1、第8章 网络地址转换第第8章章 网络地址转换网络地址转换n8.1 NAT技术基础技术基础n8.2 配置静态配置静态NATn8.3 配置动态配置动态NATn8.4 配置配置NAT重载重载n8.5 检测检测NAT配置配置n8.6 NAT负载均衡负载均衡28.1 NAT技术基础技术基础nIPv4中定义的私有中定义的私有地址地址:10.0.0.0 10.255.255.255(1个个A类网络)类网络)172.16.0.0 172.31.255.255(16个个B类网络)类网络)192.168.0.0 192.168.255.255(256个个C类网络类网络)n携带私有地址的分组是不会被公有网络的路由器
2、转发携带私有地址的分组是不会被公有网络的路由器转发的,最终都是被丢弃的,最终都是被丢弃。n网络网络地址转换地址转换(NAT:Network Address Translation)将私有地址转换成公有地址实现机构内部网络与互联网之间将私有地址转换成公有地址实现机构内部网络与互联网之间的通信的通信。NAT技术在网络迁移、网络合并、服务器反向负载均衡等方技术在网络迁移、网络合并、服务器反向负载均衡等方面也能发挥重要作用。面也能发挥重要作用。38.1.1 NAT术语术语nNAT表表记录了内部网络主机与所建立连接之间的对应关记录了内部网络主机与所建立连接之间的对应关系,即每一个内部网络的私有地址在访问
3、互联网系,即每一个内部网络的私有地址在访问互联网主机的时候,都会在主机的时候,都会在NAT表中保留一个和互联网表中保留一个和互联网主机的映射关系。主机的映射关系。n用于用于NAT的的地址地址Inside local address(内部本地地址内部本地地址)Inside global address(内部全局地址内部全局地址)Outside local address(外部本地地址外部本地地址)Outside global address(外部全局地址)外部全局地址)48.1.2 NAT的优缺点的优缺点nNAT的的优点:优点:(1)节省公有地址资源,这是最明显的优点;)节省公有地址资源,这是最
4、明显的优点;(2)对外隐藏内部网络结构;)对外隐藏内部网络结构;(3)解决地址重叠问题。)解决地址重叠问题。nNAT的的缺点:缺点:(1)增加网络资源的消耗;)增加网络资源的消耗;(2)增加网络时延;)增加网络时延;(3)影响某些端到端的应用,因无法穿越)影响某些端到端的应用,因无法穿越NAT建建立连接。立连接。58.1.3 NAT的类型的类型n静态静态NAT:私有私有地址和公有地址之间进行一对一的地址和公有地址之间进行一对一的转换转换.n动态动态NAT:设置设置一个公有地址一个公有地址池池,将私有将私有地址映射到地址池地址映射到地址池中的一个公有地址。中的一个公有地址。nNAT重载重载:利用
5、利用传输层的端口号来区分内网主机,可以将多传输层的端口号来区分内网主机,可以将多个私有个私有IP地址映射到一个公有地址映射到一个公有IP地址,实现多对地址,实现多对一的地址映射。一的地址映射。68.1.4 NAT的执行过程的执行过程n两个方向上的两个方向上的地址转换地址转换7NAT的执行过程的执行过程nNAT转换示例转换示例88.2 配置静态配置静态NATn命令命令ip nat inside source指明要对哪些内网指明要对哪些内网IP地地址进行转换,各转换为哪个公有址进行转换,各转换为哪个公有IP地址,每个转地址,每个转换一条命令,有多少个内网地址需要转换,就需换一条命令,有多少个内网地
6、址需要转换,就需要多少条命令要多少条命令。如:如:ip nat inside source static 10.10.1.1.191.15.2.1ip nat inside source static 10.10.1.2.191.15.2.2ip nat inside source static 10.10.1.3.191.15.2.3n在连接内部网的在连接内部网的接口配置命令接口配置命令ip nat inside,在,在连接外部网的连接外部网的接口配置命令接口配置命令ip nat outside98.3 配置动态配置动态NATn动态动态NAT不是一对一的转换,因此需要不是一对一的转换,因此需
7、要先定义一个地址池,当有内网主机地址先定义一个地址池,当有内网主机地址需要转换时,路由器会从地址池中选取需要转换时,路由器会从地址池中选取一个公有一个公有IP地址,并进行转换地址,并进行转换。如:如:ip nat pool PoolName 191.15.2.1 191.15.2.3 netmask 255.255.255.0ip nat inside source list 10 pool PoolNameaccess-list 10 permit 10.10.1.0 0.0.0.255108.4 配置配置NAT重载重载nNAT重载与动态重载与动态NAT不同的地方,就是在对不同的地方,就是在
8、对地址池和内部网络进行关联时,多了地址池和内部网络进行关联时,多了overload这个参数,意义是使用传输层端口这个参数,意义是使用传输层端口来区分不同的内网主机来区分不同的内网主机。n配置配置NAT转换要特别注意地址池的地址范围转换要特别注意地址池的地址范围和内部网络的地址范围,既要确保应该包含和内部网络的地址范围,既要确保应该包含的地址都在给定的范围内,又要避免地址的的地址都在给定的范围内,又要避免地址的重复和出现不应该包含的地址。重复和出现不应该包含的地址。11五个步骤:五个步骤:(1)定义定义地址地址池池;(2)定义内部网络的地址定义内部网络的地址范围范围;(3)将将地址池与内网地址关
9、联,使用参数地址池与内网地址关联,使用参数overload;(4)指定外部接口指定外部接口;(5)指定内部接口指定内部接口.128.5 检测检测NAT配置配置n查看查看NAT表表show ip nat translationsn显示显示NAT配置统计信息配置统计信息show ip nat statisticsn输出输出NAT转换过程转换过程debug ip natn清除清除NAT表中的所有转换表中的所有转换条目条目clear ip nat translation*138.6 NAT负载均衡负载均衡n反向反向NAT转换可以转换可以实现服务器访问的负实现服务器访问的负载均衡,它是将一个公有载均衡,
10、它是将一个公有IP地址映射到地址映射到多个内部私有多个内部私有IP地址,用户针对公有地址,用户针对公有IP地址发来的每个连接请求,可以动态地地址发来的每个连接请求,可以动态地转换为对一个内部服务器地址的请求转换为对一个内部服务器地址的请求。n一般一般可以实现采取轮询的方式对多台服可以实现采取轮询的方式对多台服务器进行访问,将负载均衡地分配给每务器进行访问,将负载均衡地分配给每一台服务器。一台服务器。14NAT负载均衡负载均衡n正向的正向的NAT转换是从内部网络访问转换是从内部网络访问Internet,需要将内部的私有,需要将内部的私有IP地址转地址转换为公有换为公有IP地址,转换的是地址,转换
11、的是IP分组的源分组的源地址。反向地址。反向NAT转换是从外部网络访问转换是从外部网络访问内部网络的服务器,是将公有地址转换内部网络的服务器,是将公有地址转换为私有地址,而且转换的是分组的目的为私有地址,而且转换的是分组的目的IP地址地址。n只有只有TCP流量才能触发反向流量才能触发反向NAT转换转换。15NAT负载均衡负载均衡n举例,图举例,图8-316NAT负载负载均衡均衡举例举例n网络中有五台服务器,其中两台是网络中有五台服务器,其中两台是WEB服务器、服务器、三台是三台是FTP服务器服务器,要求内网的主机都能够访问外要求内网的主机都能够访问外网,分别实现两台网,分别实现两台WEB服务器
12、之间、三台服务器之间、三台FTP服服务器之间的负载均衡务器之间的负载均衡。n内网使用的私有内网使用的私有IP地址网段是地址网段是10.1.1.0/24,外网,外网使用的公有使用的公有IP地址网段是地址网段是125.202.21.64/29,共有,共有6个可用的公有个可用的公有IP地址:地址:125.202.21.65、125.202.21.66、125.202.21.67、125.202.21.68、125.202.21.69和和125.202.21.70。17NAT负载负载均衡均衡举例举例n连接内网和外网的路由器是连接内网和外网的路由器是R1,连接内网的是,连接内网的是接口接口f0/0、IP
13、地址是地址是10.1.1.254/24,连接外网,连接外网是接口是是接口是s2/0、IP地址是地址是125.202.21.65/29。n访问访问WEB服务器使用公有地址服务器使用公有地址125.202.21.67,访问访问FTP服务器使用公有地址服务器使用公有地址125.202.21.68。n五台服务器的私有五台服务器的私有IP地址在图中已经标明,子地址在图中已经标明,子网掩码配置网掩码配置255.255.255.0,默认网关都配置路,默认网关都配置路由器由器R1接口接口f0/0的地址的地址10.1.1.254,Telnet登录登录密码均设置为密码均设置为123456。18NAT负载负载均衡均
14、衡举例举例n关键的配置:关键的配置:R1(config)#ip nat pool webserv 10.1.1.1 10.1.1.2 netmask 255.255.255.248 type rotaryR1(config)#ip nat pool ftpserv 10.1.1.3 10.1.1.5 netmask 255.255.255.248 type rotaryR1(config)#ip nat inside destination list 20 pool webserv R1(config)#ip nat inside destination list 30 pool ftpser
15、v19NAT负载负载均衡均衡举例举例n访问控制列表访问控制列表20指定了访问指定了访问WEB服务器的外网公服务器的外网公有地址有地址125.202.21.67,从外网访问,从外网访问WEB服务器时服务器时,ip nat inside destination命令将连接请求轮流命令将连接请求轮流传递给两台传递给两台WEB服务器服务器。n访问访问控制列表控制列表30指定了访问指定了访问FTP服务器的外网公有服务器的外网公有地址地址125.202.21.68,从外网访问,从外网访问FTP服务器时,服务器时,ip nat inside destination命令将连接请求轮流传递给命令将连接请求轮流传递给三台三台FTP服务器。服务器。20NAT负载均衡负载均衡举例举例n测试测试TelnetDebug ip nat21