可变长子网掩码和NAT.doc.pdf

《可变长子网掩码和NAT.doc.pdf》由会员分享，可在线阅读，更多相关《可变长子网掩码和NAT.doc.pdf（5页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、word 文档可编辑 可变长子网掩码和 NAT 首先 IPv4 面临的一个主要问题就是地址耗尽，为了解决这个问题，采用了超网，采用可变长子网掩码，采用 NAT，采用私网地址。什么是可变长子网掩码。RFC1878 中定义了可变长子网掩码（Variable Length Subnet Mask.VLSM）VLSM 规定了如何在一个进行了子网划分的网络中的不同部分中用不同的子网掩码。这对于网络内部不同网段需要不同大小子网的情形来说非常有效。也就是说可变长子网掩码能够在同一个网络地址空间内使用一个以上的子网掩码，实施可变长子网掩码我们经常称为划分一个子网，并且它可以用来提高地址编码的效率。例如：有一个

2、网络210.31.233.0/24，可以把它划分成两个子网，210.31.233.0/25 和 210.31.233.128/25，然后可以把 210.31.233.0/25 再划分成两个子网 210.31.233.0/26 和 210.31.233.64/26。如果需要还可以再划分下去，这样一个 C 类地址就可以充分利用。如果不采用可变长子网掩码，要耗掉多个 C 类地址，这是很不划算的。在实际工程中，可以进一步将网络划分成三级或者更多级子网，同时，可以考虑使用全 0 和全 1 子网以节省网络地址空间。举例：有一个 C 类地址 207.21.24.0，八个部门使用这个地址段。0 207.21.

3、24.0 /27 1 207.21.24.32 /27 2 207.21.24.64 /27 3 207.21.24.96 /27 4 207.21.24.128/27 5 207.21.24.160/27 6 207.21.24.192/27 7 207.21.24.224/27 这里有个问题需要注意，在有些工程实践中，可能有人会说全 0 的子网是不能使用的，因为为了避免奇异。我们知道网络有 A 类（255.0.0.0）、B 类（255.255.0.0）、C 类（255.255.255.0）。那么如果把 207.21.24.0 255.255.255.0 划分以后，0 207.21.24.0

4、 /27 1 207.21.24.32 /27 2 207.21.24.64 /27 3 207.21.24.96 /27 4 207.21.24.128/27 5 207.21.24.160/27 6 207.21.24.192/27 7 207.21.24.224/27 当配置 rip 路由时，router（config-router）#network 207.21.24.0(这是有类路由)，这时就产生奇异了，因为系统可能不知道子网，可能就把它当做一个 C 网,而不是这个207.21.24.0/27 这个子网。所以 rip 1 是不支持可变长子网掩码的。通过使用可变长子网掩码，可以让位于不

5、同接口的同一网络编号的网络使用不同的掩码，这样可以节省 IP 地址，充分利用有效的 IP 地址空间。word 文档可编辑 Router1 和 Router2 的 E0 口均使用了 C 类地址 192.1.0.0 作为网络地址，Router1 的E0 口的网络地址为 192.1.0.128，掩码为 255.255.255.192。Router2 的 E0 口的网络地址为192.1.0.64,掩码为 255.255.255.192。这样就把 C 类地址分配给两个网段，既划分两个子网，起到了节约地址的作用。如果不用可变长子网掩码，那么，Router1 和 Router2 的 E0口是的地址是冲突的，

6、而使用了可变长子网掩码 Router1 和 Router2 的 E0 口是在不同的网段。同样，两个路由器的 S0 口也采用了可变长子网掩码，实际上是 192.200.10.4/30 这个网段，即 192.200.10.5 和 192.200.10.6 这两个地址可用。使用 30 掩码，在路由器的设置中很常见。NAT.网络地址转换(NAT)是用于将一个地址域(如：专用 Intranet)映射到另一个地址域(如：Internet)的标准方法。NAT 允许一个机构专用的 Intranet 中的主机透明地连接到公网域中的主机，无需内部主机拥有注册的(以及越来越缺乏的)Internet。NAT 技术使得

7、一个私有网络可以通过 internet 注册 IP 连接到外部网络，位于 inside 网络和 outside 网络中的 NAT 路由器在发送数据包之前，负责把内部 IP 翻译成外部合法地址。在配置 PIX 防火墙时就是这样设置的。内部网络主机不可能同时与外部网络通信，所以只有一部分内部地址需要翻译。NAT 的翻译可以采用静态翻译(static translation)和动态翻译(dynamic translation)两种。静态翻译将内部地址和外部地址一对一进行翻译。通常如 web 服务器可能是私网地址，它要向外部发送消息，这时就要一对一进行翻译。当 NAT 需要确认哪个地址需要翻译，翻译时

8、采用哪个地址 pool 时，就使用了动态翻译。NAT 有三种类型：静态 NAT(Static NAT)、动态地址 NAT(Pooled NAT)、网络地址端口转换 NATP(Port-Level NAT)。其中静态 NAT 设置起来是最为简单和最容易实现的一种，内部网络中的每个主机都被永久地映射成外部网络中的某个合法地址。而动态地址 NAT 则是在外部网络中定义了一系列的合法地址，采用动态分配的方法映射到内部网络。NAPT 则是把内部地址映射到外部网络的一个 IP 地址的不同端口上。根据不同的需要，三种 NAT 方案各有利弊。动态地址 NAT 只是转换 IP 地址，它为每一个内部的 IP 地址

9、分配一个临时的外部 IP 地址，主要应用于拨号，对于频繁的远程连接也可以采用动态 NAT。当远程用户连接上之后，动态地址 NAT 就会分配给它一个 IP 地址，用户断开时，这个 IP 地址就会被释放，而留待以后使用。网络地址端口转换 NAT(Network Address port Translation)是人们比较熟悉的一种转换方式。NATP 普遍应用于接入设备中，它可以将中小型网络隐蔽在一个合法的 IP 地址后面。NATP 与动态 NAT 不同，它将内部链接映射到外部网络中的一个单独的 IP 地址上，同时在该地址上加上一个由 NAT 设备选定的 TCP 端口号。下面看一下在防火墙上做 NA

10、TP 的状态：PixFirewall#sh xlate PAT Global 61.187.123.163(65310)Local 192.168.0.9(52384)PAT Global 61.187.123.163(65118)Local 192.168.0.9(52315)PAT Global 61.187.123.163(64956)Local 172.18.6.253(4491)NAT(Network Address Translaton)起到将内部私有地址翻译成外部合法的全局地址的word 文档可编辑 功能，它使得不具有合法 IP 地址的用户可以通过 NAT 访问到外部 Inter

11、net。当建立内部网的时候，建议使用以下地址组用于主机，这些地址是由 Network Working Group(RFC 1918)保留用于私有网络地址分配的。Class A：10.1.1.1 to 10.254.254.254 Class B:172.16.1.1 to 172.31.254.254 Class C：192.168.1.1 to 192.168.254.254 NAT 的配置 首先要学习 NAT 的几个相关概念：Inside Local IP address:指定于内部网络的主机地址，全局唯一，但为私有地址。Inside Global IP address：代表一个或更多内部

12、 IP 到外部网络的合法 IP。Outside Global IP address：外部网络主机的合法 IP。Outside Local IP address：外部网络的主机地址，看起来是内部网络的，是私有地址。NAT 所用的语法 1.定义一个标准访问列表 access-list access-list-number permit source source-wildcard 2.定义一个全局地址池 ip nat pool name start-ip end-ip netmask netmask|prefix-length prefix-length type rotary 3.建立动态地址翻

13、译 ip nat inside source list access-list-number|name pool name overload|static local-ip global-ip 4.指定内部和外部端口 ip nat inside|outside NAT 配置 ip nat pool C2501 202.96.38.1 202.96.38.62 netmask 255.255.255.192 interface Ethernet0 ip address 10.1.1.1 255.255.255.0 ip nat inside!interface Serial 0 ip addre

14、ss 202.200.10.5 255.255.255.252 ip nat outside!ip route 0.0.0.0 0.0.0.0 Serial 0 access-list 2 permit 10.0.0.0 0.0.0.255!Dynamic NAT!ip nat inside source list 2 pool C2501 overload word 文档可编辑 line console0 exec-timeout 0 0!line vty 0 4 end 路由器的 Ethernet0 口为 inside 端口，即此端口连接内部网络，并且此端口所连接的网络应该被翻译。Sena

15、l0 口为 outside 端口，其拥有合法的 IP 地址(由 NIC 或服务提供商所分配的合法的 IP 地址)，来自网络 10.1.1.0/24 的主机将从 IP 地址池中选择一个地址作为自己的合法地址，经由 S0 口访问 Internet。命令 ip nat inside source list 2 pool C2501 overload 中的参数 overload，将允许多个内部地址使用相同的全局地址(一个合法的 IP 地址，它是由 NIC 或服务提供商所分配的)。命令 ip nat pool C2501 202.96.38.1 202.96.38.62 netmask 255.255.

16、255.192 定义了全局的地址范围。NAT 配置举例 version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption!hostname nat-r1!enable secret$1$FEQr$INhRecYBeCb.UpTQ3b9myp!ip subnet-zer0/*启用非零的子网*/!interface Ethernet0 ip address 172.18.150.150 255.255.0.0 no ip directed-broadca

17、st ip nat inside/*定义此为网络的内部端口*/!interface Serial0 ip address 192.1.1.161 255.255.255.252 no ip derected-broadcast ip nat outside/*定义此为网络的外部端口*/no ip mroute-cache no fair-queue!interface Serial1 no ip address no ip directed-broadcast shutdown!/*以下定义了从 ISP 那里申请到的 IP 在企业内部网的分配策阅*/ip nat pool tech 192.1

18、.1.100 192.1.1.120 netmsk 255.255.255.0 word 文档可编辑 ip nat pool deve 192.1.1.121 192.1.1.150 netmask 255.255.255.0 ip nat pool manager 192.1.1.180 192.1.1.200 netmask 255.255.255.0 ip nat pool soft-1 192.1.1.170 192.1.1.179 netmask 255.255.255.0 ip nat pool soft-2 192.1.1.151 192.1.1.159 netmask 255.

19、255.255.0 ip nat pool temp-user 192.1.1.160 192.1.1.160 netmask 255.255.255.0 /*将访问列表与地址池对应，以下为动态地址转换*/ip nat inside source list 1 pool tech ip nat inside source list 2 pool deve ip nat inside source list 3 pool manager ip nat inside source list 4 pool soft-1 ip nat inside source list 5 pool soft-2

20、/*将访问列表与地址池对应，以下为复用动态地址转换*/ip nat inside source list 6 pool temp-user overload /*将访问列表与地址池对应，以下为静态地址转换*/ip nat inside source static 172.18.100.168 192.1.1.168 ip nat inside source static 172.18.100.169.192.1.1.169 ip classiess ip route 0.0.0.0 0.0.0.0 Serial0/*设置一个缺省路由*/!/*内部网访问地址表，它指出内部网络能访问外部网络地址段

21、，分别定义是为了对应不同的地址池*/access-list 1 permit 172.18.107.0 0.0.0.255 access-list 2 permit 172.18.101.0 0.0.0.255 access-list 3 permit 172.18.108.0 0.0.0.255 access-list 4 permit 172.18.103.0 0.0.0.255 access-list 4 permit 172.18.102.0 0.0.0.255 access-list 4 permit 172.18.104.0 0.0.0.255 access-list 5 permit 172.18.105.0 0.0.0.255 access-list 5 permit 172.18.106.0 0.0.0.255 access-list 6 permit 172.18.111.0 0.0.0.255！line con 0 transport input none line 1 16 line aux 0 line vty 0 4 login!end 終