信息技术学院内部服务器内部服务器内部服务器内部服务器 NAT 隐藏了内部网络的结构,具有“屏蔽”内部主机的作用,但是在实际

10、应用中,可能需要提供给外部一个访问内部主机的机会,如提供给外部一个WWW的服务器,或是一台FTP 服务器。使用NAT 可以灵活地添加内部服务器,例如,可以使用202.169.10.10 作为Web 服务器的外部地址;使用202.110.10.11 作为FTP 服务器的外部地址;甚至还可以使用202.110.10.12:8080 这样的地址作为Web 的外部地址;还可为外部用户提供多台同样的服务器(如提供多台Web 服务器)。Quidway 系列路由器的NAT 功能提供了内部服务器功能供外部网络访问。外部网络的用户访问内部服务器时,NAT 将请求报文内的目的地址转换成内部服务器的私有地址。对内部

11、服务器回应报文而言,NAT 要将回应报文的源地址(私网地址)转换成公网地址。13辽东学院信息技术学院内部服务器的应用内部服务器的应用内部服务器的应用内部服务器的应用Internet内部服务器外部用户E0Serial 0内部地址:10.0.1.1内部端口:80外部地址:202.38.160.1外部端口:80IP:202.39.2.3配置地址转换:IP地址:10.0.1.1202.38.160.1端口:8080允许外部用户访问内部服务器14辽东学院信息技术学院Easy IPEasy IP特性特性特性特性lEasy IP:在地址转换的过程中直接使用接口的IP地址作为转换后的源地址。Internet局

12、域网PC2PC1PC1 和 PC2 可以直接使用 S0接口的IP 地址作为地址转换后的公用IP地址S0:202.0.0.115辽东学院信息技术学院使用地址池进行地址转换使用地址池进行地址转换使用地址池进行地址转换使用地址池进行地址转换l地址池用来动态、透明的为内部网络的用户分配地址。它是一些连续的IP地址集合,利用不超过32字节的字符串标识。l地址池可以支持更多的局域网用户同时上Internet。Internet局域网PC2PC1202.38.160.1202.38.160.2202.38.160.3202.38.160.4地址池16辽东学院信息技术学院利用利用利用利用ACLACL控制地址转换

13、控制地址转换控制地址转换控制地址转换l可以使用访问控制列表来决定那些主机可以访问Internet,那些不能。Internet局域网PC2PC1设置访问控制列表控制pc1可以通过地址转换访问Internet,而pc2则不行。17辽东学院信息技术学院NATNAT(内网外网实现流程(内网外网实现流程(内网外网实现流程(内网外网实现流程Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1 202.0.0.2202.0.0.1公网地址私网地址私网端口公网端口202.0.0.110.0.1.110011044DI:6.1.128.1,SI:10.0.1.1D

14、P:21,SP:1001DI:6.1.128.1,SI:202.0.0.1DP:21,SP:1044DI:10.0.1.1,SI:6.1.128.1DP:1001,SP:21NAT路由器查找地址表NAT路由器增加地址转换表项12345DI:202.0.0.1,SI:6.1.128.1DP:1044,SP:2118辽东学院信息技术学院NATNAT(外网内网实现流程(外网内网实现流程(外网内网实现流程(外网内网实现流程公网地址私网地址私网端口公网端口202.0.0.110.0.1.12121Internet内部网络10.0.0.0/810.0.0.1NAT路由器公用地址池202.0.0.1 202

15、.0.0.2202.0.0.1DI:202.0.0.1,SI:6.1.128.1DP:21,SP:1044DI:6.1.128.1,SI:10.0.1.1DP:1044,SP:21DI:10.0.1.1,SI:6.1.128.1DP:1044,SP:21路由器查找地址转换表并实施地址转换路由器查找地址转换表并实施地址转换12345FTP客户FTP服务器6静态配置地址转换表项DI:10.0.1.1,SI:6.1.128.1DP:21,SP:104419辽东学院信息技术学院NAT NAT 配置配置配置配置NAT 配置包括:配置地址池 配置地址转换 配置Easy IP 配置多对多地址转换 配置NAP

16、T 配置内部服务器20辽东学院信息技术学院NAT NAT 配置配置配置配置配置地址池 地址池是一些连续的IP 地址集合,当内部数据包通过地址转换到达外部网络时,将会选择地址池中的某个地址作为转换后的源地址。请在系统视图下进行下列配置。当某个地址池已经和某个访问控制列表关联进行地址转换,是不允许删除这个地址池的。21辽东学院信息技术学院配置地址转换配置地址转换 将访问控制列表和地址池关联(或接口地址)后,即可实现地址转换。这种关联指定了“具有某些特征的IP 报文”才可以使用“这样的地址池中的地址(或接口地址)”。当内部网络有数据包要发往外部网络时,首先根据访问列表判定是否是允许的数据包,然后根据

17、转换关联找到与之对应的地址池(或接口地址)进行转换。访问控制列表的配置请参见相关章节.不同形式的形式地址转换,配置方法稍有不同。22辽东学院信息技术学院配置地址转换配置地址转换Easy IPEasy IP如果地址转换命令不带address-group 参数,即仅使用nat outbound acl-number命令,则实现了easy-ip 的特性。地址转换时,直接使用接口的IP 地址作为转换后的地址,利用访问控制列表控制哪些地址可以进行地址转换。请在接口视图下进行下列配置。当直接使用接口地址作为NAT 转换后的公网地址时,若修改了接口地址应该首先使用reset nat session 命令清除

18、原NAT 地址映射表项,然后再访问外部网络;否则就会出现原有NAT 表项不能自动删除,也无法使用reset nat 命令删除的情况。23辽东学院信息技术学院配置地址转换配置地址转换配置一对一地址转换配置一对一地址转换(1)配置一对一地址转换请在系统视图下进行下列配置。(2)使一对一转换在接口上生效24辽东学院信息技术学院配置地址转换配置地址转换配置多对多地址转换配置多对多地址转换将访问控制列表和地址池关联后,即可实现多对多地址转换。请在接口视图下进行下列配置。25辽东学院信息技术学院配置地址转换配置地址转换配置配置NAPTNAPT 将访问控制列表和NAT 地址池关联时,如果选择no-pat 参

19、数,则表示只转换数据包的IP 地址而不使用端口信息,即不使用NAPT 功能;如果不选择no-pat 参数,则启用NAPT 功能。缺省情况是启用。请在接口视图下进行下面配置。26辽东学院信息技术学院配置地址转换配置地址转换配置内部服务器配置内部服务器 通过配置内部服务器,可将相应外部地址、端口等映射到内部的服务器上,提供了外部网络可访问内部服务器的功能。内部服务器与外部网络的映射表是由nat server 命令配置的。用户需要提供的信息包括:外部地址、外部端口、内部服务器地址、内部服务器端口以及服务协议类型。27辽东学院信息技术学院配置地址转换配置地址转换配置内部服务器配置内部服务器global

20、-port 和inside-port 只要有一个定义了any,则另一个要么不定义,要么是any。请在接口视图下进行下列配置。28辽东学院信息技术学院NAT NAT 配置举例配置举例1.组网需求 如下图所示,一个公司通过Quidway 路由器的地址转换功能连接到广域网。要求该公司能够通过Quidway 路由器串口3/0/0 访问internet,公司内部对外提供www、ftp 和smtp 服务,而且提供两台www 的服务器。公司内部网址为10.110.0.0/16。其中,内部ftp 服务器地址为10.110.10.1,内部www 服务器1 地址为10.110.10.2,内部www 服务器2 地址

21、为10.110.10.3,内部smtp 服务器地址为10.110.10.4,并且希望可以对外提供统一的服务器的IP 地址。内部10.110.10.0/24 网段可以访问Internet,其它网段的PC 机则不能访问Internet。外部的PC 可以访问内部的服务器。公司具有202.38.160.100 至 202.38.160.105 六个合法的IP 地址。选用202.38.160.100 作为公司对外的IP 地址,www 服务器2 对外采用8080 端口。29辽东学院信息技术学院NAT NAT 配置举例配置举例30辽东学院信息技术学院NAT NAT 配置举例配置举例3.配置步骤#配置地址池和

22、访问控制列表。Quidway nat address-group 1 202.38.160.100 202.38.160.105Quidway acl number 2001Quidway-acl-basic-2001 rule permit source 10.110.10.0 0.0.0.255Quidway-acl-basic-2001 rule deny source 10.110.0.0 0.0.255.255Quidway-acl-basic-2001 quit#允许10.110.10.0/24 网段地址转换。Quidway interface Serial3/0/0Quidway

23、-Serial3/0/0 nat outbound 2001 address-group 131辽东学院信息技术学院NAT NAT 配置举例配置举例#设置内部ftp 服务器。Quidway-Serial3/0/0 nat server protocol tcp global 202.38.160.100 inside 10.110.10.1 ftp#设置内部www 服务器1。Quidway-Serial3/0/0 nat server protocol tcp global 202.38.160.100 inside 10.110.10.2 www#设置内部www 服务器2。Quidway-Serial3/0/0 nat server protocol tcp global 202.38.160.100 8080 inside 10.110.10.3 www#设置内部smtp 服务器。Quidway-Serial3/0/0 nat server protocol tcp global 202.38.160.100 inside 10.110.10.4 smtp32

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 教育专区 > 小学资料

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号© 2020-2023 www.taowenge.com 淘文阁