Download
1 / 24
240 likes | 385 Views
第 10 章 局域网与 Internet 互联. 本章内容. 局域网与 Internet 互联概述 NAT 的工作原理 NAT/NAPT 的配置 NAT 的监视和维护 NAT 的注意事项. 课程议题. 局域网与 Internet 互联概述 NAT 的工作原理 NAT/NAPT 的配置 NAT 的监视和维护 NAT 的注意事项. 局域网与 Internet 的互联. 常见实现方式. 代理服务器 proxy 、 ISA 、 ICS 、 wingate 、 sysgate 等 NAT/NAPT( 网络地址转换 / 网络地址端口转换 )
E N D
本章内容 • 局域网与Internet互联概述 • NAT的工作原理 • NAT/NAPT的配置 • NAT的监视和维护 • NAT的注意事项
课程议题 • 局域网与Internet互联概述 • NAT的工作原理 • NAT/NAPT的配置 • NAT的监视和维护 • NAT的注意事项
常见实现方式 • 代理服务器 • proxy、ISA、ICS、wingate、sysgate等 • NAT/NAPT(网络地址转换/网络地址端口转换) • 路由器、防火墙、核心交换机、服务器
NAT/NAPT带来的好处 • 解决IPv4地址空间不足的问题; • 私有IP地址网络与公网互联; • 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 • 非注册IP地址网络与公网互联; • 建网时分配了全局IP地址-但没注册 • 网络改造中,避免更改地址带来的风险;
课程议题 • 局域网与Internet互联概述 • NAT的工作原理 • NAT/NAPT的配置 • NAT的监视和维护 • NAT的注意事项
什么是NAT/NAPT • NAT就是将网络地址从一个地址空间转换到另外一个地址空间的一个行为。 • NAT的类型 • NAT(Network Address Translation) • 转换后,一个本地IP地址对应一个全局IP地址 • NAPT (Network Address Port Translation) • 转换后,多个本地地址对应一个全局IP地址
NAT/NAPT的术语 • 内部网络 - Inside • 外部网络 - Outside • 内部本地地址-Inside Local Address • 内部全局地址-Inside Global Address • 外部本地地址-Outside Local Address • 外部全局地址-Outside Global Address 互联网 Outside Inside 外部网 企业内部网
200.8.7.3/24 200.8.7.4/24 源IP:192.168.1.7 源IP:200.8.7.3 源IP:63.5.8.1 源IP:63.5.8.1 目的IP:63.5.8.1 目的IP:63.5.8.1 目的IP:200.8.7.3 目的IP:192.168.1.7 NAT工作原理 192.168.1.5 63.5.8.1 192.168.1.7
200.8.7.3/24 源IP:192.168.1.7:1024 源IP:200.8.7.3:1023 源IP:63.5.8.1:80 源IP:63.5.8.1 :80 目的IP:63.5.8.1:80 目的IP:63.5.8.1:80 目的IP:200.8.7.3:1024 目的IP:192.168.1.7:1024 NAPT工作原理 192.168.1.5 63.5.8.1 192.168.1.7 Web服务
什么时候使用NAPT • 缺乏全局IP地址 • 甚至没有专门申请的全局IP地址,只有一个连接ISP的全局IP地址 • 内部网要求上网的主机数很多 • 提高内网的安全性
课程议题 • 局域网与Internet互联概述 • NAT的工作原理 • NAT/NAPT的配置 • NAT的监视和维护 • NAT的注意事项
NAT/NAPT的配置 • NAT/NAPT的配置有两种 • 静态NAT/NAPT • 动态NAT/NAPT • 静态NAT/NAPT • 需要向外网络提供信息服务的主机 • 永久的一对一IP地址映射关系 • 动态NAT/NAPT • 只访问外网服务,不提供信息服务的主机 • 内部主机数可以大于全局IP地址数 • 最多访问外网主机数决定于全局IP地址数 • 临时的一对一IP地址映射关系
静态NAT • 1、定义内网接口和外网接口 • Router(config)#interface fastethernet 0 • Router(config-if)#ip nat outside • Router(config)#interface fastethernet 1 • Router(config-if)#ip nat inside • 2、建立静态的映射关系 • Router(config)#ip nat inside source static 192.168.1.7 200.8.7.3
静态NAPT • 1、定义内网接口和外网接口 • Router(config)#interface fastethernet 0 • Router(config-if)#ip nat outside • Router(config)#interface fastethernet 1 • Router(config-if)#ip nat inside • 2、建立静态的映射关系 • Router(config)#ip nat inside source static tcp 192.168.1.7 1024 200.8.7.3 1024 • Router(config)#ip nat inside source static udp 192.168.1.7 1024 200.8.7.3 1024
动态NAT配置 • 1、定义内网接口和外网接口 • Router(config-if)#ip nat outside • Router(config-if)#ip nat inside • 2、定义内部本地地址范围 • Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 • 3、定义内部全局地址池 • Router(config)#ip nat pool abc 200.8.7.3 200.8.7.10 netmask 255.255.255.0 • 4、建立映射关系 • Router(config)#ip nat inside source list 10 pool abc
动态NAPT配置 • 1、定义内网接口和外网接口 • Router(config-if)#ip nat outside • Router(config-if)#ip nat inside • 2、定义内部本地地址范围 • Router(config)#access-list 10 permit 192.168.1.0 0.0.0.255 • 3、定义内部全局地址池 • Router(config)#ip nat pool abc 200.8.7.3 200.8.7.3 netmask 255.255.255.0 • 4、建立映射关系 • Router(config)#ip nat inside source list 10 pool abc overload
课程议题 • 局域网与Internet互联概述 • NAT的工作原理 • NAT/NAPT的配置 • NAT的监视和维护 • NAT的注意事项
NAT/NAPT的监视和维护命令 • 显示命令 • show ip nat statistics 显示翻译统计 • show ip nat translations [verbose] 显示活动翻译 • 清除状态命令 • clear ip nat translation * • 从NAT转换表中清除所有动态地址转换项 • clear ip nat translation inside local-address global-address • 清除一个包含指定内部翻译的转换项 • 更多的命令用 clear ip nat ?
课程议题 • 局域网与Internet互联概述 • NAT的工作原理 • NAT/NAPT的配置 • NAT的监视和维护 • NAT的注意事项
NAT/NAPT带来的限制 • 限制 • 影响网络性能 • 不能处理IP报头加密的报文; • 无法实现端到端的路径跟踪(traceroute) • 某些应用可能支持不了:内嵌IP地址 • 内嵌IP地址的应用有: • FTP • DNS • NetMeeting • H.323,VoIP • 其它自编应用 NAT与应用的兼容性问题,详见RFC 3027
课程回顾 • 局域网与Internet互联概述 • NAT的工作原理 • NAT/NAPT的配置 • NAT的监视和维护 • NAT的注意事项
